Posto anche qui la mia disaventura con l'assistenza!

e su questo possiamo essere d'accordo. allora al primo attacco subito si manda via? non credo. tra l'altro, puo' capitare (e a me e' successo, in un'altra farm) di essere vittima di attacchi a range e quindi subirlo senza "colpe".

se bisogna salvaguardare tutti i clienti, allora si deve pensare anche a chi subisce l'attacco.
il punto e' che ovh salvaguarda la sua rete e il resto dei clienti, non tutti. sono politiche aziendali.
e' chiaro che se non hai l'infrastruttura e gli strumenti adatti non puoi far altro che mettere in nullroute degli IP sotto attacco - agevolando la riuscita del dDoS - ma non e' certamente la migliore o l'unica strada percorribile.

se il problema del dDoS e' pesante, allora bisogna porre un rimedio efficace, non un palliativo come il nullroute.
se ci sono 80mila server, i costi di un'infrastruttura che mitighi gli attacchi dDoS a monte dei datacenter verrebbe ammortizzato in relativamente poco tempo, anche se l'investimento e' sicuramente grosso.
ovviamente, ma credo sia inutile specificarlo, il filtro a monte non impedisce l'utilizzo del nullroute come ulteriore misura.
poi noi qui possiamo stare a parlare giorni e giorni, ma se le politiche aziendali sono quelle, ci si puo' fare molto poco.

come detto piu' su, il nullroute e' una cosa che imho va usata per filtrare l'attacco che non viene mitigato a sufficienza, non come prima misura contro i dDoS.

my 2 cents

Chi riceve ddos non è mai un buon cliente per una server farm.

Assolutamente falso. La società OVH ha il compito di salvaguardare TUTTI i cliente e non il singolo.
Dunque la priorità è circoscrivere il problema immediatamente. Come? Nullroute dell'IP attaccato e se ci sono ripercussioni ad altri clienti o eventuali futuri ripetuti attacchi, sospendendo il servizio del cliente attaccato.

La soluzione te l'ho appena presentata.

Anche non basso = costo alto. Il che è vero. per il fatto dell'utenza, ti ricordo che OVH non è una server farm che vende solo in Italia dato che ha 4 datacenter con oltre 80 mila server da gestire (e parliamo solo di server dedicati, non includo web hosting, domini, MX, etc..).
Di sicuro come scritto sopra, la preoccupazione principale è bloccare il problema alla radice e drasticamente per impedire danni molto più seri che perdere un server magari adibito a gameserver (mi riferisco a molti ddos effettuati verso server Metin2, successivamente sospesi).

io credo che la gestione della rete sia a carico della farm, che ne gestisce la struttura.
posso comprendere la non assunzione di responsabilita' sui dDoS subiti dai clienti, anche in virtu' di poter offrire anche il servizio dei firewall hardware dedicati, che pero', dalle informazioni che si evincono dalla pagina che hai linkato, non dovrebbero proteggere contro gli attacchi dDoS.
quello che mi sorprende e' che un'azienda come ovh, che ha un numero elevatissimo di clienti, che offre soluzioni per moltissime esigenze, che si preoccupa della sicurezza della propria rete informatica, non abbia delle soluzioni non per evitare - perche' sarebbe impossibile farlo - ma almeno per mitigare per bene gli attacchi dDoS.
ho letto (ora non ricordo esattamente in quale thread su questo forum e sono leggeremente di corsa) che le misure adottate verso chi subisce attacchi di tipo dDoS servano per evitare che gli switch di armadio vengano saturati dall'attacco e quindi che anche i server connessi allo stesso switch subiscano dei danni.
ecco: filtrando in buona parte a monte il traffico, questa cosa non succederebbe. certo, tutto cio' ha un costo, anche non basso, e me ne rendo conto, ma e' anche vero che la fetta di utenza che riceve attacchi dDoS e' relativamente bassa.
ci si pensa al fatto che magari con un lieve aumento del canone mensile, si possa offrire un servizio notevolmente migliore da questo punto di vista con in piu' un fortissimo ritorno di immagine che porterebbe ad un maggiore incremento dei clienti?

ciao

Fra i servizi OVH c'è la possibilità di avere in gestione un Firewall Hardware che ti permette di gestire il filtering degli IP.
La protezione dagli attacchi DDOS non è di competenza OVH la quale può anche chiudere il tuo servizio a causa di saturazione rete.
Il cliente deve essere in grado in modo autonomo di gestire qualsiasi situazione in quanto il servizio è completamente unmanaged.

Per il Firewall ti consiglio di visionare la seguente sezione:
http://www.ovh.it/item/firewall_servers_dedicati.xml

e secondo te come faccio a saperlo senza aver accesso al router del rack?

questo numero me lo segno! grazie infinie sperando che almeno loro siano in grado di abilitare un protocollo nel router!

+33 09 74 53 13 23

Se non hai già chiamato, questo è il numero dell'assistenza francese, aperto 24/7. Chiama qui: ho avuto anche io una disavventura, un anno fa, che richiedeva NECESSARIAMENTE l'intervento di un tecnico (un RPS era completamente bloccato perché lo spazio su disco si era improvvisamente saturato - mai capito perché, e forse neanche quelli di OVH. era completamente pieno, e non potevo neanche cancellare files, nemmeno in recovery mode). Ho dovuto fare 5 telefonate, parlando in inglese (la donna all'altro capo del telefono non lo parlava benissimo... ma insistendo sono riuscito a spiegarmi ), ma alla fine sono riuscito a farli intervenire.

attiva opzione no route del ip attaccante

si ma c'e' l'opzione di blocco degli ip nel router perforza!

possibile che non li tocchi minimamente sta cosa fincheè l'attacco si limita ai 50 mb iptable fa il suo lavoro ma sorpassata tale soglia è impossibile lato software sulla macchina far fronte a queste cose..

dovrebbero attivarsi loro avendo accesso al router!

Ovh non da protezione alcuna da ddos.
Che io sappia si limitano a null-routare l'ip soggetto all'attacco finchè l'attacco non cessa.
Ti conviene rivolgerti a provider specializzati in questo tipo di servizio.
:: SPAM ::

Vi illustro la mia situazione, da 2 giorni stiamo ricevendo un attacco ddos da 78mb/s di entrata sito e nostri servizi ovviamente sono tutti offline abbiamo aperto un ticket da 2 giorni e la risposta e' stata un safe reboot!

Adesso il mio staff non è mongoloide siamo nel settore da 5 anni, tutti con competenze universitarie avanzate, un attacco ddos nn si risolve rebottando!

i grafici mostrano tutto basterebbe rivelare le ip nel router e come suppongo l'hub di rete sia sotto un cisco business filtrare tutto quello che proviene dagli ip, a noi non sembra una cosa che necessita un tempo piu lungo delle 24 ore..

La cosa che mi fa piu innervosire è il completo menefreghismo dei tecnici ( francesi presumo ), non sono in grado di dare un minimo di protezione o in mino di assistenza di un ticket aperto ieri!

cosa dovrei fare? chiamare direttamente la polizia postale e querelare prima kimsufi ( ovh ) e poi denuncia verso ignoti per attacco informatico?

non so piu dove parare, le noster competenze finisco nel settare iptable e nel tolgiere e rimettere i failover! tutto finsice qui! abbiamo compilato anche kernel ad hoc ma sopra i 70 mb di entrata non riusciamo a fare niente!

poco fa sono riuscito a scoprire che il ddos proviene da 8 shell, quindi non deve essere poi cosi difficile escludere l'arrivo di dati da determinate shell!