Bonjour, > Mais pourquoi est à la cible de se protéger
C'est quand meme fou de lire ça, surtout quand on sait que ça fait des années que tes infra se font attaquer parce que tu acceptes les clients qui sont border line. et même avec tout ce qu'il t'arrive dans ta vie, tu n'arrives pas à apprendre et se remettre en question puis evoluer/changer ? si tu ne sais pas pourquoi encore aujourd'hui bahh change de metier. car dans ce metier là uniquement ceux qui sont paranos survivent. les autres meurent. historiquement, tu as été chez ovh housing. 2009 ? 2010 ? et tu avais les attaques qui venait de partout dans le monde. 1 à 2 par mois un email "est ce que tu peux me proteger contre cette attaque". combien de fois ? je compte pas. à chaque fois meme pas un merci. courant 2010/2011, tu as profité de protections contre les attaques que j'ai mis en place et ça s'est un peu arreté. debut 2011 c'était quand même bien tranquille. dans ton cas, les petits rigolos qui n'aiment pas tes clients qui n'aiment pas les petits rigolos ont decouvert qu'en hackant un serveur chez ovh, ils peuvent attaquer à nouveau tes VPS. et depuis sep 2011 ça a repris de plus beau car en interne je ne gere pas les attaques via le QoS mais via la mise en rescue du serveur. fin 2011, les attaques continue et tu commences tranquilement nous insulter qu'on a de routeurs de merde qui ne tiennent même pas les attaques et tout ça est gravement scandaleux que porter plainte, et finir devant le juge etc. ok. je suis sympa mais quand on me menace, red flag. on te resilie et tu pars ailleurs. 3 prefix: un avec cogent et 2 avec dedibox. meme pas de lien direct avec nous. nous cogent on le voit via dtag via frankfurt .. et les attaques ? bahh ils continuent toujours à partir de notre reseau comme avant. les hackeurs vont pas changer les habitudes. et tu te prends quelques Mbps quelques fois par mois car tu veux continuer à héberger des projets border line. J'ai pas de probleme avec ça mais achete toi des equipements pour gerer ces attaques. tu as de la chance que le mec qui gere le reseau qui t'attaque peut regler ton probleme. hier tu envoies les emails sur abuse@, je regle le probleme et derriere je voie quoi ? en plus le twitter et tout le tralala. de plus, tu commences tranquilement dire que je suis derrier tout ça et que je te cite "il est complice" de ces attaques: https://twitter.com/#!/Inulogic_FreeH/status/167757684899188736 pour quelques heures/jours apres de menaces juridiques. https://twitter.com/#!/Inulogic_FreeH/status/168720856623751168 moi: red flag ! question: comment je peux moi faire de sort que mon reseau ne fasse plus jamais les attaques sur ton reseau de maniere sûr ? blackhole. c'est ça que j'ai mis en place. j'ai mis en place exactement ce que j'aurais demandé à mes transits de faire si je recevais une attaque. ce sont les outils standard. rien d'extraordinaire. okey, c'est pas très fin, mais ça marche. le monsieur en face il peut nous insulter de tous les noms mais ne me dira plus qu'il recoit les attaques de notre reseau. donc le resultat est là. pourquoi sur tout le reseau ? car j'ai aucune information sur la destination de l'attaque ni pourquoi ni si ça change ni si c'est la meme IP etc. le monsieur nous insulte et va partout pour casser du sucre mais jamais il ne va avoir de demarche constructif pour affiner ou trouver l'origine du probleme. dans tous les cas il connait l'origine du probleme mais comme ça lui rapporte un max alors il n'est pas prêt de changer. pire il va demander aux autres d'investir dans le matos pour faire la securité pour lui. j'ai donc protegé son reseau avec les regles et les outils que tout le monde utilise sur l'internet. et avec les moyens que je dispose. c'est brutal, facile, pas cher mais surtout ça fonctionne. pas d'attaque. et ? et j'attends que le monsieur en face me dise "c'est bon, j'ai mis ce qu'il faut pour gerer maintenant les attaques moi meme". car ce n'est pas à moi de gerer les attaques pour les autres. on a des outils qui nous permettent de detecter les attaques. de grosses attaques, pas de petites. je veux dire 80-90Mbps, pas moins, car moins ça aurait été de faux positive avec pas mal d'activité de nos clients. on a aussi les infra qui evoluent. on a par exemple reçu derrnierement les nouvelles cartes 24x10G et le netflow ne fonctionne pas super bien. on ne voit pas tout. peut etre ça va s'améliorer, peut etre pas. en tout cas, il n'est pas possible de se baser sur sa propre securité sur les autres reseaux et encore moins avec de gens qu'on insulte 1 fois par semaine et qu'on les accuse très facilement de tout et de rien. je veux bien aider mais si c'est de cette maniere c'est non. QoS ? il n'est pas possible de garantir une limitation de bande passante vers exterieur lors d'une attaque vers une destination sur un reseau distribué comme le notre. et les routeurs ne peuvent pas prendre l'internet entier dans ses access-list pour faire de trucs de ouf. on fait avec la techno qu'on dispose et qui permet de ... rien faire. on ne sait meme pas limiter un client à 1Gbps ou 100Mbps de bande passante. je ne sais pas faire ça ! du coup on fait comment ? on met les reseaux enormes avec de liens partout et on assure la qualité de service à travers les investissements dans le reseau. car les équipements ne nous permettent pas de limiter la bande passante de chaque IP hébergés sur notre reseau. et 99% de boites sur le net font pareil car c'est comme ça que l'internet fonctionne. ça fonctionne uniquement car tu as mis un max de l'argent dans quelques cartes de routeurs. alors je veux bien croire qu'au lieu de s'acheter une porsche 911 c'est chiant devoir acheter un petit 6503, mais c'est ça que je te conseile si demain tu veux être encore là. tu as reçu/vas recevoir un courrier AR qui te demande de prendre tes responsabilités et de nous dire si tu es capable de prendre le trafic de notre reseau. si c'est le cas, on enleve le blackhost. à toi en suite de respecter les regles du jeux et contacter en cas de problemes abuse@ et arreter de nous difamer sur des reseaux sociaux. et je ne menace pas, j'ajoute: svp. Octave --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
