OVH Community, your new community space.

Proteção ataques DDoS


oles@ovh.net
25-06-13, 11:56
Proteção anti-DDoS

Olá,
Na sua qualidade de fornecedor de infraestruturas
para a Internet, a OVH sempre foi confrontada com
os ataques informáticos do tipo DDoS, tanto direcionados
aos nossos serviços, como direcionados aos serviços
dos nossos clientes.
Desde o final do ano 2010 com o assunto Wikileaks,
os DDoS foram assuntos muito debatidos pelos media
e com os ataques DNS AMP que se generalizaram
desde o início do ano 2013, qualquer criança pode lançar
um ataque DDoS de várias dezenas de Gbps e colocar
em risco uma atividade.

Do nosso lado, evoluímos as nossas ferramentas de proteção
ao longo dos tempos com um objetivo simples :
o serviço de proteção anti-DDoS não pode ser uma opção.
Pelo contrário, os clientes devem poder beneficiar de um
serviço do género, "por defeito".

Desde há 3-4 meses estamos a trabalhar num novo tipo
de infraestrutura de proteção contra os DDoS, à qual
chamamos "VAC". VAC, como "vacuum", ou seja, um
aspirador. A ideia é de fazer com que o tráfego que vem da
Internet e se trata de "maus pacotes" sejam aspirados e
apenas passem os "bons pacotes".

O VAC1, atualmente em ALPHA foi instalado em Roubaix.
Ele funciona atualmente de forma muito satisfatória e permite-nos
explicar-vos o que vamos propor acerca das proteções contra
os ataques DDoS.

Prevemos o arranque da fase Beta esta semana.
No dia 16 de Julho, vamos explicar o serviço VAC no nosso
website e um novo contrato será criado para enquadrar este
serviço. o objetivo é ter a maior clareza possível quanto
ao serviço e garantias.

Hardware
--------
O VAC é uma unidade de mitigação capaz de
limpar até 160Gbps de tráfego
Ele é composto por 2 routers: um Cisco ASR 90001
e um Cisco Nexus 7009. No total, num VAC temos
114 portas 10G, ou seja 1.14 Tbps de capacidade
de switching/routing. Para a limpeza de tráfego, utilizamos
2 tipos de hardware : 4 Tilera de 20 Gbps cada um (80 Gbps)
e 1 TMS 4000 de 30 Gbps.

A gestão e melhoramento de software nos Tilera são
assegurados pelas nossas equipas internas. Trata-se
de código C/C++, gestão de queues e de algoritmos que
determinam se um pacote é "bom ou mau".
TMS 4000 é um equipamento com algoritmos desenvolvidos
pela Arbor.

O tráfego é aspirado na entrada de um datacenter, limpo
e depois encaminhado para os routers das salas.
No caso do VAC1, aspiramos o tráfego ao nível dos 2 principais
routers de Roubaix e depois fazemos passar esse tráfego por
5 patamares de limpeza. Cada patamar limpa de forma
inteligente um tipo de ataque com o intuito de diminuir
de forma significativa a amplitude do ataque antes de o
tráfego chegar ao patamar seguinte.
É graças a estes 5 patamares que somos capazes de tratar
até 160Gbps de ataques, ao contrário dos nossos concorrentes
que compram um TMS 4000 com uma placa de roteamento 10G,
ou seja, quase nada.

Se receber ataques muito grandes, o contrato de locação é suspenso
e terá de procurar um outro prestador: é aqui que podemos intervir
uma vez que não temos limites no tamanho dos ataques que
podemos gerir...


Funcionalidades
---------------

Com um VAC, vamos poder fornecer os serviços seguintes :

- firewall de rede
- mitigação de ataques DDoS
- a escolha do tipo de mitigação
- mitigação permanente
- a deteção de um ataque e a ativação da mitigação
- suporte para vos ajudar em caso de um ataque

Um VAC faz também a aspiração de ataques que podem
ser gerados dentro da nossa rede. Com efeito, há clientes
que são vítimas de hacking e os seus serviços são utilizados
para gerar ataques informáticos. Assim que detetamos estes
ataques, começamos a sua aspiração no VAC e limpamos o
tráfego até termos a confirmação dos servidores que estão
hackeados. Colocamos esses servidores em "rescue-mode".

Um VAC vai também ajudar na luta contra o SPAM.
O VAC vai aspirar e duplicar o tráfego de email que sai
de um datacenter e vai analisar esse tráfego através
de um sistema anti-spam e anti-virus.
Iremos poder criar estatísticas sobre o volume de SPAM
por cada IP source nos nossos datacenters e bloquear o
fluxo SMTP de um IP assim que considerarmos que se
trata de um cliente SPAMMER. Um VAC não faz armazenamento
do tráfego, apenas faz a sua análise. Portanto, não há
armazenamento dos emails, apenas uma análise em
tempo real dos emails que saem dos nossos datacenters.

Redundância
----------
A redundância de um VAC é possibilitada por um outro VAC.
Antes do fim do mês de Agosto, vamos instalar 3 unidades
de mitigação VAC em 3 locais no mundo:
- Estrasburgo (SBG)
- Roubaix (RBX)
- Beauhárnois (BHS)

Os 3 VAC vão funcionar em paralelo e cada VAC vai aspirar
o tráfego mais próximo de si, para o limpar, e injeta-o na
rede interna que implementamos entre os nossos datacenters
Assim, um ataque oriundo de Miami, Flórida vai passar em BHS
e lá o VAC3 vai limpar esse tráfego e depois o mesmo entra na
rede interna passando de BHS para GRA, depois por RBX para chegar,
por exemplo, a SBG ao servidor que é vítima do ataque DDoS.

A capacidade total dos nossos 3 VACs é de 3*160Gbps, ou seja,
480Gbps. É a maior infraestrutura de mitigação que hoje em dia
um fornecedor de infraestruturas coloca à disposição dos seus clientes.

Consequência
-----------

O serviço de proteção não é limitado, nem em termos do tamanho
do ataque, nem em termos de duração de ataque, nem tipo de ataque.
Sabemos encaixar qualquer tipo de ataque e o nosso objetivo é
fornecer-vos um serviço que vos vai proteger realmente no dia em
que forem vítimas de um ataque.

A questão não é realmente "Será que tenho necessidade disto?", mas sim
"Quando receber um ataque, isto vai-me proteger?".
Ainda na passada semana um cliente me contactou em urgência
porque o seu site estava a ser atacado por uma criança que não estava
contente. 3 cliques mais tarde, o ataque passava pelo VAC1 e o seu site
www.prestashop.com ficou novamente disponível. Todos os dias recebemos
até 1200 ataques e protegemos, em média, 700 de entre vós.
Não são sempre os mesmos todos os dias...

Serviço
-------
Vamos colocar à disposição 3 níveis de serviço:

- Por defeito, incluído no preço;
O objetivo é o de proteger a nossa infraestrutura
e o serviço dos cliente num modo "best effort".
Com efeito, para proteger eficientemente um serviço
de um ataque, é necessário conhecer o que está a
correr no servidor e depois implementar os mecanismos
mais adequados para a mitigação.
Sem contacto humano com o cliente, não podemos fazer
senão "best effort". É o que este nível de serviço oferece.

- com a utilização PRO (tuning) irá poder "bricolar"
e adaptar a proteção com o Manager ou a APIv6.
Vamos disponibilizar as ferramentas seguintes :

- firewall de rede de 480Gbps com a possibilidade
de colocar 100 linhas ACL por cada IP DST. Trata-se
de uma inovação OVH.


- a escolha entre vários tipos de mitigação
entre web, smtp, game, teamspeek, streaming, etc

- a mitigação permanente ou a ativação da deteção
de um ataque com passagem automática para o VAC

- o suporte far-se-á na mailing list ddos@ml.ovh.net

- com o suporte VIP, vai poder ter ajuda humana
na configuração 24/24 horas
+ alguém com quem falar aquando de um ataque
para que possa ter ajuda na configuração
rápida e eficaz da "boa proteção" contra o ataque
a equipa VIP irá monitorizar 24/24 horas o ataque
e adaptar a proteção, caso o ataque sofra mutações.

Preço
----
Ao longo de todo o teste ALPHA, comunicamos
que a proteção contra ataques iria ser algo incluído
no preço de locação de um servidor, de um VPS, pCI,
pCC ou de uma ligação ADSL.

Ficamos surpreendidos de ler vezes sem conta a mesma pergunta:
"Quanto é que isso vai custar?"

Isso fez-nos pensar bastante, mesmo bastante.

Após as reflexões, guardamos 3 escolhas:

- fazer como fazem todos, ou seja, propor um serviço
de mitigação a um preço bastante alto, estipulando que
a capacidade da mitigação depende do preço e que
há um limite de 10 Gbps ou 20 Gbps (!!) no máximo.
Ou, uma limitação da duração do ataque (!!) e é preciso
pagar mais se quiser continuar a ter o ataque filtrado (!!).
Em suma, um serviço "à la carte", fora de preço e muito
limitado.
O business model padrão do conjunto dos concorrentes
e fornecedores de serviços de mitigação.

- fazer as coisas da forma "não muito caro / isto chega",
ou seja, investir na infraestrutura (estamos a falar de
3 milhões de Euros) e depois não incluir o preço da mitigação
no preço de cada serviço. O serviço seria simplesmente
fornecido, mas não existiriam "números" a comunicar,
as nossas equipas não iriam estar vigilantes 24/24 horas
e esperar que no dia D as coisas corressem bem.

- escolhemos a 3 via: partilhar os custos do VAC e das
equipas e dividi-lo por todos os clientes, existentes e
futuros, que usam as nossas infraestruturas.
Neste caso falamos de uma opção obrigatória para
todos os servidores dedicados existentes, todos os VPS
e todos os pCC. Mas, como se trata de muitos clientes,
o aumento do preço do serviço é muito baixo:
- VPS: +0.5Euro/mês
- KS: +1Euro/mês
- SP: +1Euro/mês
- EG: +2Euro/mês
- MG: +2Euro/mês
- HG: +3E/mês
- pCC: +5E/mês
- housing: +10Euro/mês

Este aumento de preço de todos os servidores existentes
e futuros irá permitir-nos continuar a investir na infraestrutura
e melhorá-la de forma a podermos fazer face a novos ataques.

Este aumento será aplicado a partir de 1 de Setembro de 2013
para todos os servidores existentes.
Nos casos de pagamentos anuais, vamos oferecer-vos a proteção
e o preço do serviço não tem alterações.

Estamos a falar de entre +0,5 Euro a +10 Euro / mês. Isso pode
parecer pouco face aos preços que se praticam por serviços
anti-DDoS no mercado. Até poderá mesmo dizer que não vamos
conseguir propor um bom serviço por um preço tão baixo.
Com o número de clientes que já temos e graças à partilha
dos custos por todos, sentimo-nos totalmente confortáveis
para nos tornarmos um ator de referência nas proteções contra
ataques e de poder proteger-vos quando chegar o fatídico dia D.

Amigavelmente,
Octave