ovh - les attaques

Bonjour,

Il y a 2 semaines environ, nous avons mis en place les protections
contre les attaques qui nous donnent enfin beaucoup de satisfaction.
En gros, le DoS de type Smurf et Synflood ont été reduites de
presque 100%. On limite la bande passante sur certains type de packets
sur le trafic entrant par IP et par port. Ce que veut dire qu’,à moins
de spoofer chaque packet, une IP donnée ne peut pas balancer d’attaque
qui nous demande d’agir et donc qui met en panne le serveur. Bref, on
a reduit le nombre d’attaque bete. On a aussi reduit par la même
occasion le nombre de scans.

Il reste toutes les attaques sur la couche UDP. Ce week-end nous en
avons eu le nombre "normal" c’est à dire 5-6. Il s’agit des attaques
qui sont tellement fortes que l’astreinte d’Ovh est declanché pour
proteger l’infra. Genre 3Gbps par ici, 800Mbps par là, 1.2Gbps encore
là etc etc. Lorsqu’on analyse ces attaques, il s’agit dans 99 cas
sur 100, d’un DoS sur l’UDP à partir de 2-3 serveurs dans les autres
hosters. Nous avons dû par exemple bloquer une /16 d’un hosteur qui
ne repondait pas à nos multiples emails alors qu’on avait des attaques
multiples à partir de plein d’IP durant 3 semaines en continue
http://travaux.ovh.net/?do=details&id=4264

Les protections qu’on prepare vont resoudre ces problemes là. Il restera
de attaques super pro mais au moins on va reduire les attaques betes.

Sur la couche UDP, j’ai plusieurs questions :
- au niveau de jeux (les port 26XXX), quel trafic genere chaque joueur ?
- les tunnels, est-ce que vous pouvez me donner les IP que vous utilisez
pour faire les tunnels UDP entre Ovh et exterieur du monde ? les ports
qui sont utilisés ?
- au niveau de NFS, est-ce que vous l’utilisez entre 1 serveur chez
Ovh et un serveur hors Ovh (normalement c’est tellement fou que
personne ne devrait le faire, ultra insecure aussi). si oui merci
de me donner les IP pourque je regarde
- au niveau du DNS (le port 53) il me reste les simulations à faire
un gros serveur DNS peut envoyer 3-5Mbps vers tout internet. quels
sont les gros DNS exterieur que notre reseau utilise et combien de
trafic ça fait ? voilà la question
- NTP/SYSLOG aucun probleme

En gros, ce qu’on a prevu mettre en place :
- par défaut une protection "normale", je veux arriver à un reseau
100% protegé
- si vous avez besoins spécifique et moins de protection contre les
attaques, vous pouvez passer à "non protection".

Une fois qu’on aura fini avec tout ceci, vous allez pouvoir passer
à la protection "importante" qui étant couplé avec un firewall type
ASA permet d’eliminer 100% des attaques sur la couche 3/4. Il reste
que les attaques sur la couche 7, les vrais requetes alias DoS de
trop de visiteurs.

Amicalement
Octave

Envie de recevoir nos dernières nouvelles? Inscrivez-vous à notre newsletter