Le 13/02/2012 22:33, o...@ovh.net a écrit :
C'est quand meme fou de lire ça, surtout quand on sait
que ça fait des années que tes infra se font attaquer
parce que tu acceptes les clients qui sont border line.
et même avec tout ce qu'il t'arrive dans ta vie, tu
n'arrives pas à apprendre et se remettre en question
puis evoluer/changer ?
Que lui arrive-t-il donc dans sa vie de si bouleversant?
C'est si personnel que ça vos problèmes?
si tu ne sais pas pourquoi encore aujourd'hui bahh
change de metier. car dans ce metier là uniquement
ceux qui sont paranos survivent. les autres meurent.
Parano de quoi au juste?
Que Gurvan ait piraté lui-même des dédiés OVH pour se flooder et ensuite
venir crier au loup sur Twitter?
Ou peut-etre... toi, voulant montrer au monde entier qu'il n'arrive pas
à protéger son réseau correctement?
Il va vraiment falloir appeler l'ARCEP et l'ANSSI à la rescousse pour
mettre tout cet écheveau au clair !
et les attaques ? bahh ils continuent toujours à partir
de notre reseau comme avant. les hackeurs vont pas changer
les habitudes. et tu te prends quelques Mbps quelques fois
par mois car tu veux continuer à héberger des projets
border line.
Borderline est un terme pouvant qualifier autre chose que des projets, à
méditer.
question: comment je peux moi faire de sort que mon reseau
ne fasse plus jamais les attaques sur ton reseau de maniere
sûr ?
blackhole. c'est ça que j'ai mis en place. j'ai mis en
place exactement ce que j'aurais demandé à mes transits
de faire si je recevais une attaque. ce sont les outils
standard. rien d'extraordinaire. okey, c'est pas très
fin, mais ça marche. le monsieur en face il peut nous
insulter de tous les noms mais ne me dira plus qu'il
recoit les attaques de notre reseau. donc le resultat
est là.
pourquoi sur tout le reseau ? car j'ai aucune information
sur la destination de l'attaque ni pourquoi ni si ça
change ni si c'est la meme IP etc. le monsieur nous
insulte et va partout pour casser du sucre mais jamais
il ne va avoir de demarche constructif pour affiner
ou trouver l'origine du probleme. dans tous les cas il
connait l'origine du probleme mais comme ça lui rapporte
un max alors il n'est pas prêt de changer. pire il va
demander aux autres d'investir dans le matos pour faire
la securité pour lui.
j'ai donc protegé son reseau avec les regles et les
outils que tout le monde utilise sur l'internet. et
avec les moyens que je dispose. c'est brutal, facile,
pas cher mais surtout ça fonctionne. pas d'attaque.
Disons juste qu'étant client chez OVH et utilisant les API OVH, ça n'est
pas idéal d'avoir coupé tout OVH et non juste les dédiés si la
problématique était seulement les floods.
Après, si tu à envie de te débarrasser de ce client à tout prix c'est
sur que c'est une solution efficace mais vu qu'il était déjà sur le
départ, pas sur au final qu'il te fasse moins chier maintenant que si tu
l'avais laissé "tranquille".
car ce n'est pas à moi de gerer les attaques pour les
autres. on a des outils qui nous permettent de detecter
les attaques. de grosses attaques, pas de petites. je
veux dire 80-90Mbps, pas moins, car moins ça aurait
été de faux positive avec pas mal d'activité de nos
clients. on a aussi les infra qui evoluent. on a par
exemple reçu derrnierement les nouvelles cartes 24x10G
et le netflow ne fonctionne pas super bien. on ne voit
pas tout. peut etre ça va s'améliorer, peut etre pas.
D'après ses graphs :
http://cacti.free-h.org/graph_image.php?action=zoom&local_graph_id=62&rra_id=2&view_type=&graph_start=1329059229&graph_end=1329062757&graph_height=120&graph_width=500&title_font_size=10
http://cacti.free-h.org/graph_image.php?action=zoom&local_graph_id=158&rra_id=0&view_type=tree&graph_start=1326437793&graph_end=1326482631&graph_height=120&graph_width=500&title_font_size=10
Cela semblait quand même au delà du petit "flood" de l'ordre de 80-90Mbps.
QoS ? il n'est pas possible de garantir une limitation
de bande passante vers exterieur lors d'une attaque
vers une destination sur un reseau distribué comme le
notre. et les routeurs ne peuvent pas prendre l'internet
entier dans ses access-list pour faire de trucs de ouf.
on fait avec la techno qu'on dispose et qui permet de
... rien faire. on ne sait meme pas limiter un client
à 1Gbps ou 100Mbps de bande passante. je ne sais pas
faire ça ! du coup on fait comment ? on met les reseaux
enormes avec de liens partout et on assure la qualité
de service à travers les investissements dans le reseau.
car les équipements ne nous permettent pas de limiter
la bande passante de chaque IP hébergés sur notre reseau.
et 99% de boites sur le net font pareil car c'est comme
ça que l'internet fonctionne. ça fonctionne uniquement
car tu as mis un max de l'argent dans quelques cartes
de routeurs. alors je veux bien croire qu'au lieu de
s'acheter une porsche 911 c'est chiant devoir acheter un
petit 6503, mais c'est ça que je te conseile si demain
tu veux être encore là.
Cabotinage trollesque ou premier degré moliéresque?
Du grand œuvre en tout cas, surtout le coup de la 911. Par contre, un
peu trop en avance pour vendredi.
ps: la Porsche, c'est une attaque personnelle ou juste un exemple au hasard?
Cordialement.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
