En horas de la tarde del viernes 13 de enero sonó la alarma en la redacción de Diario TI. Nuestro servidor estaba siendo desbordado por miles de peticiones simultáneas, realizadas desde igual número de direcciones IP. Todas las peticiones estaban dirigidas a un archivo específico; una imagen en formato “jpg”, con lo que se configuraba uno de los perfiles típicos de ataques DDoS.
En un momento dado, Apache -software encargado de gestionar las peticiones de páginas y recursos en general- simplemente colapsó, con lo que Diario TI dejó de estar visible en la web. Con el fin de mitigar el ataque, modificamos la configuración de nuestro firewall, ConfigServer CSF, aplicando la mayor restricción posible frente a peticiones simultáneas. Sin embargo, CSF nada pudo hacer frente al abrumador número de peticiones y con los recursos de hardware operando al límite.
Paralelamente, GoDaddy, empresa de hosting que opera nuestro servidor, sólo estaba en condiciones de ofrecer dos servicios comerciales: 1. Diagnóstico, dentro de 72 horas, y 2. Mitigación, instalando su propio firewall en nuestro servidor. El segundo servicio sólo podía ser contratado después de finalizado el primero. Según nos explicó GoDaddy vía chat, no es posible autorizar de antemano la mitigación si el diagnóstico confirma lo que ya era evidente, el ataque DDoS. Esto implicaba un procedimiento que, en conjunto, podría tomar hasta 144 horas; es decir, seis días.
Terminaba entonces el viernes 13 con Diario TI derribado, sin posibilidad de recuperación debido a la escala del ataque y a las limitaciones que ésta imponía al firewall. En nuestro contacto con GoDaddy, la empresa explicó que 72 horas era el tiempo máximo de espera, para cada uno de los dos servicios consecutivos, pero que normalmente resolvía las incidencias con mayor rapidez. Sin embargo, considerando que pronto comenzaría el fin de semana, y que la solución efectivamente podía tomar hasta 6 días, estimamos necesario estudiar otras opciones. Surgía además la duda sobre la eficacia de los cortafuegos, en general, frente a ataques DDoS a gran escala.
Project Shield de Google, la solución
Recordamos entonces a Project Shield, de Google, referido por nuestra publicación en octubre de 2013. “Project Shield” o “Proyecto Escudo” crea, como su nombre lo indica, un escudo protector contra ataques DDoS, lo que permite a un sitio atacado reiniciar sus actividades. La protección DDoS es ofrecida a medios independientes, como asimismo a sitios dedicados a la transparencia electoral o a la defensa de los derechos humanos. El sistema está basado en una combinación de tecnologías anti-DDoS desarrolladas por Google y su solución PageSpeed, servicio que permite a los sitios web presentar sus contenidos mediante servidores dedicados de Google, que optimizan la descarga de los datos.
Entramos en contacto con Google, que respondió en las horas siguientes, explicando que como primer paso sería necesario presentar una solicitud formal de protección mediante Project Shield, aportando los detalles del incidente. Considerando que Diario TI es un medio independiente, y en vista del ataque DDoS que estaba siendo perpetrado contra nuestro sitio web, la solicitud fue aceptada por Google. La mitigación fue inmediata y durante el fin de semana Project Shield nos brindó asistencia personalizada para la configuración adicional que haría posible conectar nuestro sitio a su infraestructura. Asimismo, nos proporcionó guías para optimizar el servicio. Es posible que ocurra alguna intermitencia en la disponibilidad del sitio durante el lunes 16 y hasta el martes 17 de enero. Asimismo, nuestro servidor de correo electrónico está temporalmente fuera de servicio, por lo que hoy lunes 16 de enero no es posible entrar en contacto con Diario TI por correo electrónico.
Es dable llegar entonces a la siguiente conclusión: a menos que un ataque DDoS pueda derribar a todos los sitios protegidos por Project Shield, ninguno de los sitios individuales podrá ser derribado. Agradecemos a Project Shield de Google la protección brindada.
Héctor Pizarro, Diario TI