Bonjour,
Vous voyez tous de plus en plus des soucis de type D/DOS et autres cochonneries qui pourrissent vos réseaux et je ne vois pas de mesure mise en place pour palier le manque de réactivité des opérateurs qui sont la source de vos maux. Il faut se mettre à l'évidence. L'unité de mesure n'est plus le port FE mais un minimum de 1G. On va me dire que bla bla bla les gros, les petits bla bla, mais bon c'est un fait, il va falloir penser à upgrader un peu. Dans le cas présent, c'est une chance que l'attaque provienne d'une seule source et donc facilement "contrôlable". Dans le cas, ou le réseau est une PI sur un autre AS et donc en ayant qu'une latitude très mince sur l'influence du routage, il ne faut pas s'attendre à mieux. Pour ne pas citer Softlayer, on se prend régulièrement des DOS de plus de 3/4Gig en provenance de leur réseau et ils doivent répondre environ 1 fois sur 10. Bon d'accord, pour nous 3/4G ce n'est pas grand chose, mais c'est tout de même pénible quand ça vous balance tout ça sur un seul point d'échange ou vous frôlez la capacité maximale du port juste pour du bruit. Première étape, mise en place de routeurs permettant d'avoir plusieurs transitaires, des routeurs capable de filtrer une partie. Trouver une méthode avec OVH pour ne pas avoir à payer le surplus de transit ( mise en place d'une session de peering sur X ou Y ), acheter des boitiers qui savent filtrer ( attention ça coute un peu de pognon ), prendre un service de protection chez un opérateur X ou Y, choisir un opérateur avec des communautés digne de ce nom. Sur la place, il y en a des dizaines qui savent le faire. Alors franchement pourquoi s'en priver. Il faut devenir indépendant des infrastructures de l'ensemble de vos opérateurs afin de ne pas être dans ce genre de situation et être bloqué. La plupart des bon opérateurs gardent leurs clients sur leur capacité de suivre et conseiller leurs clients, non pas en leur mettant des menottes au radiateur ... C'est la nouvelle tendance pour 2012, il serait fort regrettable de ne pas s'y pencher afin de ne pas s'essouffler à ne combattre que des moulins à vent. Je ne cherche pas à défendre les gros, mais juste à montrer qu'il faut avant tout se préparer pour pouvoir survivre. Internet ce n'est pas un monde de bisounours. -- Raphaël Maunier NEO TELECOMS CTO / Directeur Ingénierie AS8218 On 2/13/12 9:32 AM, "Jérémy Martin" <li...@freeheberg.com> wrote: >Bonjour, > >J'aurais un avis bien tranché sur la question mais je vais me modérer >grandement dans mes paroles car nous sommes sur un lieu public. > >Avant toute chose, je considère que dans les échanges entre opérateurs, >il doit y avoir du respect. On peut respecter OVH par rapport à ce >qu'ils sont devenu, on peut aussi respecter Gurvan pour ce qu'il >construit petit à petit. Malheureusement, le respect a disparu des >échanges avec Octave depuis bien longtemps, et c'est vraiment malheureux. > >Concernant le point de vue technique, nous sommes également victime des >problématiques d'attaques DOS UDP provenant du réseau d'OVH mais aussi >d'Online (je suis déjà venu pleurer ici pour cette raison d'ailleurs). > >Le fait est que dans notre monde de réseau giga, il est impératif de >placer des limites déontologique sur nos réseaux, et d'éviter les >coupures unilatérales qui bafoue la neutralité du net tel qu'on le voit >dans le null routage que fait Octave sur son réseau. Nous aussi nous >avons notre réseau et notre facturation qui explose à chaque fois. Et à >chaque fois, le service Abuse met 3 heures à bloquer le serveur en face. > >Par ailleurs, je serais très très curieux de connaitre l'avis de l'ARCEP >à ce sujet, c'est quand même un conflit qui entre dans les compétences >de l'autorité. > >Pour la suite, la seule solution que nous avons trouvé est de mettre en >place une community Blackhole avec nos transitaires, mais clairement, ce >n'est pas une solution parfaitement adapté. Un shapper en sortie du >réseau d'OVH ou d'Online pour bloquer les flux UDP au delà d'un certain >nombre de pk/s ou de mb/s serait tellement mieux. Mais les capacités en >jeu sont tellement élevé qu'OVH ou Online ne feront jamais les >investissements pour obtenir les équipements permettant de le faire. > >Comme d'habitude, le gros poissons nage tranquillement pendant que le >petit crève dans les sillons du premier... > >Cordialement, >Jérémy Martin >Directeur Technique FirstHeberg.com > >Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) >Standard : 09 72 125 539 (tarif local) >Ligne directe : 03 66 72 03 42 >Mail : j.martin AT freeheberg.com >Web : http://www.firstheberg.com > > >Le 12/02/2012 23:07, Gurvan Rottier-Ripoche a écrit : >> Bonjour, >> >> Ceci n'est pas un mail pour venir pleurer/troller sur OVH mais plutôt >>pour >> prendre des conseils et chercher à comprendre. >> >> >> Notre réseau est régulièrement la cible d'attaques depuis des machines >>OVH. >> Indifféremment depuis des serveurs hackés participant dans des botnets >>que >> depuis des serveurs clients légitimes qui réalisent des attaques ciblés >> notamment via des offres low-cost "jetables". >> Je fais de nombreux report à leur service abuse qui intervient dans des >> délais raisonnables. >> >> La période des vacances a démarré et très souvent, c'est une >> grande effervescence de ce type d'attaques. >> Nous avons reçu plusieurs attaques ce Dimanche 12 Février 2012 allant >> jusqu'a 900Mbits depuis 9 serveurs OVH. (A relativiser avec notre 95 >> percentile de 100Mbits). >> J'ai twitté Octave pour lui faire part de mon mécontentement du fait du >> nombre important d'attaques en une journée. >> >> A chaque fois ses réponses sont virulentes (très proches de la >>diffamation) >> et fermés à la discussion : >> "C'est pas mon problème." >> "Tu as une activité de hackeur." >> "C'est à toi de gérer ton réseau." >> >> Alors que je suis la cible dans cette histoire et que je ne vois pas >> comment agir... >> De notre côté, nous appliquons des restrictions entrantes et sortantes >>mais >> ces nombreuses attaques ont des répercussions sur le coût du trafic >>entrant >> en amont de notre réseau. >> Notre fournisseur de transit nous fait payer malgré tout le coût de >> l'attaque et c'est logique. >> Ces attaques dépassent parfois de beaucoup (pratiquement x10) l'usage >> normal de notre bande passante. >> >> >> Ce que je ne comprend pas, c'est qu'OVH disposent bien de mécanismes de >> protections mais uniquement sur son trafic entrant. >> Par contre, ils n'appliquent pas les mêmes mécaniques en sens inverse >>pour >> éviter ou limiter les attaques sortantes de leur réseau. >> >> Comme seule solution, aujourd'hui suite à mes reports, Octave impose un >> blocage total entre nos deux réseaux. >> Cela gène nombre de mes clients qui ne peuvent plus opérer de >>redondance, >> simplement communiquer envers les deux réseaux (plus de DNS, SQL >>etc...) et >> moi-même qui ne peut plus du tout accéder aux services d'OVH que >>j'utilise >> également. (Ne serait-ce que le site OVH.COM...). >> J'imagine également que les clients ADSL d'OVH ne peuvent plus accéder à >> l'ensemble de mes services. >> >> Qu'en pensez-vous ? >> Un fournisseur d'accès a-t-il le droit de bloquer comme cela une partie >>du >> trafic internet, portant atteinte à la neutralité d'internet et aux >> recommandations de l'ARCEP sur la transparence et la non-discrimination >>des >> flux. >> Les mesures prises me semblent disproportionnées. >> Quelles sont les solutions que vous appliquez sur vos réseaux ? >> Avez-vous déjà eu ce type de problème ? >> >> Cordialement, Gurvan. >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > >--------------------------- >Liste de diffusion du FRnOG >http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
