Tient, un peu de changement chez OVH :
http://travaux.ovh.net/?do=details&id=6378

DétailsWe have updated abuse detection filters for some UDP aberrant traffic.

Cordialement,
Jérémy Martin


Le 13/02/2012 22:33, o...@ovh.net a écrit :
Bonjour,

Mais pourquoi est à la cible de se protéger
C'est quand meme fou de lire ça, surtout quand on sait
que ça fait des années que tes infra se font attaquer
parce que tu acceptes les clients qui sont border line.
et même avec tout ce qu'il t'arrive dans ta vie, tu
n'arrives pas à apprendre et se remettre en question
puis evoluer/changer ?

si tu ne sais pas pourquoi encore aujourd'hui bahh
change de metier. car dans ce metier là uniquement
ceux qui sont paranos survivent. les autres meurent.

historiquement, tu as été chez ovh housing. 2009 ? 2010 ?
et tu avais les attaques qui venait de partout dans le monde.
1 à 2 par mois un email "est ce que tu peux me proteger
contre cette attaque". combien de fois ? je compte pas.
à chaque fois meme pas un merci.

courant 2010/2011, tu as profité de protections contre les
attaques que j'ai mis en place et ça s'est un peu
arreté. debut 2011 c'était quand même bien tranquille.

dans ton cas, les petits rigolos qui n'aiment pas tes
clients qui n'aiment pas les petits rigolos ont decouvert
qu'en hackant un serveur chez ovh, ils peuvent attaquer
à nouveau tes VPS. et depuis sep 2011 ça a repris de plus
beau car en interne je ne gere pas les attaques via le QoS
mais via la mise en rescue du serveur.

fin 2011, les attaques continue et tu commences tranquilement
nous insulter qu'on a de routeurs de merde qui ne tiennent
même pas les attaques et tout ça est gravement scandaleux
que porter plainte, et finir devant le juge etc. ok. je suis
sympa mais quand on me menace, red flag. on te resilie et
tu pars ailleurs. 3 prefix: un avec cogent et 2 avec dedibox.
meme pas de lien direct avec nous. nous cogent on le voit
via dtag via frankfurt ..

et les attaques ? bahh ils continuent toujours à partir
de notre reseau comme avant. les hackeurs vont pas changer
les habitudes. et tu te prends quelques Mbps quelques fois
par mois car tu veux continuer à héberger des projets
border line.

J'ai pas de probleme avec ça mais achete toi des equipements
pour gerer ces attaques. tu as de la chance que le mec qui
gere le reseau qui t'attaque peut regler ton probleme. hier
tu envoies les emails sur abuse@, je regle le probleme et
derriere je voie quoi ? en plus le twitter et tout le
tralala. de plus, tu commences tranquilement dire que je
suis derrier tout ça et que je te cite "il est complice"
de ces attaques:
https://twitter.com/#!/Inulogic_FreeH/status/167757684899188736
pour quelques heures/jours apres de menaces juridiques.
https://twitter.com/#!/Inulogic_FreeH/status/168720856623751168

moi: red flag !

question: comment je peux moi faire de sort que mon reseau
ne fasse plus jamais les attaques sur ton reseau de maniere
sûr ?

blackhole. c'est ça que j'ai mis en place. j'ai mis en
place exactement ce que j'aurais demandé à mes transits
de faire si je recevais une attaque. ce sont les outils
standard. rien d'extraordinaire. okey, c'est pas très
fin, mais ça marche. le monsieur en face il peut nous
insulter de tous les noms mais ne me dira plus qu'il
recoit les attaques de notre reseau. donc le resultat
est là.

pourquoi sur tout le reseau ? car j'ai aucune information
sur la destination de l'attaque ni pourquoi ni si ça
change ni si c'est la meme IP etc. le monsieur nous
insulte et va partout pour casser du sucre mais jamais
il ne va avoir de demarche constructif pour affiner
ou trouver l'origine du probleme. dans tous les cas il
connait l'origine du probleme mais comme ça lui rapporte
un max alors il n'est pas prêt de changer. pire il va
demander aux autres d'investir dans le matos pour faire
la securité pour lui.

j'ai donc protegé son reseau avec les regles et les
outils que tout le monde utilise sur l'internet. et
avec les moyens que je dispose. c'est brutal, facile,
pas cher mais surtout ça fonctionne. pas d'attaque.

et ? et j'attends que le monsieur en face me dise
"c'est bon, j'ai mis ce qu'il faut pour gerer maintenant
les attaques moi meme".

car ce n'est pas à moi de gerer les attaques pour les
autres. on a des outils qui nous permettent de detecter
les attaques. de grosses attaques, pas de petites. je
veux dire 80-90Mbps, pas moins, car moins ça aurait
été de faux positive avec pas mal d'activité de nos
clients. on a aussi les infra qui evoluent. on a par
exemple reçu derrnierement les nouvelles cartes 24x10G
et le netflow ne fonctionne pas super bien. on ne voit
pas tout. peut etre ça va s'améliorer, peut etre pas.

en tout cas, il n'est pas possible de se baser sur sa
propre securité sur les autres reseaux et encore moins
avec de gens qu'on insulte 1 fois par semaine et qu'on
les accuse très facilement de tout et de rien. je veux
bien aider mais si c'est de cette maniere c'est non.

QoS ? il n'est pas possible de garantir une limitation
de bande passante vers exterieur lors d'une attaque
vers une destination sur un reseau distribué comme le
notre. et les routeurs ne peuvent pas prendre l'internet
entier dans ses access-list pour faire de trucs de ouf.
on fait avec la techno qu'on dispose et qui permet de
... rien faire. on ne sait meme pas limiter un client
à 1Gbps ou 100Mbps de bande passante. je ne sais pas
faire ça ! du coup on fait comment ? on met les reseaux
enormes avec de liens partout et on assure la qualité
de service à travers les investissements dans le reseau.
car les équipements ne nous permettent pas de limiter
la bande passante de chaque IP hébergés sur notre reseau.
et 99% de boites sur le net font pareil car c'est comme
ça que l'internet fonctionne. ça fonctionne uniquement
car tu as mis un max de l'argent dans quelques cartes
de routeurs. alors je veux bien croire qu'au lieu de
s'acheter une porsche 911 c'est chiant devoir acheter un
petit 6503, mais c'est ça que je te conseile si demain
tu veux être encore là.

tu as reçu/vas recevoir un courrier AR qui te demande
de prendre tes responsabilités et de nous dire si tu es
capable de prendre le trafic de notre reseau. si c'est
le cas, on enleve le blackhost. à toi en suite de
respecter les regles du jeux et contacter en cas de
problemes abuse@ et arreter de nous difamer sur des
reseaux sociaux. et je ne menace pas, j'ajoute: svp.

Octave




---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/



---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à