Auteur Sujet: protection Anti-DDoS (Lu 5229 fois)

vivien · « **le:** 02 septembre 2013 à 16:29:38 »

Le prix ds serveurs OVH augmente mais une proteciton Anti-DDoS est rajoutée.

Moins de 90 secondes après le début d'une attaque, le trafic est redirigé vers une plate-forme située à l'entrée du réseau et capable de traiter 480 Gb/s et de filtrer tout ce qui est attaqué pour protéger OVH et éviter qu'une attaque DDOS de 10 Gb/s impacte des centaines de serveurs situé sur le même lien 10 Gb/s.

Par contre, je pense que le port qui est attaqué sera inutilisable pour le client (si c'est le port 80, c'est dommage

)

Intervention d'Octave à l'instant :

Bonjour,
Il y a 2-3 mois nous avons annoncé les travaux sur les protections Anti-DDoS: http://forum.ovh.com/showthread.php?t=89081

Depuis nous avons travaillé sur la mise en place de ces protections dans le but de vous offrir un service par défaut, non limité dans le temps, non limité en taille de l'attaque ni en type de l'attaque. Nous avons mis en place 3 infrastructures qu'on appelle "VAC" qui ont une capacité 480Gbps/480Mpps couplées à la backbone où nous avons plus de 2Tbps de bande passante excédentaire pour recevoir les attaques puis les mitiger.

C'est beaucoup mais dans les protections Anti-DDoS il n'y a pas de marketing. Soit ça fonctionne et ça tient soit tout est en panne. Nous avons donc voulu protéger vos serveurs sans mettre en panne notre backbone ni les autres clients. Et donc il fallait concevoir une protection qui est capable de vous protéger contre n'importe laquelle attaque. Bref, il fallait voir grand
dés le départ. A ce jour, nous avons la plus grande infrastructure de mitigation qui a été publiquement annoncée, probablement parce que nous sommes les seuls sur le marché à pratiquer la transparence même lorsqu'il s'agit de sujets aussi sensibles que les attaques DDoS.

Le défi que nous nous sommes lancé a été de concevoir une infrastructure de mitigation capable de prendre les attaques de de 0.5Tbps tout en la proposant à un prix incroyablement pas cher: le target a été mis à +1e/mois par service. Nous avons remis en question les solutions techniques pour une fois encore innover et faire autrement, plus grand, moins cher et plus rapidement.

En effet, à l'opposé du marché, nous estimons que les protections Anti-DDoS doivent faire parti du service inclue et protéger totalement tous les clients, sans exception et sans difference de service réellement proposé. On ne voulait pas avoir des options payantes sur l'Anti-DDoS car le nombre d'attaque depuis 2 ans a fortement augmenté, et on ne peut plus réellement se dire que d'être à l'abri.

Il y a 2 mois nous avons annoncé que nous avons choisi de mutualiser les coûts du service Anti-DDoS sur tous les clients et de réduire l'augmentation de prix de service pour les anciens clients comme pour les nouveaux. Nous sommes heureux de vous annoncer que nous avons pu tenir cet engagement.

A partir d'aujourd'hui, le service Anti-DDoS passe en STABLE et nous intégrons le coût d'Anti-DDoS dans le prix pour les services suivants:

VPS
===
- VPS: +0.5e/mois

Serveurs dédiés
===============
- KS: +1.0e/mois
- SP: +1.0e/mois
- FS: +1.0e/mois
- EG: +2.0e/mois
- MG: +2.0e/mois
- mHG: +3.0e/mois
- HG: +3.0e/mois

pCC
===
- host S +2.0e/mois
- host S++ +2.0e/mois
- host M +2.0e/mois
- host L +2.0e/mois
- host L+ +2.0e/mois
- host L++ +2.0e/mois
- host L2 +3.0e/mois
- host L2+ +3.0e/mois
- host XL +3.0e/mois
- host XL+ +3.0e/mois

Ainsi, tous ces services ont la protection Anti-DDoS qui protège contre toutes les attaques et sans limitation.

Pour un paiement annuel du serveur, nous avons mis en place une remise équivalente au montant annuel de l'augmentation du prix.

Nous avons mis au point 3 innovations exclusives que nous avons inclue dans l'utilisation professionnelle:

- la mitigation permanente, au lieu d'auto-mitigation c'est à dire qu'il est possible d'activer la mitigation 24/24 au lieu de laisser Ovh détecter les attaques, activer la mitigation et la désactiver après l'attaque.

- le firewall network qui permet d'autoriser tous les ports où vous avez le service et bloquer tout le reste.

- l'accès aux l'archive de flux qui sont passés par le VAC sur 7J avec une possibilité d'extraction des logs pour l'analyse avec les informations sur ce qui a été bloqué et ce qui a été accepté.

Comme annoncé, le prix de l'utilisation professionnelle sur le EG et le MG passe de 15e/mois à 30e/mois. Aucun changement sur le SP et le HG.

Pour les VPS, les KS et le pCC qui n'ont pas l'utilisation pro, nous allons proposer l'option "Anti-DDoS PRO" dans quelques jours.

En terme de SLA, nous ajoutons l'engagement en terme de temps de détection de l'attaque et de la mise sous l'auto-mitigation qui est inférieur à 90 secondes.

En savoir plus sur les protections Anti-DDoS: https://www.ovh.com/fr/anti-ddos/

Amicalement
Octave

Leon · « **Réponse #1 le:** 02 septembre 2013 à 18:44:15 »

Citation de: vivien le 02 septembre 2013 à 16:29:38

Par contre, je pense que le port qui est attaqué sera inutilisable pour le client (si c'est le port 80, c'est dommage )

J'ai un peu suivi les différents messages d'Octave, et il disait clairement que ça ne fermera pas les ports aussi simplement. Je ne sais pas trop comment c'est fait, mais pour les vraies attaques par "requête HTTP", les plus complexes à résoudre, il y a une analyse des connexions http. Ce qu'il appelle une protection layer 7. Mais clairement, cette partie là n'est apparemment pas encore au point, donc je me demande bien pourquoi ils lancent ça commercialement dès maintenant. Ca n'est pas prêt!

Autre remarque : dès qu'OVH a annoncé que cette "option" serait incluse dans l'offre, Online-fr a immédiatement réagi en lançant la même chose. Bref, la concurrence entre ces 2 acteurs de l'hébergement français a vraiment du bon, et c'est le client qui en bénéficie au final. Merci à eux!

Leon.

« **Réponse #2 le:** 02 septembre 2013 à 22:33:37 »

Il y a des attaques DoS vicieuses au niveau applicatif qui consomment des ressources sur le serveur, mais pour le fournisseur de tuyau c'est assez indolore, pour les voisins aussi.

En protégeant un client d'une attaque massive par inondation bête et méchante, le fournisseur protège aussi ses autres clients et son réseau.

Donc pour moi ça a un sens de lancer ce service même sans avoir rien à proposer au niveau applicatif!

MeMyselfandI · « **Réponse #3 le:** 04 septembre 2013 à 13:28:41 »

J'en profite pour vous demandez qu'elles sont les moyens à mettre en oeuvre lors d'une attaque DDOS sur un particulier.. a part désactiver la réponse au ping de la box,la seul réponse actuel que l'on fournis et de porter plainte) pour que j'imagine ce soit éventuellement remonté et avéré et peut-etre une fois avoir recu une ordonnance afin de changer l'ip ( je ne sais pas dans la pratique comment cela ce fait) mais a priori c'est un N3 qui le fait ( pour changer de position sur le dslam?) ce qui est tres long et n'aboutit pas tjr je pense.

qu'elles sont donc pour vous les moyens pratiques ( en zone degroupé) à mettre en oeuvre pour un abonné?

Leon · « **Réponse #4 le:** 04 septembre 2013 à 18:22:14 »

Euh, ça existe les attaques de simples accès particuliers? Parce que ça coute quand même de l'argent, de déclencher une attaque. Et en général, c'est déclenché s'il y a un enjeu économique ou autre. Mais qui viserai un particulier?

Leon.

thenico · « **Réponse #5 le:** 04 septembre 2013 à 20:39:56 »

Oui, cela existe (surtout sur des réseaux IRC orientés kiddie).
Et pour faire tomber un accés ADSL ou cable, un vps suffit.

« **Réponse #6 le:** 04 septembre 2013 à 20:52:17 »

C'est là que le CGN serait intéressant!