Le 14 février 2012 10:44, Salim Gasmi <sa...@sdv.fr> a écrit :
<<La vraie question me semble plutôt être : "Est ce plus à vous ou à OVH de protéger VOS clients ?". <<Il me semble pour ma part évident que c'est tout d'abord à l’hébergeur qui est payé par ses clients de fournir un <<hébergement de qualité. <<Un hébergement de qualité aujourd’hui sous entend un certain nombre de points dont la protection contre les <<DDOS/flood fait aussi partie. <<C'est une réalité technique que personne ne peut plus ignorer. Je conçois parfaitement que les attaques, (comme l’indique Octave sur le forum OVH et travaux), c’est le quotidien d’un hébergeur et que c’est à l’hébergeur de se protéger et protéger ses clients. Après dans le cas ou 90% des attaques proviennent d’un seul opérateur, d’un seul réseau, j’ai du mal à le concevoir. (OVH a beau avoir 110K serveurs, il suffit d’additionner 1&1, Gandi, Ikoula, Online et on doit arriver à la même chose). Néanmoins, il semble que c’est « la règle ». Et si c’est vraiment le cas, cette règle n’est pas très logique... <<Ne pas se protéger soi même ses clients est un choix qu'il faut assumer, je peux comprendre qu'on fasse l'impasse <<sur ces protections pour des raisons économiques, par contre je comprend moins quand ensuite on demande aux <<autres de le faire à sa place. <<En l'absence de législation forçant les AS à nettoyer leur trafic sortant, il me semble logique que ce soit fait chez <<les hébergeurs en entrée (qui sont payés par des clients). <<Donc, je ne vois pas pourquoi OVH devrait nettoyer son trafic sortant pour vous (alors que vous ne le faites pas <<vous même en entrée). En soit j’assume totalement. Nos équipements sont dimensionnés pour résister. Quand ils ont pris 850 000 packets par seconde au lieu des 10/15K habituels pendant 5h, ou qu’ils se prennent des pics à 800/900/1000Mbits, rien n’a flanché. Seulement actuellement 1Gbits, c’est notre capa maximum. Capa qu’on peut atteindre (de quelques minutes à plusieurs heures) pour une cinquantaine d’euros. (Et je ne parle pas que d’OVH). Donc pourquoi les gros hébergeurs devraient filtrer plus « agressivement » le trafic illégitime ? Parce que tout simplement, un petit client mécontent (ou fâché avec un autre client) peut facilement couler un petit hébergeur en prenant un serveur à bas prix chez un gros hébergeur. <<Pour ce qui est du filtrage entre vos deux réseaux, c'est effectivement une mesure technique qui me semble <<démesurée de la part d'OVH, je vous invite à essayer de discuter avec eux pour trouver un compromis plutôt que <<de lancer des polémiques publiques qui n'apaiseront pas le débat. <<Mais encore une fois, si vous aviez eu ce qu'il fallait pour vous protéger (ou travailler avec des upstreams en ayant <<la capacité) vous ne seriez pas dans cette situation, s'acharner publiquement sur OVH (qui du fait de sa position <<sur le marché sera souvent une source d'attaques) ne me parait pas la bonne approche technique ni commerciale. La polémique n’était pas de casser du sucre sur Octave ou OVH mais bien de faire réagir sur le control qu’ont les gros opérateurs sur tous ceux qui en sont plus ou moins dépendant. Et qu’en cas de besoin, ils peuvent abuser de leur position « dominante » pour mettre à mal une petite, (voir infime dans mon cas), partie d’internet et une société pour au final, « des broutilles » entre deux personnes ? Cela aurait pu arriver à n’importe qui et ça aurait très bien pu ne pas être OVH. Mon mail sur cette ML attaquant effectivement un peu trop OVH était peut-être un peu maladroit, je le reconnais. Néanmoins il a apporté un long flot de réponses diverses et variés, merci aux participants (et aux vilains trolls). Globalement, on peut en tirer les conclusions suivantes : 1 - Un petit hébergeur n’a pas forcément les moyens immédiatement de se payer plusieurs fibres, plusieurs opérateurs et plusieurs Gbits de capacité pour supporter les gros opérateurs qui ouvrent du 1Gbits pour 60 euros. 2 - N’importe qui doit/devrait démarrer sur internet avec au moins 2-3 Gbits de capa (voir plus) sous prétexte que les gros opérateurs ne filtre rien ou souscrire un service de protection très cher. 3 - La loi n’impose pas aux AS de filtrer le trafic sortant (ni entrant d’ailleurs). 4 - Pour venir sur « internet », il faut un gros tuyau pour survivre et virer les clients à risques. Et bien de mon point de vu, je trouve cela totalement anormal et aberrant. Pour moi, l'opérateur/fournisseur/prestataire ne prend pas ses responsabilités. Je l’ai bien noté et je vais m’y adapter du mieux possible. De votre point de vu, c’est plus facile, vous pouvez presque tous encaisser plusieurs Gbits d’attaques, filtrer vos clients, les mettent dehors si besoin etc… Quand j’en serais la et que quelqu’un viendra se plaindre d’un flood à 1Gbits, je sourirais surement. Mais peut-être qu’après je penserais également à mes débuts difficiles. Gurvan. Le 14 février 2012 10:44, Salim Gasmi <sa...@sdv.fr> a écrit : > Bonjour Gurvan, > > La vraie question me semble plutôt être : "Est ce plus à vous ou à OVH de > protéger VOS clients ?". > > Il me semble pour ma part évident que c'est tout d'abord à l’hébergeur qui > est payé par ses clients de fournir un hébergement de qualité. > Un hébergement de qualité aujourd’hui sous entend un certain nombre de > points dont la protection contre les DDOS/flood fait aussi partie. > C'est une réalité technique que personne ne peut plus ignorer. > > Il existe aujourd’hui pas mal de solutions techniques plus ou moins > dispendieuses pour essayer de s'en protéger. > La plupart ont étés déjà présentées ici (flowspec,communautés BGP, système > de mitigation (Arbor,Corero,...), clean pipe payant,..). > ici à SdV, le budget dédié à la protection DDOS est conséquent (Arbor > TMS+Peakflow), on aurait préféré utiliser cet argent pour autre chose, mais > ainsi va la vie, il en va de notre survie. > > Ne pas se protéger soi même ses clients est un choix qu'il faut assumer, > je peux comprendre qu'on fasse l'impasse sur ces protections pour des > raisons économiques, par contre je comprend moins quand ensuite on demande > aux autres de le faire à sa place. > > En l'absence de législation forçant les AS à nettoyer leur trafic sortant, > il me semble logique que ce soit fait chez les hébergeurs en entrée (qui > sont payés par des clients). > Donc, je ne vois pas pourquoi OVH devrait nettoyer son trafic sortant pour > vous (alors que vous ne le faites pas vous même en entrée). > > Pour ce qui est du filtrage entre vos deux réseaux, c'est effectivement > une mesure technique qui me semble démesurée de la part d'OVH, je vous > invite à essayer de discuter avec eux pour trouver un compromis plutôt que > de lancer des polémiques publiques qui n'apaiseront pas le débat. > > Mais encore une fois, si vous aviez eu ce qu'il fallait pour vous protéger > (ou travailler avec des upstreams en ayant la capacité) vous ne seriez pas > dans cette situation, s'acharner publiquement sur OVH (qui du fait de sa > position sur le marché sera souvent une source d'attaques) ne me parait pas > la bonne approche technique ni commerciale. > > Cordialement, > > Salim > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/