Tecnología anti-DDoS: por qué OVH debe seguir invirtiendo masivamente para mantener la protección de sus clientes al más alto nivel

Una carrera contrarreloj. Esta es una buena imagen para explicar el combate que libra OVH desde hace años para proteger a sus clientes contra los ataques DDoS, cuya frecuencia e intensidad no dejan de aumentar. Para poder frenar los ataques, no solo en un futuro próximo, sino también los que puedan darse en un futuro lejano cuyas proporciones aún resultan difíciles de estimar, es necesario invertir masivamente en nuestras tecnologías de mitigación de DDoS. A continuación ofrecemos todas las explicaciones.

Un día cualquiera, visto desde un VAC (sistema de protección anti-DDoS de OVH). En verde, el tráfico entrante legítimo. En rojo, el tráfico ilegítimo (los ataques DDoS) filtrado por nuestros sistemas de protección.

Los ataques DDoS, un fenómeno ineludible

El año 2013 estuvo marcado por el recrudecimiento de los ataques DDoS, alcanzando cotas nunca antes registradas. Eso nos hizo darnos cuenta de que en aquel momento no estábamos invirtiendo suficiente en tecnologías de protección anti-DDoS.

Como anécdota, tiempo después descubrimos que una parte de los ataques —los que iban especialmente dirigidos a clientes del sector del juego online— provenían de un competidor con pocos escrúpulos, que se ponía en contacto con las víctimas tras el ataque para ofrecerles sus servicios, jactándose de su protección contra los DDoS.

En cualquier caso, y como ya hemos dicho en otras ocasiones, la vía judicial no puede ser la única manera de luchar contra los ataques. No cabe duda de que las autoridades judiciales, mediante sus unidades especializadas en delitos cibernéticos, están comprometidas en la lucha contra este fenómeno, pero hemos de ser realistas: las investigaciones son largas y complejas, tanto por su dificultad técnica como por la naturaleza internacional de las redes que ofrecen al mejor postor los medios necesarios para acometer ataques de gran envergadura.

La batalla debe librarse primero en el aspecto técnico, pues los DDoS son un fenómeno consustancial a nuestra actividad como proveedores de hosting. Por consiguiente, es nuestra responsabilidad disponer de los medios de protección necesarios para limitar al máximo el impacto de los ataques, sin alimentar falsas esperanzas sobre la capacidad disuasoria de estas medidas.

En 2017, registramos una media de 2000 ataques diarios, de los cuales unos veinte eran de gran envergadura (es decir, de un mínimo de varias decenas de Gbit/s).

Esta cifra no ha descendido, y es sorprendente la lista de países que albergan la mayoría de bots, esas máquinas zombis que generan los mayores ataques DDoS. Un reciente artículo afirmaba que, si bien los caminos del señor son inescrutables, los ordenadores, servidores, teléfonos y otros objetos conectados en el Vaticano no lo son tanto, ya que dicho territorio posee la densidad de bots por internauta más alta del mundo. Es posible que los teléfonos comprometidos de los turistas expliquen estos datos. Esto demuestra que, en ciberseguridad, los milagros no existen.

Mutualizar los costes de la protección anti-DDoS para ofrecérsela a todos

En 2013 solicitamos la contribución de nuestros clientes, mediante un aumento de entre 1 y 2 euros al mes por servicio, para desplegar el sistema VAC (nuestra protección anti-DDoS) lo antes posible y así poder recuperar el retraso acumulado en este terreno.

Entonces OVH tomó una decisión inédita: no ofrecer este servicio como una opción de pago —que era la práctica más extendida—, sino «regalarlo» a todos nuestros clientes, incluyéndolo de serie en todos nuestros productos para repartir su coste de manera más uniforme.

Octave Klaba declaraba en aquel momento: «La cuestión no es saber si necesita protección anti-DDoS, sino cuándo será víctima de su primer ataque DDoS. OVH se compromete a proteger con usted su proyecto las 24 horas del día contra cualquier tipo de ataque DDoS, sea cual sea su duración y envergadura».

Es importante precisar que, si se produce un ataque DDoS sin que exista un sistema de protección, siempre habrá daños colaterales. Según la intensidad del ataque, si este no se mitiga, el servicio de todos los vecinos de rack del servidor atacado podrá verse afectado temporalmente.

Por tanto, creímos que la mejor opción era ofrecer protección a todos. Además, aunque muchos ataques DDoS tienen motivaciones delictivas o estériles, también pueden constituir una herramienta de censura, como demuestra el experto estadounidense en seguridad Brian Krebs. Así, la protección contra ataques DDoS contribuye a mejorar la calidad de la red y permite proteger la libertad de expresión que tanto apreciamos.

Anti-DDoS de nueva generación y despliegue internacional

El despliegue del VAC a partir de 2013 hizo posible que los clientes de OVH disfrutaran de una protección inigualable en aquel momento, que aún hoy sigue a la vanguardia.

El sistema VAC está dando muy buenos resultados y trabaja en la sombra para proteger a los clientes de OVH, que, en la mayoría de los casos, no se dan cuenta de que han sido el blanco de un ataque hasta que se lo notificamos por correo electrónico.

Como saben, en este tiempo OVH se ha embarcado en un ambicioso proyecto de desarrollo internacional, multiplicando la implantación de nuevos datacenters en Europa, Asia-Pacífico y Norteamérica para acompañar a nuestros clientes allá donde deseen ampliar su mercado.

Entonces reflexionamos sobre cuál podría ser la mejor manera de «escalar» la tecnología VAC, que, en un primer momento, se basaba en tres módulos ubicados respectivamente en Roubaix, Estrasburgo y Montreal, antes de añadir un cuarto VAC en Gravelines en 2016.

Conscientes de que la tecnología propietaria desplegada en 2013 alcanzaría sus límites de capacidad y escalabilidad a corto plazo, durante los dos últimos años hemos desarrollado nuestra propia solución anti-DDoS. Esta solución se basa en distintas capas tecnológicas: filtrado mediante FPGA —chips reprogramables con una capacidad de procesamiento mayor que en las CPU—, combinado con servidores x86 provistos de la aceleración de software 6WIND y que utilizan la biblioteca de código abierto DPDK, así como la última generación de tarjetas de red Mellanox 100 Gigabit Ethernet. En la actualidad, más de 100 000 líneas de código componen este VAC de nueva generación made in OVH, aunque nuestro software de mitigación no deja de perfeccionarse.

Para escalar nuestra protección anti-DDoS, hemos empezado por sustituir los cuatro primeros VAC 40G por VAC de nueva generación, los VAC 100G, de una capacidad de 600 Gbit/s cada uno. A continuación, hemos comenzado a instalar estas «aspiradoras de tráfico ilegítimo» en los centros de datos implantados en las nuevas zonas geográficas.

El objeto de esta multiplicación de VAC es limpiar los ataques lo más cerca posible de su origen para evitar «transportarlos» al backbone y que, en consecuencia, consuman innecesariamente ancho de banda, con el consiguiente riesgo de saturar algunos enlaces.

De este modo, el despliegue del VAC de nueva generación se realiza a medida que se van abriendo nuevos datacenters. En 2017, OVH ha desplegado 5 VAC adicionales: en Singapur, Sídney, Varsovia, Limburgo (Fráncfort) y Londres. Así, el número de VAC asciende a 9, con una capacidad total de más de 4 Tbit/s. Los próximos VAC se instalarán en la costa este de los Estados Unidos (en el futuro datacenter de Vint Hill, a principios de octubre), en España y en Italia.

Avances en materia de I+D

Paralelamente al despliegue internacional del anti-DDoS de nueva generación, seguimos avanzando en I+D. La carrera contrarreloj a la que hacíamos referencia al principio no tiene fin, y la intensidad de los ataques va a seguir en aumento a medida que crezcan el tamaño y la capacidad de la red de internet. Asimismo, los ataques van a ser cada vez más sofisticados. Del mismo modo que nosotros analizamos los ataques para mejorar permanentemente nuestro software de mitigación, sabemos perfectamente que los atacantes intentan, a su vez, entender el funcionamiento de nuestros sistemas de protección para eludirlos más fácilmente. Por tanto, tenemos que ir siempre un paso por delante.

Nuestras estadísticas del mes de septiembre de 2017 dan una idea del tipo de ataques DDoS recibidos por OVH:

1. UDP Flood (40%)
2. SYN Flood (30%)
3. TCP Flood, distintos de SYN Flood (25%)
4. GRE (Generic Routing Encapsulation) (3%)
5. Otros (2%)

La facilidad de implementación de los UDP explica el predominio de este tipo de ataques. No obstante, observamos un aumento de la complejidad de los mecanismos utilizados en todos los tipos de ataques, siendo estos cada vez más sofisticados, y particularmente en aquellos que utilizan el protocolo TCP. También se aprecia la aparición de nuevas metodologías, especialmente de las basadas en el GRE.

Por otro lado, nuestros indicadores revelan que solo durante el mes de septiembre de 2017 se crearon un centenar de nuevas botnets que explotaban objetos conectados vulnerables. La más activa de ellas emitió más de 3000 ataques a lo largo de todo el mes (incluyendo todos los proveedores de hosting). Esto constituye una prueba más de que la amenaza sigue presente, aunque no ocupe las portadas de la prensa internacional.

Son nuestros propios usuarios quienes nos piden que perfeccionemos la protección anti-DDoS. Aunque el VAC protege a todos los clientes de OVH por defecto, solo se activa cuando detecta un ataque, filtrando el tráfico ilegítimo para que el servidor afectado siga estando disponible. Ciertos clientes, algunos de ellos pertenecientes al sector financiero, contratan una opción que permite la activación permanente del VAC. Para ellos, la ralentización del servicio que se produce hasta que se detecta un ataque no es admisible, aunque su duración media sea de tres segundos.

Sabemos que esta rapidez de reacción se va a convertir en el estándar exigido por cada vez más usuarios, por ejemplo en el IoT, donde la detección de un evento debe activar una acción inmediata.

De hecho, el IoT va a plantear un nuevo reto a corto plazo: distinguir correctamente entre un ataque DDoS y el flujo masivo de datos proveniente de sensores conectados que, especialmente en la industria, se multiplican exponencialmente.

A día de hoy, el diseño de nuestros VAC protege a nuestros clientes frente a ataques externos (provenientes de fuera de nuestra red). Cuando los ataques se originan dentro de la red de OVH, los detectamos y actuamos en la raíz, aislando de la red a los servicios responsables en menos de 30 segundos. Si bien este mecanismo es eficaz, queremos ofrecer un nivel de protección superior instalando más cerca del servidor una protección anti-DDoS adicional que permitirá salvaguardar los servidores de ataques internos con más rapidez.

Y eso es algo que ya ofrecemos en los servidores GAME, cuyas necesidades específicas en materia de protección anti-DDoS representan un enorme desafío técnico, que impulsa nuestra innovación del mismo modo que los avances en la industria aeroespacial suelen redundar en beneficio de todos unos años después. Para lograr ese nivel de protección adicional y poder ofrecérselo a todos nuestros clientes, vamos a basarnos en nuestra tecnología vRouter —un router virtual que funciona con servidores x86, que estamos instalando en nuestros datacenters de forma progresiva—. Esta tecnología nos permite desplegar las funciones de filtrado de alto rendimiento por todos nuestros centros de datos.

Actualmente estamos realizando una prueba de concepto en Roubaix, donde esta tecnología está ya en funcionamiento en 20 000 servidores. Asimismo, estamos probando técnicas que nos permitirán adelantarnos a ciertos tipos de ataques, activando la protección antes de que los primeros paquetes alcancen nuestra red, lo que permite una mitigación integral.

En definitiva, no solo pretendemos ofrecer una protección anti-DDoS eficaz, sino que queremos que sea la mejor protección posible. Como prueba de ello, estamos estudiando la posibilidad de incluir el riesgo de sufrir un DDoS en nuestro SLA. En otras palabras, garantizaríamos por contrato la disponibilidad de sus servicios ¡incluso en caso de ataque DDoS!

El aumento de las capacidades de interconexión: el coste oculto de la protección anti-DDoS

Si bien el coste del sistema de mitigación que limpia los ataques —es decir, los intercepta y filtra el tráfico ilegítimo sin que ello afecte al tráfico legítimo— es de por sí elevado, esta protección conlleva además un coste oculto. Se trata de la necesidad de aumentar nuestra capacidad de interconexión (peering) con los diferentes ISP en todo el mundo para evitar la saturación de los enlaces entre el origen de los DDoS (que, como su nombre indica, son ataques distribuidos) y nuestros distintos VAC. Y la mayoría de estos peerings se están haciendo de pago.

OVH necesita una gran capacidad excedentaria para poder absorber los picos de carga generados por ataques de gran intensidad y evitar que saturen sus rutas. Porque no basta con saber gestionar los ataques, sino que, ante todo, hay que poder recibirlos. Así, de los 12 Tbit/s de capacidad de la red de OVH, en realidad solo utilizamos una media de 3,5 Tbit/s.

Todo esto explica que la inversión necesaria para luchar contra los ataques DDoS no crezca de forma paralela al crecimiento de OVH. La intensificación de los ataques nos obliga a incrementar el gasto a un ritmo superior al del crecimiento del parque de servidores de OVH.

Hoy más que nunca, la seguridad de las infraestructuras informáticas es uno de los principales motivos de preocupación de las empresas. Las ciberamenazas, desde el ransomware hasta los ataques DDoS, han ocupado las portadas de los medios de comunicación durante estos últimos meses, acelerando, sin lugar a dudas, la sensibilización sobre el alcance de estos fenómenos. Algunas amenazas son difíciles de erradicar y, por ello, las aseguradoras consideran los ciberataques como un mercado de gran potencial. No obstante, el problema de los ataques DDoS se encuentra, hoy por hoy, bajo control, siempre y cuando se recurra a un proveedor de cloud que considere este tema como una de sus principales prioridades y ponga los medios necesarios. Esto es lo que ha decidido hacer OVH, solicitando a sus clientes una contribución excepcional, a través de un aumento de sus precios de entre 1 y 10 €/mes (IVA no incluido) para los VPS, las instancias de Public Cloud y los servidores dedicados (excepto los servidores GAME). Este incremento se ha hecho efectivo a finales de octubre en las páginas web de OVH para los nuevos pedidos de servidores dedicados y VPS, y a principios de diciembre se aplicará a la oferta de Public Cloud. Los clientes actuales que hubieran contratado servicios afectados por la subida de precios han recibido una notificación personal por correo electrónico relativa a la entrada en vigor de las nuevas tarifas a partir del 1 de diciembre. Si habían contratado su servicio por una duración 3, 6 o 12 meses de forma anticipada, la subida se aplicará en la siguiente renovación.