OVH sous attaque

De : oles@ovh.net
Objet : hosting l’attaque d’aujourd’hui
Date : 30 avril 2006 01:52:59 GMT+02:00
à€ : hosting@ml.ovh.net
Répondre à : hosting@ml.ovh.net

Bonjour,
Nous avons reà§u aujourd’hui une attaque sur 720plan à partir
de 1h00 du matin. Vers 13h00 l’attaque a saturé le système de
répartition de l’hébergement mutualisé. Il s’agit de l’attaque
de type synflood spoofé sur le port 80 en TCP avec une vitesse
d’environ 100’000 syn/sec. Pour faire simple : 100’000 faux
nouveaux visiteurs par seconde essaient de se connecter sur 720plan.

L’attaque est maà®trisée depuis plusieurs heures et méme si nous
la recevons toujours, nous n’enregistrons plus de dégradation
de service. Nous avons mis en place des filtrages efficaces qui
permettent séparer les vraies visiteurs de vos sites de l’attaque.

Explications techniques :


Ce type d’attaque fait parti des attaques les plus complexes à
filtrer pour les hébergeurs, puisqu’il est difficile de distinguer
la vraie connexion du vrai visiteur dans l’ouragan de toutes
les fausses connexions. Nous avons déjà reà§u ce type d’attaque à
multiples reprises et depuis des années. C’est toujours un test
que nous avons passé avec plus ou moins de succès à chaque fois.
Depuis 2 ans environ, nous avons décidé prendre devant en passant
le système de répartition de charge sur des cartes SLB de Cisco.
L’objectif était de ne plus avoir à passer de test mais d’avoir
une structure solide qui tient toutes les attaques. En effet, une
carte SLB sait gérer 1’000’000 connexions simultanées et donc cela
constitue une réponse au problème des attaques. Depuis la mise en
production des cartes SLB, nous avons reà§u déjà plusieurs dizaines
d’attaques sur la carte SLB sans aucune dégradation sur la qualité
du service. Les parades que nous avons mis en place grà¢ce ces attaques
précédentes ont permit contenir par exemple aujourd’hui l’attaque entre
1h00 et 13h00. Mais l’attaque a été plus importante que les précédentes.
En effet, elle a saturé la SLB à 1’000’000 connexions simultanées à
13h00 et donc la SLB n’acceptait plus des nouvelles connexions pour
l’ensemble des plans et des clients HA.

2 problèmes nous ont trompé dans l’analyse et ont retardé la résolution
du problème : ce Vendredi nous avons transféré le routage de l’hébergement
mutualisé sur 2 nouveaux routeurs qui ne possèdent pas encore le système
de détection d’attaque (il s’agissait d’un test de la future installation
de routage de l’hébergement mutualisé qu’on prépare pour Juin et qui
n’est pas encore fini). Nous avons dà » remettre en place le routage
standard en urgence ce qui a provoqué une coupure sur tout le réseau
d’Ovh. Aussi, nous avons mis dans la SLB les nouveaux serveurs (sur le port
81) en vue du futur changement de l’installation. La carte SLB s’est donc
retrouvée avec 2 fois plus des serveurs que d’habitude à vérifier (en temps
normal cela ne pose pas de problème) mais après un reboot, la carte n’arrivait
pas tout vérifier et crash-ait immédiatement. Ces 2 problèmes de circonstances
ont provoqué des retards anormales dans la gestion de l’attaque.

Une fois ces problèmes résolus, nous avons mis en place des solutions en place.
Actuellement l’attaque continue toujours mais il n’y a plus aucun problème
sur aucun hébergement. L’attaque est vérifiée et filtrée en temps réel et
les paramètres que nous avons mis en place permettent filtrer efficacement
les vraies visiteurs de l’attaque.

Méme si nous ne sommes pas contents de nous pour la rapidité de résolution
du problème, cette attaque a mis en évidence plusieurs points qui sont
très encouragent :
- La solution hardware que nous avons choisi (SLB de Cisco) permet gérer

 ce genre d’attaque avec succès, quelque soit la taille de l’attaque.
 Il suffit mettre en place les bons paramètres. Cela prend un peu de temps
 pour tester et trouver les bons paramètres en fonction de l’attaque, mais
 vu l’expérience d’aujourd’hui, nous pensons étre capable d’adapter les 
 paramètres sans dégradation du service dans le futur. La configuration que 
 nous avons actuellement en production pour 720plan est déjà  appliquée pour 
 les autres plans et elle permet encaisser déjà  une belle attaque.

- La future installation qu’on est en train de préparer sera encore plus

 robuste que l’actuelle puisqu’elle permettra distribuer le risque d’une 
 panne plan par plan. En effet, on prévoit d’utiliser une carte SLB par plan 
 carrément. Si un plan est éventuellement attaquée et par des problèmes de
 circonstances, cela se passe mal, ce plan là  uniquement connaà®tra une 
 dégradation de service.

Ce n’est jamais un plaisir de recevoir une attaque, mais cela fait parti
de notre travail de les gérer correctement. Nous ne sommes pas satisfait
de l’expérience d’aujourd’hui. Il faut accepter de ne pas réussir à tous
les coups. Si, vous ne recevez plus ce genre d’email que vous étes en
train de lire, à§a sera la meilleur preuve que nos conclusions tiennent
la route.

Désolé pour les pannes d’aujourd’hui.

Task :

 http://travaux.ovh.com/édo=details&id=899

Amicalement
Octave


Desinscription : mailto:hosting-unsubscribe@ml.ovh.net
Les liens utiles : http://faq.ovh.fr

Les archives de la mailing news ://ml.ovh.net ou http://ml.ovh.net/


Envie de recevoir nos dernières nouvelles? Inscrivez-vous à notre newsletter