La Fibre
Hébergeurs et opérateurs pro / entreprises => Hébergeurs et opérateurs pro / entreprises => 
OVHcloud => Discussion démarrée par: vivien le 08 juillet 2014 à 22:13:03
-
Protection anti-DDoS OVH
(https://lafibre.info/images/ovh/201308_solution_anti-ddos_ovh_1.png)
-
(https://lafibre.info/images/ovh/201308_solution_anti-ddos_ovh_2.png)
-
(https://lafibre.info/images/ovh/201308_solution_anti-ddos_ovh_3.png)
-
(https://lafibre.info/images/ovh/201308_solution_anti-ddos_ovh_4.png)
-
Arbor PeakFlow
Fonction : Analyse du Netflow et Detection des attaques
Nombre chez OVH : 5 (1 master + 4 slave)
(https://lafibre.info/images/ovh/201308_vac_arbor_peakflow.jpg)
-
Effectivement c'est exactement ce que dit OVH,
Par contre j'aurais bien aimer des infos techniques provenant de chez Tilera ou Arbor.
Cdt
Bensay
-
Arbor TMS400
Fonction : Mitigation
Capacité : 40Gbps
Capacité de mitigation : 30Gbps/30Mpps
Nombre par VAC chez OVH : 1
Nombre totale en production chez OVH : 3
Capacité totale de mitigation chez OVH via TMS400 : 90Gbps
(https://lafibre.info/images/ovh/201308_vac_arbor_tms4000_1.jpg)
(https://lafibre.info/images/ovh/201308_vac_arbor_tms4000_2.jpg)
-
(https://lafibre.info/images/ovh/201308_vac_arbor_tms4000_4.jpg)
(https://lafibre.info/images/ovh/201308_vac_arbor_tms4000_5.jpg)
(https://lafibre.info/images/ovh/201308_vac_arbor_tms4000_6.jpg)
-
(https://lafibre.info/images/ovh/201308_vac_arbor_tms4000_7.jpg)
(https://lafibre.info/images/ovh/201308_vac_arbor_tms4000_3.jpg)
-
Je trouve ça extremement arrogant cette infrastructure, voir complétement néfaste et égoiste
Les points qui me gènent :
- pas de protection pour les autres (out), uniquement l'entrant
- réseau limité à deux-trois protocoles (et encore), ce qui rends toutes évolutions impossibles
-
Les points qui me gènent :
- pas de protection pour les autres (out), uniquement l'entrant
Il me semblait qu'il y en avait une, et depuis bien plus longtemps. Qui pouvait passer le serveur en « mode rescue » pour un simple nmap vers un de ses autres serveurs d'ailleurs (déjà vu plus d'une fois).
- réseau limité à deux-trois protocoles (et encore), ce qui rends toutes évolutions impossibles
D'après la liste présente de ce message : https://lafibre.info/ovh-datacenter/anti-ddos-arbor/msg151814/#msg151814
Tu as des tests effectuées sur UDP, TCP, ICMP, mais même sur la totalité du trafic. Tu crains que les attaques SCTP ne deviennent à la mode ?
-
Y'a surtout bloquage de tout ce qui n'est pas tcp / udp (et icmp et gre, c'est déjà ça)
Question : sur les 1Tbps, il n'y en a que 160Gbps qui passe dans la moulinette
Comment se fait la selection des 160Gbps ? random ?
-
Y'a surtout bloquage de tout ce qui n'est pas tcp / udp (et icmp et gre, c'est déjà ça)
Sincèrement il y à beaucoup d'autres choses ?
Cdt
Bensay
-
Non, y'a pas beaucoup d'autres choses
Parcque le deploiement de ce genre de services psychorigide bloque le déployement de nouvelles techno
-
@Jack
Il y a eu pas mal d'écrits de la part d'OVH à ce sujet, et ca réponds déjà à tes questions:
1) En temps normal (hors attaque) seule une petite partie du trafic à destination d'un serveur est scannée pour voir s'il n'y aurait pas une attaque. Si une attaque est détectée à destination de ce serveur, alors tout le trafic entrant passe par le VAC. Ca explique donc très bien que le VAC ne sache nettoyer que 160Gbps sur les 1Tb/s. De plus, il y a plusieurs VAC répartis au plus près du trafic entrant.
2) chez OVH, il y a déjà un certain nombre de limitations sur le trafic sortant, notamment en UDP. Ca existe depuis longtemps. Et pour ça, pas forcèment besoin d'un Arbor ou autre.
Leon.
-
Salut,
il y a bien une surveillance "sortante" chez OVH. Il n'en parle pas mais elle existe. Dès qu'une attaque sortante est détecté le serveur en question est mis en rescue (et un mail est envoyé au sysadmin pour lui indiquer le problème + quelques logs et il doit résoudre le soucis avant de rallumer le serveur en mode normal).
au bout de 3 fois, contrat résilié il me semble.
je n'y connais pas grand chose mais je n'ai pas l'impression par défaut que tout ce qui n'est pas tcp / udp / ping ne soit bloqué . (sauf si le serveur est attaqué mais bon ... ce n'est pas tous les jours que le serveur est attaqué ).
Le tout ne s'enclenche que si une attaque est détecté ou si quelqu'un l'active via le manager (pour les serveurs OVH à + de 80 €/mois, il est possible de mettre son serveur sous firewall / mitigation H24 7/7
après, d'un point de vue pratique, OVH est le seul hébergeur a ne pas jeter ceux qui se prennent des DDOS et dans certains cas, çà peut être utile.
-
Il est vrai que OVH, ne cherche pas a se débarrasser des clients qui attirent le DDOS massif.
L'exemple type c'est WikiLeaks, qui doit rapporter une centaine d'euros par mois, mais apporte beaucoup de souci.
Personne ne voulait de ce site.
OVH a décider de le garder et de le faire savoir pour montrer leur capacité à gérer le attaques.
-
j'ai oublié d'en parler aussi hier soir, mais OVH a des script internes qui détectent les DNS "ouverts" permettant l'amplification, Idem pour le NTP et etc ...
Si l'on se fait "prendre" par la patrouille OVH, on a un mail nous demandant que régler le soucis sous 2 jours je crois sinon, le serveur est mis en rescue...
Enfin la solution d'OVH n'est peut être pas parfaite, mais c'est mieux que rien ou de voir son serveur fermé.
D'ailleurs, c'est mon avis, mais je pense qu'OVH (proportionnellement aux nombres de clients) èmet moins de DDOS / Attaques sortantes que les autres, puisque le réseau m'a l'air plus surveillé. (sur le forum on voit des messages de personnes ayant lancé un nmap/ping/ autre de manière trop agressive et qui ont leur serveur en rescue ..)
Je ne me suis jamais fait bloquer mon serveur, donc je ne peux pas répondre plus que çà.