Le jeudi 16 février 2012 à 23:50 +0100, Gurvan Rottier-Ripoche a écrit : > <Le 13 février 2012 22:33, <o...@ovh.net> a écrit : > > > Je tiens également à préciser qu’entre l’annonce publique de faits réels > qu’il soit apprécié ou non, une pique sur le ton de l’humour pour détendre > et le ton très sérieux de ta phrase sur la possibilité que je roule en > Porsche, il y a un pas vers la diffamation que je ne fais pas. > Je ne parle pas d’ailleurs de ton sympathique tweet. > https://twitter.com/#!/olesovhcom/status/168760259979116544
Les amis, un suédois innocent bien sur, se demande si nous ne sommes pas passés un peu hors le cadre prévu de cette liste même en mode [MISC]... ? ;) Restons dans des discours de principes ! Il y en a à dire ces jours d'HADOPIx, LOPPSI++ et al... (Pour les autres cas il reste les tribunaux.. ou bien le bagarre devant le bistrot... selon choix :)) Right? ;) Cheers, mh > > > > Je ne me permettrais pas, par exemple, de justifier la mise en place de > prise électrique 16A sur des baies 20A par la volonté d’être mieux rémunéré > si tant est que boucher les trous béants d’arrivée de clim par des bouts > de carton et du scotch pour optimiser les flux d’air ne permettent plus de > dégager suffisamment de marge. > > > Sur la qualité du matériel, je ne me souviens pas avoir dit quoique ce soit > de publique. Mais effectivement, tomber un datacenter redondant avec à > priori des attaques classiques à la vue des commentaires, type d'attaque > qui n'a aucun effet ailleurs, ne dénote pas d'une grande qualité des moyens > techniques en place. > > > > > Maintenant que les choses soient claires, en housing, c’était le réseau OVH > et il avait donc la position en tant que gestionnaire du réseau qu’il > m’attribue aujourd’hui. Et pourtant, les protections réseaux (entrant comme > sortant) sont inexistantes en housing. (Que ce soit depuis le réseau OVH ou > depuis d'autres réseaux). > > J'ajoute qu'à cette époque, j'avais également proposé de voir se mettre en > place le même type de protection que sur le reste du réseau OVH, et ce, > moyennant finance. Mais ça n'a jamais abouti. On est loin du fantasme du > papa protecteur philanthrope. > > > > Sur l'éthique, je préfère mille fois avoir des clients qui malheureusement > sont à risque, ca, ça ne peut pas s’éviter à chaque fois, que d'avoir des > clients qui floodent ou qui sous-loue des boites à flood. > > Car la réalité est la, 3/4 des attaques ne proviennent pas de machines > hackés. > Sur des IP solitaires, je ne peux pas l’affirmer. Sur des IP avec des > netname en VPS, c’est assez simple. > OVH n'est pas le seul au monde à vendre des serveurs pas cher avec une > grosse capa. > > > La remise en cause peut se faire des deux côtés, et aurait pu être > constructive. > > > > > Limiter le traffic sortant et le débrider à la demande, je sais faire et ça > me coute rien. > J’aurais pu admettre qu’avec la taille du réseau OVH, cela ne soit pas ou > plus possible et l’expliquer clairement aurait été plus simple. A la base, > je ne fais pas le même métier, j’apprends un peu sur le tas, je n’étais pas > en housing pour rien. > > Quand on se retrouve avec des équipes support ou commerciale qui sont > incapables de nous venir en aide ou de nous expliquer la situation parce > que c’est Octave qui a agi, qu’on ne sait rien, après de nombreuses > relances, oui parfois il n’y a plus que twitter qui fonctionne. A qui la > faute ? > > > Le redflag, c’est de faire croire que le réseau d’OVH est invulnérable sur > les forums et travaux et qu’en venant chez OVH on est tranquille. Pour sûr, > tous les clients à risques sont éjectés manu militari. C’est sûr qu’il ne > doit pas rester beaucoup de clients mécontents à ce niveau-là. > > > > S’il ne voulait ou ne pouvait pas assumer les attaques à destination de ces > clients, il aurait fallu l’indiquer clairement dans le contrat et ne pas > trouver une excuse « bidon » pour invoquer une clause résolutoire et > m’éjecter du housing. > > > > Pour finir avant Vendredi, je tiens à vous rassurer publiquement, je n’ai > les moyens d’acheter une Porsche et dans l’état actuel des choses, je > gagnerais mieux ma vie en étant équipier à MacDo. > > > > A titre d'information, la situation s'est débloquée le 14 Février vers 4h00 > du matin. > > A priori, un système d'alerte de ou de filtrage plus "agressif" a été mit > en place par OVH. (CF travaux). > > > Je ne sais pas comment clôturer ce long débat/troll/plainte/complainte. > (Rayer les mentions inutiles). > > Alors merci à ceux qui m'ont contacté en privé pour me donner des conseils > (que ce soit sur du matériel ou des questions réseaux) ou des contacts et > merci pour ce long échange qui bien qu'avec quelques vagues houleuses, il > en ressort toutes les réponses auxquelles j'avais (et peut-être d'autres) > besoin. > > > Gurvan. > > Le 13 février 2012 22:33, <o...@ovh.net> a écrit : > > > Bonjour, > > > > > Mais pourquoi est à la cible de se protéger > > > > C'est quand meme fou de lire ça, surtout quand on sait > > que ça fait des années que tes infra se font attaquer > > parce que tu acceptes les clients qui sont border line. > > et même avec tout ce qu'il t'arrive dans ta vie, tu > > n'arrives pas à apprendre et se remettre en question > > puis evoluer/changer ? > > > > si tu ne sais pas pourquoi encore aujourd'hui bahh > > change de metier. car dans ce metier là uniquement > > ceux qui sont paranos survivent. les autres meurent. > > > > historiquement, tu as été chez ovh housing. 2009 ? 2010 ? > > et tu avais les attaques qui venait de partout dans le monde. > > 1 à 2 par mois un email "est ce que tu peux me proteger > > contre cette attaque". combien de fois ? je compte pas. > > à chaque fois meme pas un merci. > > > > courant 2010/2011, tu as profité de protections contre les > > attaques que j'ai mis en place et ça s'est un peu > > arreté. debut 2011 c'était quand même bien tranquille. > > > > dans ton cas, les petits rigolos qui n'aiment pas tes > > clients qui n'aiment pas les petits rigolos ont decouvert > > qu'en hackant un serveur chez ovh, ils peuvent attaquer > > à nouveau tes VPS. et depuis sep 2011 ça a repris de plus > > beau car en interne je ne gere pas les attaques via le QoS > > mais via la mise en rescue du serveur. > > > > fin 2011, les attaques continue et tu commences tranquilement > > nous insulter qu'on a de routeurs de merde qui ne tiennent > > même pas les attaques et tout ça est gravement scandaleux > > que porter plainte, et finir devant le juge etc. ok. je suis > > sympa mais quand on me menace, red flag. on te resilie et > > tu pars ailleurs. 3 prefix: un avec cogent et 2 avec dedibox. > > meme pas de lien direct avec nous. nous cogent on le voit > > via dtag via frankfurt .. > > > > et les attaques ? bahh ils continuent toujours à partir > > de notre reseau comme avant. les hackeurs vont pas changer > > les habitudes. et tu te prends quelques Mbps quelques fois > > par mois car tu veux continuer à héberger des projets > > border line. > > > > J'ai pas de probleme avec ça mais achete toi des equipements > > pour gerer ces attaques. tu as de la chance que le mec qui > > gere le reseau qui t'attaque peut regler ton probleme. hier > > tu envoies les emails sur abuse@, je regle le probleme et > > derriere je voie quoi ? en plus le twitter et tout le > > tralala. de plus, tu commences tranquilement dire que je > > suis derrier tout ça et que je te cite "il est complice" > > de ces attaques: > > https://twitter.com/#!/Inulogic_FreeH/status/167757684899188736 > > pour quelques heures/jours apres de menaces juridiques. > > https://twitter.com/#!/Inulogic_FreeH/status/168720856623751168 > > > > moi: red flag ! > > > > question: comment je peux moi faire de sort que mon reseau > > ne fasse plus jamais les attaques sur ton reseau de maniere > > sûr ? > > > > blackhole. c'est ça que j'ai mis en place. j'ai mis en > > place exactement ce que j'aurais demandé à mes transits > > de faire si je recevais une attaque. ce sont les outils > > standard. rien d'extraordinaire. okey, c'est pas très > > fin, mais ça marche. le monsieur en face il peut nous > > insulter de tous les noms mais ne me dira plus qu'il > > recoit les attaques de notre reseau. donc le resultat > > est là. > > > > pourquoi sur tout le reseau ? car j'ai aucune information > > sur la destination de l'attaque ni pourquoi ni si ça > > change ni si c'est la meme IP etc. le monsieur nous > > insulte et va partout pour casser du sucre mais jamais > > il ne va avoir de demarche constructif pour affiner > > ou trouver l'origine du probleme. dans tous les cas il > > connait l'origine du probleme mais comme ça lui rapporte > > un max alors il n'est pas prêt de changer. pire il va > > demander aux autres d'investir dans le matos pour faire > > la securité pour lui. > > > > j'ai donc protegé son reseau avec les regles et les > > outils que tout le monde utilise sur l'internet. et > > avec les moyens que je dispose. c'est brutal, facile, > > pas cher mais surtout ça fonctionne. pas d'attaque. > > > > et ? et j'attends que le monsieur en face me dise > > "c'est bon, j'ai mis ce qu'il faut pour gerer maintenant > > les attaques moi meme". > > > > car ce n'est pas à moi de gerer les attaques pour les > > autres. on a des outils qui nous permettent de detecter > > les attaques. de grosses attaques, pas de petites. je > > veux dire 80-90Mbps, pas moins, car moins ça aurait > > été de faux positive avec pas mal d'activité de nos > > clients. on a aussi les infra qui evoluent. on a par > > exemple reçu derrnierement les nouvelles cartes 24x10G > > et le netflow ne fonctionne pas super bien. on ne voit > > pas tout. peut etre ça va s'améliorer, peut etre pas. > > > > en tout cas, il n'est pas possible de se baser sur sa > > propre securité sur les autres reseaux et encore moins > > avec de gens qu'on insulte 1 fois par semaine et qu'on > > les accuse très facilement de tout et de rien. je veux > > bien aider mais si c'est de cette maniere c'est non. > > > > QoS ? il n'est pas possible de garantir une limitation > > de bande passante vers exterieur lors d'une attaque > > vers une destination sur un reseau distribué comme le > > notre. et les routeurs ne peuvent pas prendre l'internet > > entier dans ses access-list pour faire de trucs de ouf. > > on fait avec la techno qu'on dispose et qui permet de > > ... rien faire. on ne sait meme pas limiter un client > > à 1Gbps ou 100Mbps de bande passante. je ne sais pas > > faire ça ! du coup on fait comment ? on met les reseaux > > enormes avec de liens partout et on assure la qualité > > de service à travers les investissements dans le reseau. > > car les équipements ne nous permettent pas de limiter > > la bande passante de chaque IP hébergés sur notre reseau. > > et 99% de boites sur le net font pareil car c'est comme > > ça que l'internet fonctionne. ça fonctionne uniquement > > car tu as mis un max de l'argent dans quelques cartes > > de routeurs. alors je veux bien croire qu'au lieu de > > s'acheter une porsche 911 c'est chiant devoir acheter un > > petit 6503, mais c'est ça que je te conseile si demain > > tu veux être encore là. > > > > tu as reçu/vas recevoir un courrier AR qui te demande > > de prendre tes responsabilités et de nous dire si tu es > > capable de prendre le trafic de notre reseau. si c'est > > le cas, on enleve le blackhost. à toi en suite de > > respecter les regles du jeux et contacter en cas de > > problemes abuse@ et arreter de nous difamer sur des > > reseaux sociaux. et je ne menace pas, j'ajoute: svp. > > > > Octave > > > > > > > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
