Ataque a nuestro proveedor de DNS

24 jul. 2012
Durante el día de ayer, 23 de julio, muchos de nuestros clientes han tenido problemas intermitentes para acceder a sus webs y su correo electrónico desde las 7:28 de la mañana hasta las 21:53 de la noche.

El problema ha sido debido a un ataque DDOS (denegación de servicio) sufrido por nuestro proveedor de DNS. Por tanto, aquellos clientes que tienen alojados los servidores DNS con nosotros se han visto afectados. El servicio de DNS es ofrecido gratuitamente por Avanzis, aunque los clientes que ya disponen de este servicio en otros proveedores pueden optar por mantenerlos sin ningún problema. De este modo, aquellos clientes que no tenían delegada la gestión de DNS con nosotros, u otros proveedores afectados por el ataque, no han tenido ningún problema de conectividad.

Qué es un DNS

Un servidor DNS es el que se encarga de traducir un dominio en una dirección IP. Por ejemplo, la cuando alguien pregunta por la dirección “www.avanzis.com” el servidor DNS le devuelve “208.94.147.150”. 

Esta información de qué servidor es el que tiene que traducir de nombres fáciles de recordar a direcciones IP está almacenada en cada dominio, por lo que es fácil comprobarlo consultando su información asociada. 

Si tienes un dominio “.es”, puedes consultar la información en esta URL:

https://www.nic.es/sgnd/dominio/publicInformacionDominios.action

Si tienes un dominio “.com”, “.net”, “.org” o similar, puedes consultar la información en:
http://www.internic.net/whois.html

En el servidor DNS se configuran entradas DNS, que indican para cada subdominio, cuál es el servidor debe responder. Por ejemplo, para www.dominio.com se indica un servidor distinto de correo.dominio.com.

Qué es un ataque DDOS

Un ataque de denegación de servicio, o DDOS en inglés (Distributed Denial of Service), consiste en enviar una cantidad de peticiones enorme a un servicio determinado, coordinado desde diferentes puntos de conexión para conseguir que el servicio se sobrecargue y no pueda seguir funcionando porque no es capaz de servir la gran cantidad de solicitudes.

Este ataque es muy difícil de detener porque se utilizan multitud de IPs falsas, y no es posible diferenciar las peticiones legítimas de aquellas que buscan dañar el sistema.

Quién es nuestro proveedor de servicios DNS

Zerigo ha sido el proveedor de servicios DNS con el que hemos trabajado durante los 2 últimos y que no han dado ningún tipo de problema, hasta ayer, día en el que sufrieron el ataque DDOS. 

Se trata de una empresa especializada en ofrecer servicios DNS avanzados. Tienen varios servidores ubicados en Norte América (Denver, Washington, Dallas), Europa (Londres y Amsterdam) y Asia (Singapore), con el fin de conseguir que las nombres de dominio se resuelvan en el servidor más próximo posible al usuario que está utilizando el navegador y para tender redundancia. Lamentablemente, el ataque DDOS ha sido coordinado para atacar a todos los servidores de forma simultánea.

Durante todo el día de ayer, han ido publicando el estado de resolución de la incidencia tanto en su cuenta de twitter @zerigo, así como en la página web donde se muestra el estado de sus servicios:

http://zerigostatus.net/

Podés comprobar que a las 03:19 UTC de hoy 24 de Julio, ya habían conseguido solucionar los problemas con los servidores restantes.

Acciones que se han realizado y cómo vamos a mejorar el servicio en el futuro

Cuando nuestro sistema de monitorización detectó la alerta en el servicio de DNS contactamos con nuestro proveedor y comenzamos a buscar alternativas. Nuestra primera intención fue confiar en que Zerigo consiguiera recuperar el servicio de forma rápida, ya que la edición de DNS es un tema delicado.

Cuando desde Zerigo nos comunicaron que el ETR (Tiempo estimado de reparación o Estimated Time or Repair/Return) era desconocido, buscamos varios proveedores alternativos que ofrecieran una forma más o menos rápida de migrar los cientos de dominios y entradas de registros DNS a nuestros clientes.


Una vez analizados varios de los proveedores, se comenzó el desarrollo de una aplicación que permitiera copiar de forma automática todos los registros DNS al nuevo servidor. Aunque Zerigo ya se había recuperado, esta madrugada, a las 4 de la mañana, habíamos lanzado este programa, sincronizando todos los dominios y entradas DNS, y cambiado la información en los dominios para que apunte al nuevo proveedor. De esta forma nos aseguramos que aunque Zerigo siga dando problemas, tengamos una forma sencilla de solucionarlos.

De forma simultánea a la creación de este programa, se intentó establecer un servidor de DNS terciario en un proveedor externo a Zerigo, pero no fue posible configurarlo debido a que el ataque DDOS no permitía acceder a la herramienta de gestión. Durante el día de hoy continuaremos con la instalación de este servidor terciario que actúe en caso de problemas en el servicio principal del DNS, con el fin de asegurarnos que estos problemas no vuelvan a surgir en el futuro.


Lamentamos las molestias que hemos podido causar a nuestros clientes. En esta ocasión el problema estaba fuera del alcance de Avanzis, no obstante ya se han tomado las acciones correctivas necesarias para mejorar los tiempos de respuesta para este problema concreto.
comments powered by Disqus
subir