Hello, Vous le savez TOUS que les DDOS peuvent arriver, pourquoi faire l'impasse sur cette partie, alors que vous savez que cela va vous impacter ? J'ai vraiment du mal à comprendre.
Tu es obligé d'avoir une infrastructure qui dès le départ est capable de palier le manque de réactivité de fournisseurs tiers, si tu veux maitriser ton backbone et tes couts. Lorsque l'on est passé d'un réseau AS6461 vers AS8218 avec zero meg, nous avions pensé le réseau avec les contraintes du passage d'un "tier-1" vers un Tier-2 ( capacité vers certains peers et beaucoup de transit au départ ) Nous n'avions pas fait l'impasse sur les éléments d'infrastructure, et nous avons fais en sorte d'être directement indépendant sur la gestion de notre trafic. La "protection active" de notre backbone est un élément que nous avons mis de coté, et avions décidé dans un premier temps de pouvoir supporter un gros volume en IN et d'utiliser la fonction blackhole de nos transitaires de l'époque. Si tu as une PI, si tu as un AS et si tu es capable d'avoir 2 serveurs pour faire tes routeurs, je t'invite à immédiatement prendre 2 ports de transits ( même avec une route par défaut ) , un peu de peering avec en gros 20k routes pour un petit qui commence ( > 10k routes sur le RS du FranceIX). Pour te protéger, tu pourras utiliser la communauté blackhole ( oui ta machine ne sera plus joignable ) de tes opérateurs, filtrer sur le port en IN de l'IX si tu peer avec le réseau en question ( un gros flood UDP, c'est assez simple à filtrer même sur un PC ) Lorsque tu te fera attaquer, tu pourra donc contenir les attaques et si tu as un opérateur qui a des communautés "dynamique" tu pourra également utiliser DNA:BADGUY le temps du DOS. Les protections D/DOS que tu peux souscrire sont principalement utilisées pour des sites/services que l'on pourrait qualifier de "sensible". Ensuite tu as des mécanismes sur certains routeurs ( des vrais routeurs hein ) qui te permettent de bloquer les attaques volumétrique "non-intelligente", mais il te faut quoiqu'il en soit la capacité en IN. Ensuite, la protection D/DOS, Il faut le voir comme une assurance. Si pour ta voiture / maison , tu n'a rien pendant des années, tu es bien content lorsque tu as un pb d'avoir ton assurance qui prend tout en charge pour toi. Bref, tu veux fournir un service qualité, tu dois malheureusement faire avec la jungle qui t'entoure. Plus ton infrastructure est autonome, et plus tu seras pris au sérieux par les gros. C'est malheureux, mais c'est comme ça. Ce qui est pénible/dommage , c'est que ton mail a été utilisé pour alimenter la lutte des classes trop présente sur cette liste. -- Raphaël Maunier NEO TELECOMS CTO / Directeur Ingénierie AS8218 On 2/13/12 1:49 PM, "Gurvan Rottier-Ripoche" <inulo...@gmail.com> wrote: >Bonjour Raphaël, > >Oui on a tous de plus en plus de soucis de type DOS ou DDOS. >Mais pourquoi est à la cible de se protéger, de faire en sorte de ne pas >payer le trafic ? >L'attaquant paye son 1G 60/100 euros et la cible 1000/3000 euros. >Forcément la cible n'est pas contente. > >Si on reprend ta première étape, il faut arriver à sauter de la location >ou >du housing basique à une solution chère et élaborée. >C'est pas toujours facile. >Prendre un service de protection, c'est bien gentil et surement efficace. >C'est 6 à 15 euros le mbits. >Quand je me mange 900Mbits, je reçois que mes 50/60Mbits de trafic >légitime >mais je paye les 900Mbits. > ><Il faut devenir indépendant des infrastructures de l'ensemble de vos ><opérateurs afin de ne pas être dans ce genre de situation et être bloqué. ><La plupart des bon opérateurs gardent leurs clients sur leur capacité de ><suivre et conseiller leurs clients, non pas en leur mettant des menottes ><au radiateur ... > >En effet. Mais il faut aussi que les opérateurs prennent leurs >responsabilités. >Quand tu send 8 abuses en Janvier, 9 abuses en Février, que c'est silence >radio permanent, qu'on te répond en public que tu gères mal ton réseau, >que >tu es un hackeur, que tes équipements encaissent rien, que c'est TA FAUTE, >au bout d'un moment, tu n'en peux plus. > >Pour ton exemple avec Softlayer, tu dis te prendre 3 à 4Gbits de flood et >que effectivement, ce n'est pas grand chose pour toi. >Tu rééquilibres si besoin tes liens, tu send un abuse et tu attends que ça >passe. >Tes clients ne sont pas touchés, le réseau tient, "tout va bien". >Maintenant, si tu avais que 3 à 4Gbits de capa globale, ça n'irait pas. > >J'aurais surement la même pensée si j'avais 2 à 3Gbits, 2 opérateurs etc. >Seulement, pour le moment, ce n'est pas le cas. Mon installation est très >récente, (-2 mois), et une série d¹évènements ont fait que le déménagement >devait se passer en urgence. >On va avoir une seconde fibre, un second opérateur, un routeur potable. >Mais pas avant quelques mois. >En attendant j'encaisse et je paye en silence ? > >Pour moi ce n'est pas acceptable et la solution qui a été mise en place >pour solutionner mon problème encore moins. >Je n'ai le problème qu'avec un seul réseau. > > >Je te remercie de tes réponses et de ton avis particulièrement détaillé. > >Gurvan. > > >Le 13 février 2012 09:54, Raphael MAUNIER <rmaun...@neotelecoms.com> a >écrit : > >> Bonjour, >> >> >> Vous voyez tous de plus en plus des soucis de type D/DOS et autres >> cochonneries qui pourrissent vos réseaux et je ne vois pas de mesure >>mise >> en place pour palier le manque de réactivité des opérateurs qui sont la >> source de vos maux. Il faut se mettre à l'évidence. L'unité de mesure >> n'est plus le port FE mais un minimum de 1G. On va me dire que bla bla >>bla >> les gros, les petits bla bla, mais bon c'est un fait, il va falloir >>penser >> à upgrader un peu. >> >> Dans le cas présent, c'est une chance que l'attaque provienne d'une >>seule >> source et donc facilement "contrôlable". Dans le cas, ou le réseau est >>une >> PI sur un autre AS et donc en ayant qu'une latitude très mince sur >> l'influence du routage, il ne faut pas s'attendre à mieux. >> >> Pour ne pas citer Softlayer, on se prend régulièrement des DOS de plus >>de >> 3/4Gig en provenance de leur réseau et ils doivent répondre environ 1 >>fois >> sur 10. Bon d'accord, pour nous 3/4G ce n'est pas grand chose, mais >>c'est >> tout de même pénible quand ça vous balance tout ça sur un seul point >> d'échange ou vous frôlez la capacité maximale du port juste pour du >>bruit. >> >> Première étape, mise en place de routeurs permettant d'avoir plusieurs >> transitaires, des routeurs capable de filtrer une partie. Trouver une >> méthode avec OVH pour ne pas avoir à payer le surplus de transit ( mise >>en >> place d'une session de peering sur X ou Y ), acheter des boitiers qui >> savent filtrer ( attention ça coute un peu de pognon ), prendre un >>service >> de protection chez un opérateur X ou Y, choisir un opérateur avec des >> communautés digne de ce nom. Sur la place, il y en a des dizaines qui >> savent le faire. Alors franchement pourquoi s'en priver. >> >> Il faut devenir indépendant des infrastructures de l'ensemble de vos >> opérateurs afin de ne pas être dans ce genre de situation et être >>bloqué. >> La plupart des bon opérateurs gardent leurs clients sur leur capacité de >> suivre et conseiller leurs clients, non pas en leur mettant des menottes >> au radiateur ... >> >> C'est la nouvelle tendance pour 2012, il serait fort regrettable de ne >>pas >> s'y pencher afin de ne pas s'essouffler à ne combattre que des moulins à >> vent. Je ne cherche pas à défendre les gros, mais juste à montrer qu'il >> faut avant tout se préparer pour pouvoir survivre. Internet ce n'est pas >> un monde de bisounours. >> >> >> -- >> Raphaël Maunier >> NEO TELECOMS >> CTO / Directeur Ingénierie >> AS8218 >> >> >> >> >> >> >> On 2/13/12 9:32 AM, "Jérémy Martin" <li...@freeheberg.com> wrote: >> >> >Bonjour, >> > >> >J'aurais un avis bien tranché sur la question mais je vais me modérer >> >grandement dans mes paroles car nous sommes sur un lieu public. >> > >> >Avant toute chose, je considère que dans les échanges entre opérateurs, >> >il doit y avoir du respect. On peut respecter OVH par rapport à ce >> >qu'ils sont devenu, on peut aussi respecter Gurvan pour ce qu'il >> >construit petit à petit. Malheureusement, le respect a disparu des >> >échanges avec Octave depuis bien longtemps, et c'est vraiment >>malheureux. >> > >> >Concernant le point de vue technique, nous sommes également victime des >> >problématiques d'attaques DOS UDP provenant du réseau d'OVH mais aussi >> >d'Online (je suis déjà venu pleurer ici pour cette raison d'ailleurs). >> > >> >Le fait est que dans notre monde de réseau giga, il est impératif de >> >placer des limites déontologique sur nos réseaux, et d'éviter les >> >coupures unilatérales qui bafoue la neutralité du net tel qu'on le voit >> >dans le null routage que fait Octave sur son réseau. Nous aussi nous >> >avons notre réseau et notre facturation qui explose à chaque fois. Et à >> >chaque fois, le service Abuse met 3 heures à bloquer le serveur en >>face. >> > >> >Par ailleurs, je serais très très curieux de connaitre l'avis de >>l'ARCEP >> >à ce sujet, c'est quand même un conflit qui entre dans les compétences >> >de l'autorité. >> > >> >Pour la suite, la seule solution que nous avons trouvé est de mettre en >> >place une community Blackhole avec nos transitaires, mais clairement, >>ce >> >n'est pas une solution parfaitement adapté. Un shapper en sortie du >> >réseau d'OVH ou d'Online pour bloquer les flux UDP au delà d'un certain >> >nombre de pk/s ou de mb/s serait tellement mieux. Mais les capacités en >> >jeu sont tellement élevé qu'OVH ou Online ne feront jamais les >> >investissements pour obtenir les équipements permettant de le faire. >> > >> >Comme d'habitude, le gros poissons nage tranquillement pendant que le >> >petit crève dans les sillons du premier... >> > >> >Cordialement, >> >Jérémy Martin >> >Directeur Technique FirstHeberg.com >> > >> >Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) >> >Standard : 09 72 125 539 (tarif local) >> >Ligne directe : 03 66 72 03 42 >> >Mail : j.martin AT freeheberg.com >> >Web : http://www.firstheberg.com >> > >> > >> >Le 12/02/2012 23:07, Gurvan Rottier-Ripoche a écrit : >> >> Bonjour, >> >> >> >> Ceci n'est pas un mail pour venir pleurer/troller sur OVH mais plutôt >> >>pour >> >> prendre des conseils et chercher à comprendre. >> >> >> >> >> >> Notre réseau est régulièrement la cible d'attaques depuis des >>machines >> >>OVH. >> >> Indifféremment depuis des serveurs hackés participant dans des >>botnets >> >>que >> >> depuis des serveurs clients légitimes qui réalisent des attaques >>ciblés >> >> notamment via des offres low-cost "jetables". >> >> Je fais de nombreux report à leur service abuse qui intervient dans >>des >> >> délais raisonnables. >> >> >> >> La période des vacances a démarré et très souvent, c'est une >> >> grande effervescence de ce type d'attaques. >> >> Nous avons reçu plusieurs attaques ce Dimanche 12 Février 2012 allant >> >> jusqu'a 900Mbits depuis 9 serveurs OVH. (A relativiser avec notre 95 >> >> percentile de 100Mbits). >> >> J'ai twitté Octave pour lui faire part de mon mécontentement du fait >>du >> >> nombre important d'attaques en une journée. >> >> >> >> A chaque fois ses réponses sont virulentes (très proches de la >> >>diffamation) >> >> et fermés à la discussion : >> >> "C'est pas mon problème." >> >> "Tu as une activité de hackeur." >> >> "C'est à toi de gérer ton réseau." >> >> >> >> Alors que je suis la cible dans cette histoire et que je ne vois pas >> >> comment agir... >> >> De notre côté, nous appliquons des restrictions entrantes et >>sortantes >> >>mais >> >> ces nombreuses attaques ont des répercussions sur le coût du trafic >> >>entrant >> >> en amont de notre réseau. >> >> Notre fournisseur de transit nous fait payer malgré tout le coût de >> >> l'attaque et c'est logique. >> >> Ces attaques dépassent parfois de beaucoup (pratiquement x10) l'usage >> >> normal de notre bande passante. >> >> >> >> >> >> Ce que je ne comprend pas, c'est qu'OVH disposent bien de mécanismes >>de >> >> protections mais uniquement sur son trafic entrant. >> >> Par contre, ils n'appliquent pas les mêmes mécaniques en sens inverse >> >>pour >> >> éviter ou limiter les attaques sortantes de leur réseau. >> >> >> >> Comme seule solution, aujourd'hui suite à mes reports, Octave impose >>un >> >> blocage total entre nos deux réseaux. >> >> Cela gène nombre de mes clients qui ne peuvent plus opérer de >> >>redondance, >> >> simplement communiquer envers les deux réseaux (plus de DNS, SQL >> >>etc...) et >> >> moi-même qui ne peut plus du tout accéder aux services d'OVH que >> >>j'utilise >> >> également. (Ne serait-ce que le site OVH.COM...). >> >> J'imagine également que les clients ADSL d'OVH ne peuvent plus >>accéder à >> >> l'ensemble de mes services. >> >> >> >> Qu'en pensez-vous ? >> >> Un fournisseur d'accès a-t-il le droit de bloquer comme cela une >>partie >> >>du >> >> trafic internet, portant atteinte à la neutralité d'internet et aux >> >> recommandations de l'ARCEP sur la transparence et la >>non-discrimination >> >>des >> >> flux. >> >> Les mesures prises me semblent disproportionnées. >> >> Quelles sont les solutions que vous appliquez sur vos réseaux ? >> >> Avez-vous déjà eu ce type de problème ? >> >> >> >> Cordialement, Gurvan. >> >> >> >> --------------------------- >> >> Liste de diffusion du FRnOG >> >> http://www.frnog.org/ >> >> >> > >> > >> >--------------------------- >> >Liste de diffusion du FRnOG >> >http://www.frnog.org/ >> >> > >--------------------------- >Liste de diffusion du FRnOG >http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
