Bonsoir, Si je résume bien : 1/ Vous subissez des attaques de DDOS en provenance d'hôtes appartenant au réseau du principal hébergeur français. 2/ Vous avez fait part de vos problèmes au service abuse qui a traité les incidents. 3/ Les DDOS font augmenter votre connectivité de +/- 100Mbps à +/- 900Mbps. 4/ Vous avez poser des restrictions sur votre réseau pour prévenir le DDOS. 5/ Vous ne comprenez pas pourquoi cet hébergeur n'applique pas les mêmes règles de traitement afin de limiter le DDOS sortant de leur réseau. 6.a/ Vous avez twitter un dirigeant de cette société pour lui faire part de vos problèmes. 6.b/ Ce dirigeant impose maintenant un blocage total entre votre réseau et le sien. 6.c/ Vous ne savez pas (plus ?) comment agir face à cette solution radicale.
Alors :-) 1/ Bienvenue dans le monde de l'Internet ! Ce n'est pas vraiment étonnant que ce réseau soit la source de DDOS. Il représente quand même beaucoup de clients en tout genre (18M web site, 110K dedicated servers, 50k xDSL, 100k VoIP (dixit (p******db)). 2/ Limite, c'est peut être une chance que ce soit un réseau avec un support en France (réactif ? je ne sais pas car je ne l'ai jamais essayé :-)) ! Cela doit grandement faciliter la résolution des incidents "dans des délais raisonnables" ;-) Quand on a à faire face à des DDOS provenant d'hébergeurs exotiques, c'est un peu plus compliqué à gérer... :-/ Et en général, un Black Hole temporaire est souvent nécessaire ! 3/ C'est effectivement fâcheux de faire face à cela... Après si on regarde chez votre fournisseur de connectivité, il propose dans son offre de transit ip une option "Serveur Black Hole pour combattre les DDOS" ! Amha, il serait judicieux de se rapprocher de lui pour étudier cela (d'un point de vue technique et économique). Il y a de forte chance que ce soit efficace pour faire face à des DDOS (pas que pour ceux en provenance de O**) ;-) 4/ D'après ce que j'ai pu voir, vous avez un assigned PI annoncé par votre fournisseur sur son AS. Quelques soit les restrictions appliquées sur votre infrastructure (la plus simple et efficace étant une ACL en entrée qui discard le trafic en provenant d'hôte malveillant), cela n'empêchera pas votre fournisseur de forwarder le trafic vers votre infrastructure, et donc de vous facturer le trafic supplémentaire. 5/ Effectivement cet opérateur n'applique pas une politique identique concernant le DDOS entrant et sortant. Il peut y avoir plusieurs explications à cela : a) O** c'est quand même +/- 530Gbps en upstream vers Internet. Supposons qu'ils ont un ratio 1/4, et donc qu'ils ont +/- 130Gbps en downstream depuis Internet. Mettre en œuvre des règles anti DDOS pour 130Gbps, c'est déjà assez conséquent en terme de ressources machines. Je vous laisse imaginer pour 660Gbps ! b) Il n'est pas évident/simple d'être pro-actif au niveau du DDOS en sortie, car on risque d'avoir des faux positifs pouvant bloquer du trafic client légitime. 6/ Malheureusement, Twitter n'est pas un outil de communication qu'on utilise pour régler ce genre de problème ! Si un jour vous avez un problème avec F***, vous allez twitter X***** N*** ? Je pense que votre problème n'est pas la priorité de ce dirigeant... Amha il a d'autres "problèmes" beaucoup plus sérieux à traiter comme son CDN EU/US, son ISP xDSL, ses équipements/fournisseurs parfois capricieux (ses LNS Redback, ses cœurs de réseau Cisco ASR, ses opérateurs de collecte rouge ou orange...), le lancement de sa filiale canadienne... Et puis, il a aussi peut être une vie personnelle le dimanche :-P Normalement vous auriez du contacter le support de votre fournisseur gérant votre assigned PI qui : a) Applique des contres mesures sur son réseau pour réduire les impacts sur votre prestation b) Contacte le noc/abuse de l'opérateur source pour que les agissements illicites cessent c) Informe son client de l'avancement de son incident Enfin bref... Effectivement la réaction est un peu disproportionnée... Mais bon de là à dire sur cette liste que cet opérateur ne joue pas le jeu de la neutralité (enfin de ce que j'en sais), alors qu'il communique sur cela et essaye d'être relativement transparent au niveau de la vie de son réseau :^) Contacter le support de l'hébergeur en expliquant que vous avez eu un DDOS provenant de leur réseau, et que suite à cela, votre réseau ne peut plus communiquer avec le leur. Normalement ça devrait se régler ;-) Et puis comme a dit Benjamin, faire un petit ménage devant votre porte ne devrait pas faire de mal car il n'y a pas de fumé sans feu ! Cordialement, Yann Le 12 février 2012 19:07, Gurvan Rottier-Ripoche <inulo...@gmail.com> a écrit : > Bonjour, > > Ceci n'est pas un mail pour venir pleurer/troller sur OVH mais plutôt pour > prendre des conseils et chercher à comprendre. > > > Notre réseau est régulièrement la cible d'attaques depuis des machines OVH. > Indifféremment depuis des serveurs hackés participant dans des botnets que > depuis des serveurs clients légitimes qui réalisent des attaques ciblés > notamment via des offres low-cost "jetables". > Je fais de nombreux report à leur service abuse qui intervient dans des > délais raisonnables. > > La période des vacances a démarré et très souvent, c'est une > grande effervescence de ce type d'attaques. > Nous avons reçu plusieurs attaques ce Dimanche 12 Février 2012 allant > jusqu'a 900Mbits depuis 9 serveurs OVH. (A relativiser avec notre 95 > percentile de 100Mbits). > J'ai twitté Octave pour lui faire part de mon mécontentement du fait du > nombre important d'attaques en une journée. > > A chaque fois ses réponses sont virulentes (très proches de la diffamation) > et fermés à la discussion : > "C'est pas mon problème." > "Tu as une activité de hackeur." > "C'est à toi de gérer ton réseau." > > Alors que je suis la cible dans cette histoire et que je ne vois pas > comment agir... > De notre côté, nous appliquons des restrictions entrantes et sortantes mais > ces nombreuses attaques ont des répercussions sur le coût du trafic entrant > en amont de notre réseau. > Notre fournisseur de transit nous fait payer malgré tout le coût de > l'attaque et c'est logique. > Ces attaques dépassent parfois de beaucoup (pratiquement x10) l'usage > normal de notre bande passante. > > > Ce que je ne comprend pas, c'est qu'OVH disposent bien de mécanismes de > protections mais uniquement sur son trafic entrant. > Par contre, ils n'appliquent pas les mêmes mécaniques en sens inverse pour > éviter ou limiter les attaques sortantes de leur réseau. > > Comme seule solution, aujourd'hui suite à mes reports, Octave impose un > blocage total entre nos deux réseaux. > Cela gène nombre de mes clients qui ne peuvent plus opérer de redondance, > simplement communiquer envers les deux réseaux (plus de DNS, SQL etc...) et > moi-même qui ne peut plus du tout accéder aux services d'OVH que j'utilise > également. (Ne serait-ce que le site OVH.COM...). > J'imagine également que les clients ADSL d'OVH ne peuvent plus accéder à > l'ensemble de mes services. > > Qu'en pensez-vous ? > Un fournisseur d'accès a-t-il le droit de bloquer comme cela une partie du > trafic internet, portant atteinte à la neutralité d'internet et aux > recommandations de l'ARCEP sur la transparence et la non-discrimination des > flux. > Les mesures prises me semblent disproportionnées. > Quelles sont les solutions que vous appliquez sur vos réseaux ? > Avez-vous déjà eu ce type de problème ? > > Cordialement, Gurvan. > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
