oles@ovh.net
30.10.2008, 13.24
Bonjour,
Il y a quelques années, nous avons mis en place les protections
de serveurs de nos clients contre les attaques venant de l'Internet.
Nous nous sommes concentrés sur les grosses attaques de 500Mbps,
1Gbps ou 4Gbps venant de plusieurs centaines, milliers de serveurs
en destination d'un serveur hébergé chez Ovh. Ce genre d'attaque
ne posait pas de problème sur les routeurs (nous avons beaucoup
de capacité entre Internet et Ovh). Par contre lorsque l'attaque
n'était pas correctement filtrée, le problème apparaissait dans
la baie du serveur victime et donc sur 40/50 serveurs voisins.
Il y a 2-3 ans, dans 99% de cas, il s'agissait de guerres entre les
bandes de hackeurs. L'une de bandes a décidé d'attaquer un serveur
dédié qui hébergé le bot IRC d'une autre bande pour récupérer
l'accès à un channel IRC et il se trouvait que le bot IRC était
hébergé chez Ovh sur un serveur dédié. Et donc lorsqu'une attaque
a été reçue sur un serveur dédié, le serveur a été suspendu et
le contrat cassé.
Depuis la mise en place de filtrage IRC (avec déblocage manuel
par le client dans le manager), et la mise en place de protection
INPUT/OUTPUT (http://travaux.ovh.com/?do=details&id=1421), nous
avons vécu un temps calme et heureux. Ceci marche très bien, car
comme décrit dans le task 1421, nous avons eu une protection par
connexion (100Mbps puis au bout de 32Mo, la connexion passe à 10Mbps)
sans aucune limitation sur la somme de toutes les connexions.
Si quelqu'un attaquait un serveur, son attaque était rapidement
limité à 10Mbps. Et 10Mbps dans pas mal de cas, n'est pas un
problème.
Aujourd'hui, nous souhaitons gérer les petites attaques de 1Mbps,
10Mbps ou 20Mbps. Ce genre d'attaque sont souvent invisibles
pour Ovh puisque notre réseau a une capacité de 400Gbps. On
ne voit pas une attaque de 1Mbps. Or ce genre de petites attaques
sont très dure à gérer pour nos clients. Souvent malgré le
peu de Mbps reçu, le client ne peut plus se connecter sur le
serveur et bloquer l'attaque sur le serveur directement. Et
même s'il arrive, il suffit d'augmenter l'attaque de 20Mbps
à 80Mbps pour que le client perde à nouveau le contrôle du
serveur.
Nous avons mis au point 4 types de protections que le client
peut ou pas activer pour protéger son serveur. Ces protections
doivent maintenant être testés avec certains d'entre vous afin
d'affiner les réglages au besoins réels de nos clients.
4 protections:
- pas de protection du tout:
le client souhaite profiter au maximum de la bande passante
qu'Ovh lui propose. Nous avons enlevé la protection du task
1421 (en bêta test).
- protection WWW:
Si le client a une activité WWW avec les sites Internet
Web 2.0, il peut profiter d'une protection active de son
serveur contre les attaques. Il s'agit de limites la bande
passante entre Internet et le serveur du client, IP par IP
et gérer cette bande passante de chaque IP de l'Internet
vers le serveur. Les visiteurs profitent pleinement des
sites et il n'y a aucune dégradation du service. Par contre
on ne peut pas utiliser le serveur pour les backups ou
transfert de gros fichiers de l'Internet vers le serveur.
Les routeurs bloquent automatiquement ce genre "d'attaque".
Si le client souhaite utiliser le serveur comme le backup,
il suffit de prendre une IP fail-over, accrocher sur le
serveur et ne pas la protéger contre les attaques. Ainsi,
l'activité principale du serveur se basant sur l'IP du
serveur est protégé et sur l'IP fail-over, le client peut
mettre les activités qui nécessitent beaucoup de bande
passante entrante.
- protection GAME:
On voit de plus en plus souvent de petites attaques entre
les joueurs qui attaquent un autre joueur pour le retarder
dans le jeux et gagner la partie ... Nous avons mis au point
une protection spécialement conçue pour les serveurs de jeux.
Mais il faut encore l'affiner.
- protection TOTALE:
si un serveur reçu une attaque importante, nos équipes doivent
intervenir sur le réseau et bloquer l'attaque de manière
rapide et efficace. Cette protection est uniquement destiné
à l'utilisation interne. Une fois la protection mise, le
serveur fonctionne correctement et le client a un total
contrôle sur le serveur. Par contre, il ne peut rien transférer
sur le serveur. Dés qu'il y a trop de packets venant de l'Internet
vers le serveur, les routeurs protègent l'infrastructure d'Ovh.
Ces protections seront rapidement disponibles dans le manager
et activable avec un simple clic.
En attendant, on cherche les bêtas testeurs pour la protection WWW
et GAME. N'hésitez pas m'écrire sur oles@ovh.net en donnant votre
identifiant (-OVH) et l'IP de votre serveur. Si vous voyez d'autres
types de protections à développer, merci de nous faire part de
vos expériences.
Amicalement
Octave
Il y a quelques années, nous avons mis en place les protections
de serveurs de nos clients contre les attaques venant de l'Internet.
Nous nous sommes concentrés sur les grosses attaques de 500Mbps,
1Gbps ou 4Gbps venant de plusieurs centaines, milliers de serveurs
en destination d'un serveur hébergé chez Ovh. Ce genre d'attaque
ne posait pas de problème sur les routeurs (nous avons beaucoup
de capacité entre Internet et Ovh). Par contre lorsque l'attaque
n'était pas correctement filtrée, le problème apparaissait dans
la baie du serveur victime et donc sur 40/50 serveurs voisins.
Il y a 2-3 ans, dans 99% de cas, il s'agissait de guerres entre les
bandes de hackeurs. L'une de bandes a décidé d'attaquer un serveur
dédié qui hébergé le bot IRC d'une autre bande pour récupérer
l'accès à un channel IRC et il se trouvait que le bot IRC était
hébergé chez Ovh sur un serveur dédié. Et donc lorsqu'une attaque
a été reçue sur un serveur dédié, le serveur a été suspendu et
le contrat cassé.
Depuis la mise en place de filtrage IRC (avec déblocage manuel
par le client dans le manager), et la mise en place de protection
INPUT/OUTPUT (http://travaux.ovh.com/?do=details&id=1421), nous
avons vécu un temps calme et heureux. Ceci marche très bien, car
comme décrit dans le task 1421, nous avons eu une protection par
connexion (100Mbps puis au bout de 32Mo, la connexion passe à 10Mbps)
sans aucune limitation sur la somme de toutes les connexions.
Si quelqu'un attaquait un serveur, son attaque était rapidement
limité à 10Mbps. Et 10Mbps dans pas mal de cas, n'est pas un
problème.
Aujourd'hui, nous souhaitons gérer les petites attaques de 1Mbps,
10Mbps ou 20Mbps. Ce genre d'attaque sont souvent invisibles
pour Ovh puisque notre réseau a une capacité de 400Gbps. On
ne voit pas une attaque de 1Mbps. Or ce genre de petites attaques
sont très dure à gérer pour nos clients. Souvent malgré le
peu de Mbps reçu, le client ne peut plus se connecter sur le
serveur et bloquer l'attaque sur le serveur directement. Et
même s'il arrive, il suffit d'augmenter l'attaque de 20Mbps
à 80Mbps pour que le client perde à nouveau le contrôle du
serveur.
Nous avons mis au point 4 types de protections que le client
peut ou pas activer pour protéger son serveur. Ces protections
doivent maintenant être testés avec certains d'entre vous afin
d'affiner les réglages au besoins réels de nos clients.
4 protections:
- pas de protection du tout:
le client souhaite profiter au maximum de la bande passante
qu'Ovh lui propose. Nous avons enlevé la protection du task
1421 (en bêta test).
- protection WWW:
Si le client a une activité WWW avec les sites Internet
Web 2.0, il peut profiter d'une protection active de son
serveur contre les attaques. Il s'agit de limites la bande
passante entre Internet et le serveur du client, IP par IP
et gérer cette bande passante de chaque IP de l'Internet
vers le serveur. Les visiteurs profitent pleinement des
sites et il n'y a aucune dégradation du service. Par contre
on ne peut pas utiliser le serveur pour les backups ou
transfert de gros fichiers de l'Internet vers le serveur.
Les routeurs bloquent automatiquement ce genre "d'attaque".
Si le client souhaite utiliser le serveur comme le backup,
il suffit de prendre une IP fail-over, accrocher sur le
serveur et ne pas la protéger contre les attaques. Ainsi,
l'activité principale du serveur se basant sur l'IP du
serveur est protégé et sur l'IP fail-over, le client peut
mettre les activités qui nécessitent beaucoup de bande
passante entrante.
- protection GAME:
On voit de plus en plus souvent de petites attaques entre
les joueurs qui attaquent un autre joueur pour le retarder
dans le jeux et gagner la partie ... Nous avons mis au point
une protection spécialement conçue pour les serveurs de jeux.
Mais il faut encore l'affiner.
- protection TOTALE:
si un serveur reçu une attaque importante, nos équipes doivent
intervenir sur le réseau et bloquer l'attaque de manière
rapide et efficace. Cette protection est uniquement destiné
à l'utilisation interne. Une fois la protection mise, le
serveur fonctionne correctement et le client a un total
contrôle sur le serveur. Par contre, il ne peut rien transférer
sur le serveur. Dés qu'il y a trop de packets venant de l'Internet
vers le serveur, les routeurs protègent l'infrastructure d'Ovh.
Ces protections seront rapidement disponibles dans le manager
et activable avec un simple clic.
En attendant, on cherche les bêtas testeurs pour la protection WWW
et GAME. N'hésitez pas m'écrire sur oles@ovh.net en donnant votre
identifiant (-OVH) et l'IP de votre serveur. Si vous voyez d'autres
types de protections à développer, merci de nous faire part de
vos expériences.
Amicalement
Octave