Auteur Sujet: OVH Equinix sature ? (Lu 3717 fois)

Thibault · « **le:** 02 mars 2015 à 18:45:24 »

Bonjour,
Depuis quelques heures OVH sature sur Equinix :

Depuis un serveur OVH :
root@5:~# mtr -4rwc10 lafibre.info HOST: 5 Loss% Snt Last Avg Best Wrst StDev 1.|-- --- 0.0% 10 0.0 0.1 0.0 0.1 0.0 2.|-- gra-g2-a9.fr.eu 0.0% 10 0.8 0.9 0.7 2.7 0.6 3.|-- th2-g1-a9.fr.eu 0.0% 10 5.9 5.3 5.0 6.4 0.5 4.|-- th2-5-6k.fr.eu 10.0% 10 4.7 4.7 4.7 4.8 0.0 5.|-- adeli.equinix-ix.fr 0.0% 10 46.0 41.4 34.1 54.4 6.1 6.|-- lafibre.info 0.0% 10 40.4 40.2 32.0 47.7 5.1

Graphiques vers Lafibre.info depuis un serveur OVH :

Graphique vers K-net depuis un serveur OVH :

HOST: 5 Loss% Snt Last Avg Best Wrst StDev 1.|-- ----- 0.0% 1 0.1 0.1 0.1 0.1 0.0 2.|-- gra-g2-a9.fr.eu 0.0% 1 0.9 0.9 0.9 0.9 0.0 3.|-- th2-g1-a9.fr.eu 0.0% 1 6.4 6.4 6.4 6.4 0.0 4.|-- 100.0 1 0.0 0.0 0.0 0.0 0.0 5.|-- kwaoo.equinix-ix.fr 0.0% 1 32.9 32.9 32.9 32.9 0.0 6.|-- 100.0 1 0.0 0.0 0.0 0.0 0.0 7.|-- Ip Privée 0.0% 1 45.4 45.4 45.4 45.4 0.0

BadMax · « **Réponse #1 le:** 02 mars 2015 à 18:48:19 »

En effet, c'est bien visible depuis OVH Gravelines.

EDIT: j'ai ajouté d'autres sites web

vivien · « **Réponse #2 le:** 02 mars 2015 à 18:56:14 »

C'est étonnant, car OVH a naturellement un trafic majoritairement sortant.
Là c'est le trafic entrant qui sature le port, c'est donc une situation exceptionnelle.

Une attaque DDOS depuis un autre hébergeur Français ? (la liste de ceux qui sont sur Equinix et connecté en 10 Gb/s est très limitée - il me semble peu probable qu'un opérateur avec 1 ou 2 Gb/s sur Equinix puisse saturer OVH)

Online : PNI avec OVH donc peering sur Equinix non utilisé
SFR : PNI avec OVH donc peering sur Equinix non utilisé
Bouygues : PNI avec OVH donc peering sur Equinix non utilisé

Quelle pourrait être la source ?

Le SmokePing depuis Adeli, montre une saturation à partir de 11h00, heure ou le réseau est peu chargé.

vivien · « **Réponse #3 le:** 02 mars 2015 à 21:59:57 »

Saturation terminée.

Le trafic est re-descendu à 200 Mb/s dans le sens Equinix => OVH, c'est normal pour OVH d'avoir un faible trafic entrant.

La piste d'un attaque semble la plus probable.

Le wethermap le d'OVH 2mars à 21h50 : Seul level 3 sature (dans l'autre sens)

Thibault · « **Réponse #4 le:** 02 mars 2015 à 23:07:45 »

Ils ont coupé le lien je pense : Dans le sens entrant.

vivien · « **Réponse #5 le:** 03 mars 2015 à 08:33:41 »

Ou ils ont rajouté un prepend pour qu'il soit moins utilisé.

K-NEt passe par France-IX :

Adeli passe par Lyon-IX :
$ mtr -4rwc100 gra.proof.ovh.net Start: Tue Mar 3 08:22:19 2015 HOST: lafibre.info Loss% Snt Last Avg Best Wrst StDev 1.|-- portevlan.adeli.biz 0.0% 100 0.3 2.1 0.2 54.1 7.3 2.|-- rr-l2-vlan500.ix.lyonix.net 0.0% 100 1.2 1.2 1.1 1.9 0.0 3.|-- ? ? 100.0 100 4.|-- th2-g1-a9.fr.eu 0.0% 100 7.4 7.2 7.0 7.6 0.0 5.|-- gra-g2-a9.fr.eu 0.0% 100 11.5 11.7 11.2 13.0 0.3 6.|-- gra-3b-a9.fr.eu 0.0% 100 11.7 12.0 11.4 14.7 0.4 7.|-- gra.proof.ovh.net 0.0% 100 11.3 11.2 11.0 11.6 0.0

Cela a dégradé le ping de 1ms :

Dans le sens OVH => Adeli, on passe bien par Equinix :
$ mtr -4rwc100 lafibre.info Start: Tue Mar 3 08:30:41 2015 HOST: Loss% Snt Last Avg Best Wrst StDev 1.|-- 37.187.131.252 0.0% 100 0.6 1.0 0.5 2.9 0.3 2.|-- gra-g2-a9.fr.eu 0.0% 100 0.8 0.8 0.6 1.9 0.1 3.|-- th2-g1-a9.fr.eu 0.0% 100 5.2 5.1 4.9 6.8 0.2 4.|-- th2-5-6k.fr.eu 89.0% 100 38.4 12.8 4.6 38.4 14.1 5.|-- adeli.equinix-ix.fr 0.0% 100 11.2 12.6 11.1 58.6 5.0 6.|-- lafibre.info 0.0% 100 11.0 11.1 11.0 11.3 0.0