Bonjour à tous, Nous aussi (Digicube) sommes régulièrement la cible de diverses tentatives de déni de service. Nous accueillons d'ailleurs pas mal de réfugiés d'hébergeurs qui préfères couper le service de leurs clients attaqués plutôt que de gérer le problème. Cela nous a couté beaucoup d'investissements et nous coute encore en surveillance développement mitigation etc...
OVH en est la principale source car c'est simplement le plus gros hébergeur d'Europe avec plus de 100K serveurs hébergé. La solution la plus simple ne serait elle pas de limiter le nombre de pps par serveur ? Sachant que, par exemple, un serveur connecté à 100 Mbps ou même à 1G ne devrait pas dépasser les 30 Kpps. Il n'est pas si difficile non plus d'aller plus loin et de surveiller et de faire des statistiques sur l'état des flux. Ex: plus de 3000 connexions simultanées d'un serveur sur une cible en attente de réponses est à coup sûr une tentative de déni de service. Guillaume Esnault CTO Digicube sas Le dimanche 12 février 2012 à 23:07 +0100, Gurvan Rottier-Ripoche a écrit : > Bonjour, > > Ceci n'est pas un mail pour venir pleurer/troller sur OVH mais plutôt pour > prendre des conseils et chercher à comprendre. > > > Notre réseau est régulièrement la cible d'attaques depuis des machines OVH. > Indifféremment depuis des serveurs hackés participant dans des botnets que > depuis des serveurs clients légitimes qui réalisent des attaques ciblés > notamment via des offres low-cost "jetables". > Je fais de nombreux report à leur service abuse qui intervient dans des > délais raisonnables. > > La période des vacances a démarré et très souvent, c'est une > grande effervescence de ce type d'attaques. > Nous avons reçu plusieurs attaques ce Dimanche 12 Février 2012 allant > jusqu'a 900Mbits depuis 9 serveurs OVH. (A relativiser avec notre 95 > percentile de 100Mbits). > J'ai twitté Octave pour lui faire part de mon mécontentement du fait du > nombre important d'attaques en une journée. > > A chaque fois ses réponses sont virulentes (très proches de la diffamation) > et fermés à la discussion : > "C'est pas mon problème." > "Tu as une activité de hackeur." > "C'est à toi de gérer ton réseau." > > Alors que je suis la cible dans cette histoire et que je ne vois pas > comment agir... > De notre côté, nous appliquons des restrictions entrantes et sortantes mais > ces nombreuses attaques ont des répercussions sur le coût du trafic entrant > en amont de notre réseau. > Notre fournisseur de transit nous fait payer malgré tout le coût de > l'attaque et c'est logique. > Ces attaques dépassent parfois de beaucoup (pratiquement x10) l'usage > normal de notre bande passante. > > > Ce que je ne comprend pas, c'est qu'OVH disposent bien de mécanismes de > protections mais uniquement sur son trafic entrant. > Par contre, ils n'appliquent pas les mêmes mécaniques en sens inverse pour > éviter ou limiter les attaques sortantes de leur réseau. > > Comme seule solution, aujourd'hui suite à mes reports, Octave impose un > blocage total entre nos deux réseaux. > Cela gène nombre de mes clients qui ne peuvent plus opérer de redondance, > simplement communiquer envers les deux réseaux (plus de DNS, SQL etc...) et > moi-même qui ne peut plus du tout accéder aux services d'OVH que j'utilise > également. (Ne serait-ce que le site OVH.COM...). > J'imagine également que les clients ADSL d'OVH ne peuvent plus accéder à > l'ensemble de mes services. > > Qu'en pensez-vous ? > Un fournisseur d'accès a-t-il le droit de bloquer comme cela une partie du > trafic internet, portant atteinte à la neutralité d'internet et aux > recommandations de l'ARCEP sur la transparence et la non-discrimination des > flux. > Les mesures prises me semblent disproportionnées. > Quelles sont les solutions que vous appliquez sur vos réseaux ? > Avez-vous déjà eu ce type de problème ? > > Cordialement, Gurvan. > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
