La Fibre
Hébergeurs et opérateurs pro / entreprises => Hébergeurs et opérateurs pro / entreprises => 
OVHcloud => Discussion démarrée par: Thibault le 02 mars 2015 à 18:45:24
-
Bonjour,
Depuis quelques heures OVH sature sur Equinix :
(https://lafibre.info/images/ovh/201502_ovh_saturation_equinix.png)
Depuis un serveur OVH :
root@5:~# mtr -4rwc10 lafibre.info
HOST: 5 Loss% Snt Last Avg Best Wrst StDev
1.|-- --- 0.0% 10 0.0 0.1 0.0 0.1 0.0
2.|-- gra-g2-a9.fr.eu 0.0% 10 0.8 0.9 0.7 2.7 0.6
3.|-- th2-g1-a9.fr.eu 0.0% 10 5.9 5.3 5.0 6.4 0.5
4.|-- th2-5-6k.fr.eu 10.0% 10 4.7 4.7 4.7 4.8 0.0
5.|-- adeli.equinix-ix.fr 0.0% 10 46.0 41.4 34.1 54.4 6.1
6.|-- lafibre.info 0.0% 10 40.4 40.2 32.0 47.7 5.1
Graphiques vers Lafibre.info depuis un serveur OVH :
(http://puu.sh/gjt8E/ca3c9cad5e.png)
(http://puu.sh/gjt9g/9bfa646da8.png)
Graphique vers K-net depuis un serveur OVH :
HOST: 5 Loss% Snt Last Avg Best Wrst StDev
1.|-- ----- 0.0% 1 0.1 0.1 0.1 0.1 0.0
2.|-- gra-g2-a9.fr.eu 0.0% 1 0.9 0.9 0.9 0.9 0.0
3.|-- th2-g1-a9.fr.eu 0.0% 1 6.4 6.4 6.4 6.4 0.0
4.|-- ??? 100.0 1 0.0 0.0 0.0 0.0 0.0
5.|-- kwaoo.equinix-ix.fr 0.0% 1 32.9 32.9 32.9 32.9 0.0
6.|-- ??? 100.0 1 0.0 0.0 0.0 0.0 0.0
7.|-- Ip Privée 0.0% 1 45.4 45.4 45.4 45.4 0.0
(http://puu.sh/gjthL/7f897f910d.png)
-
En effet, c'est bien visible depuis OVH Gravelines.
EDIT: j'ai ajouté d'autres sites web
-
C'est étonnant, car OVH a naturellement un trafic majoritairement sortant.
Là c'est le trafic entrant qui sature le port, c'est donc une situation exceptionnelle.
Une attaque DDOS depuis un autre hébergeur Français ? (la liste de ceux qui sont sur Equinix et connecté en 10 Gb/s est très limitée - il me semble peu probable qu'un opérateur avec 1 ou 2 Gb/s sur Equinix puisse saturer OVH)
Online : PNI avec OVH donc peering sur Equinix non utilisé
SFR : PNI avec OVH donc peering sur Equinix non utilisé
Bouygues : PNI avec OVH donc peering sur Equinix non utilisé
Quelle pourrait être la source ?
Le SmokePing depuis Adeli, montre une saturation à partir de 11h00, heure ou le réseau est peu chargé.
(https://lafibre.info/images/ovh/201502_ovh_saturation_equinix_smokeping.png)
-
Saturation terminée.
Le trafic est re-descendu à 200 Mb/s dans le sens Equinix => OVH, c'est normal pour OVH d'avoir un faible trafic entrant.
La piste d'un attaque semble la plus probable.
Le wethermap le d'OVH 2mars à 21h50 : Seul level 3 sature (dans l'autre sens)
(https://lafibre.info/images/ovh/201502_ovh_weathermap_backbone.png) (https://lafibre.info/images/ovh/201502_ovh_weathermap_backbone.png)
-
Ils ont coupé le lien je pense : Dans le sens entrant.
(http://puu.sh/gjOML/0ca51d8cf2.png)
(https://lafibre.info/images/k-net/201402_wethermap_k-net_legende.png)
-
Ou ils ont rajouté un prepend pour qu'il soit moins utilisé.
K-NEt passe par France-IX :
(https://lafibre.info/images/k-net/201503_k-net_ovh.png)(https://lafibre.info/images/k-net/201402_wethermap_k-net_legende.png)
Adeli passe par Lyon-IX :
$ mtr -4rwc100 gra.proof.ovh.net
Start: Tue Mar 3 08:22:19 2015
HOST: lafibre.info Loss% Snt Last Avg Best Wrst StDev
1.|-- portevlan.adeli.biz 0.0% 100 0.3 2.1 0.2 54.1 7.3
2.|-- rr-l2-vlan500.ix.lyonix.net 0.0% 100 1.2 1.2 1.1 1.9 0.0
3.|-- ? ? 100.0 100
4.|-- th2-g1-a9.fr.eu 0.0% 100 7.4 7.2 7.0 7.6 0.0
5.|-- gra-g2-a9.fr.eu 0.0% 100 11.5 11.7 11.2 13.0 0.3
6.|-- gra-3b-a9.fr.eu 0.0% 100 11.7 12.0 11.4 14.7 0.4
7.|-- gra.proof.ovh.net 0.0% 100 11.3 11.2 11.0 11.6 0.0
Cela a dégradé le ping de 1ms :
(https://lafibre.info/images/ovh/201502_ovh_saturation_equinix_smokeping2.png)
Dans le sens OVH => Adeli, on passe bien par Equinix :
$ mtr -4rwc100 lafibre.info
Start: Tue Mar 3 08:30:41 2015
HOST: Loss% Snt Last Avg Best Wrst StDev
1.|-- 37.187.131.252 0.0% 100 0.6 1.0 0.5 2.9 0.3
2.|-- gra-g2-a9.fr.eu 0.0% 100 0.8 0.8 0.6 1.9 0.1
3.|-- th2-g1-a9.fr.eu 0.0% 100 5.2 5.1 4.9 6.8 0.2
4.|-- th2-5-6k.fr.eu 89.0% 100 38.4 12.8 4.6 38.4 14.1
5.|-- adeli.equinix-ix.fr 0.0% 100 11.2 12.6 11.1 58.6 5.0
6.|-- lafibre.info 0.0% 100 11.0 11.1 11.0 11.3 0.0