ovh - Les packets ICMP (ping)

Bonjour,
Depuis peu nous remarquons une augmentation très importante
d’attaques que notre réseau subit. La taille du réseau et
la quantité de clients qu’on héberge est à "l’origine" de
ce problème.

Il existe des attaques "bêtes" alias "trivial" qu’on ne
souhaite plus subir à chaque fois que des gamins sont
en vacances.

Nous avons décidé de limiter le trafic "internet" vers
"Ovh" au niveau de la couche ICMP. Aucune limitation sur
le TCP ni UDP (heureusement !). La couche ICMP sert à
"surveiller" le matériel sur le Net et à ce niveau là
ICMP est très coûteux à router. Nos routeurs étaient
déjà protégés depuis 7-8ans et répondaient "parfois"
aux requêtes ICMP. Désormais tout le réseau répond parfois
en ICMP.

Les conséquences :
Si vous avez des sondes qui surveillent vos installations
chez Ovh en ICMP et à partir de l’extérieur de notre
réseau, vous risquez recevoir beaucoup de "faux positive".
La solution consiste à surveiller les services type WEB,
smtp ou DNS, donc en TCP/UDP et non le serveur global en
ICMP.

Il ne s’agit pas d’une coupure totale, mais d’une limitation
à 512Kbps par connexion entre "Internet" vers "Ovh". Donc
c’est toujours possible de faire le traceroute. Juste quand
Ovh subit une attaque et cette attaque vient par le même
lien que vous utilisez, le traceroute n’est pas beau durant
l’attaque.

Le trafic ICMP n’est pas limité à l’intérieur du réseau.
Nous avons mis les protections juste sur les connexions
entre "Internet" et "Ovh". Uniquement sur la bordure du
réseau pour le trafic qui nous arrive de l’Internet.

En savoir plus :
http://travaux.ovh.com/?do=details&id=4140

Est-ce définitive ? Nous allons regarder sur 2-3 semaines
le nombre d’attaque que notre réseau subit et si ça ne
sert à rien de limiter ICMP on va enlever cette protection.
La probabilité qu’on ait cette conclusion est faible.

Par contre, on pousse Cisco pour qu’il implémente dans le
CRS-3 (le gros routeur dont tout le monde a entendu parlé)
les fonctionnalités UBRL qui ne sont possible que sur les
Cisco 6500. C’est une sort de QoS dynamique qui se base
sur le netflow pour matcher les access-list et les policy.
C’est très puissant, marche de tonneur mais demandent
les routeurs qui sont puissant en netflow. Cisco 6500
n’est pas très fort en netflow. CRS-3 l’est. Mais la
fonction n’est pas dedans. Bref ... si un jour on a des
routeurs intelligents on pourra faire cette limitation
de manière intelligente. Actuellement on fait avec les
moyens du bords :(

Amicalement
Octave

Envie de recevoir nos dernières nouvelles? Inscrivez-vous à notre newsletter