Re: os ataques

http://travaux.ovh.net/?do=details&id=5443

Devido a um ataque em curso num IP, afinámos
as regras e dominuimos o burst autorizado de um
ataque de 10000 a 8000.
O ataque passou de 70Mbps para 10Mbps. Ele continua
ma snão há nenhum impacto no servidor.

#sh inter f0/15 | i 30 sec
30 second input rate 2822000 bits/sec, 303 packets/sec
30 second output rate 62419000 bits/sec, 121785 packets/sec
[...]
#sh inter f0/15 | i 30 sec
30 second input rate 5422000 bits/sec, 585 packets/sec
30 second output rate 10334000 bits/sec, 20076 packets/sec

Não hesitem em m eindicar se existem problemas.

Olá,

As protecções contra os ataques dão bons resultados.
Tivemos de intervir apenas uma vez desde há vários dias,
quando normalmente tínhamos de gerir mais do que um
ataque por dia.

Exemplo de um ataque que foi lançado ontem às 22H e que
continua. 4Gbps UDP para um IP na OVH.

http://demo.ovh.net/fr/ba3c2a2c8e7d3...c6dcf88ab240d/

As protecções filtram estes ataques e a única prova
que que há um ataque em curso é este gráfico.
O que não é mau

Tivemos outros ataques no alojamento partilhado
desta vez. A infraestrutura não aguentou e ocorreram
2 paragens do serviço há cerca de 2 dias.

Retiramos temporariamente os AX de produção
(o tráfego passava no nível mais baixos com os ACE).
Depois melhoramos os parâmetros para evitar estas
paragens de serviço.

Resumindo, os ataques são coisas do quotidiano
de um alojador e faz parte dos ossos do ofício.
Isto não é uma guerra que ganhamos. Trata-se
apenas de atenuar os efeitos dos ataques nos
serviços do nossos clientes. Este é o desafio ...

Agradecemos que nos informem se repararem
que há menos ataques, menos problemas, menos
coisas "estranhas" a acontecerem, ou se continua
tudo igual... ou ainda pior e é uma catástrofe total,
escândalo e queremos a pele da OVH ?
Obrigado, desde já pelos vossos feedbacks

Amigavelmente,
Octave

Bom dia,

Após implementação das proteções contra os ataques sobre o
UDP, desde à 24h não tivemos de intervir para proteger a
infraestrutura. Recebemos uma dezena de ataques habituais
que não têm consequências sobre os nossos clientes.

Podemos então estimar que as parametrizações implementadas
estão corretas e suficientes.

Yes ! Esperemos de dure

Resumo :
- implementamos uma proteção sobre a entrada da nossa
rede : limitamos o tráfego UDP à 50Mbps por IP fonte. Ou
seja um IP especifica na Internet não pode enviar para a
rede da Ovh mais do que 50Mbps em UDP.

- implementamos uma proteção nos routeurs dos datacenters :
limitamos o tráfego UDP à 50Mbps por IP destino. Ou seja um
IP especifico na Ovh não pode receber mais do que 50Mbps
a partir de Internet em UDP.

Relembramos as proteções já implementadas (há 1-2 anos):
- temos uma limitação à 32Kbps por IP fonte para a Ovh sobre
a camada ICMP e TCP/SYN (com algumas exceções).

As VPS e os mC têm as seguintes proteções :
- 100Mbps por IP em TCP
- 5Mbps por IP em UDP
- 32Kbps por IP em ICMP

Não existem outras limitações e não prevemos mais nenhuma.

Tivemos um agradável acolho para a implementação destas
proteções. 1 cliente não ficou contente e tivemos muitos
feedbacks com um "ouff" de alivio. Penso que estas proteções
criam um belo valor acrescentado da nossas ofertas porte reforçam
a segurança dos serviços que os nossos clientes propõem. Quer seja
um servidor de jogos, um WEB site ou uma ligação ADSL, receber um
DoS de um concorrente é muito desagradável. Na Ovh está a partir
de agora protegido contra o humor dos seus concorrentes.


Amigavelmente,
Octave

http://travaux.ovh.net/?do=details&id=5443

vamos ativar as proteções nos routeurs nos datacenters :

vrack: done
HG 2010/2011 begin_of_the_skype_highlighting**************2010/2011******end_of_the_skype_highlighting: already done
pCC: done

Bom dia,

Na entrada do backbone, acabamos de alterar as configurações.
Retiramos a filtragem sobre toda a gama IP para apenas guardar
o UDP.

Assim, um IP da Internet está limitado à 50Mbps em UDP
para toda a rede Ovh.

Se encontra problemas, deve reportar-nos a situação. Não
é porque temos de gerir uma emergência que não se pode
entrar depois em pormenores. Continua a ser o mesmo email
num caso de perigo de vida : oles@ovh.net

No inicio da tarde, vamos continuar a afinar as configurações
par chegar ao final à 3 novas regras :

- limitação em UDP no IP fonte para a Ovh,
atualmente está limitado à 50Mbps e vamos tentar
descer para 20Mbps por volta das 14h00

- limitação em UDP no IP destino na Ovh
atualmente está implementado na rede HG à 50Mbps.
Ainda não sabemos se é útil e se é preciso afinar ou
implementar isto a todos os routeurs.

- limitação em UDP no IP fonte na Ovh para Internet
ainda não implementado. O âmbito é de evitar que um
servidor na Ovh envie um ataque para Internet.

Amigavelmente,
Octave

Boo noite,

Visto a quantidade de ataques que estamos a sofrer
todos os dias, decidimos desenterrar o machado de
guerra Já não é mais possível. Só hoje, contamos
mais de 30 ataques o que faz 5 redes dos nossos
clientes impactados com uma degradação temporária
de serviço. u

Então:

Um IP fonte (de Internet) não pode enviar para a
rede Ovh, mais de 50Mbps para toda a camada de
IP. A termos pensamos aplicar isto apenas sobre
o UDP.

Também adicionamos uma limitação sobre a rede do
HP sobre o IP de destino em UDP para todos os IP
fora Ovh à 50Mbps.

Se tiver problemas não hesitem em nos o reportar para
oles@ovh.net, noc@ovh.net

Saber mais :
http://travaux.ovh.net/?do=details&id=5443

Amigavelmente,
Octave