Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Le 14 février 2012 10:44, Salim Gasmi sa...@sdv.fr a écrit : La vraie question me semble plutôt être : Est ce plus à vous ou à OVH de protéger VOS clients ?. Il me semble pour ma part évident que c'est tout d'abord à l’hébergeur qui est payé par ses clients de fournir un hébergement de qualité. Un hébergement de qualité aujourd’hui sous entend un certain nombre de points dont la protection contre les DDOS/flood fait aussi partie. C'est une réalité technique que personne ne peut plus ignorer. Je conçois parfaitement que les attaques, (comme l’indique Octave sur le forum OVH et travaux), c’est le quotidien d’un hébergeur et que c’est à l’hébergeur de se protéger et protéger ses clients. Après dans le cas ou 90% des attaques proviennent d’un seul opérateur, d’un seul réseau, j’ai du mal à le concevoir. (OVH a beau avoir 110K serveurs, il suffit d’additionner 11, Gandi, Ikoula, Online et on doit arriver à la même chose). Néanmoins, il semble que c’est « la règle ». Et si c’est vraiment le cas, cette règle n’est pas très logique... Ne pas se protéger soi même ses clients est un choix qu'il faut assumer, je peux comprendre qu'on fasse l'impasse sur ces protections pour des raisons économiques, par contre je comprend moins quand ensuite on demande aux autres de le faire à sa place. En l'absence de législation forçant les AS à nettoyer leur trafic sortant, il me semble logique que ce soit fait chez les hébergeurs en entrée (qui sont payés par des clients). Donc, je ne vois pas pourquoi OVH devrait nettoyer son trafic sortant pour vous (alors que vous ne le faites pas vous même en entrée). En soit j’assume totalement. Nos équipements sont dimensionnés pour résister. Quand ils ont pris 850 000 packets par seconde au lieu des 10/15K habituels pendant 5h, ou qu’ils se prennent des pics à 800/900/1000Mbits, rien n’a flanché. Seulement actuellement 1Gbits, c’est notre capa maximum. Capa qu’on peut atteindre (de quelques minutes à plusieurs heures) pour une cinquantaine d’euros. (Et je ne parle pas que d’OVH). Donc pourquoi les gros hébergeurs devraient filtrer plus « agressivement » le trafic illégitime ? Parce que tout simplement, un petit client mécontent (ou fâché avec un autre client) peut facilement couler un petit hébergeur en prenant un serveur à bas prix chez un gros hébergeur. Pour ce qui est du filtrage entre vos deux réseaux, c'est effectivement une mesure technique qui me semble démesurée de la part d'OVH, je vous invite à essayer de discuter avec eux pour trouver un compromis plutôt que de lancer des polémiques publiques qui n'apaiseront pas le débat. Mais encore une fois, si vous aviez eu ce qu'il fallait pour vous protéger (ou travailler avec des upstreams en ayant la capacité) vous ne seriez pas dans cette situation, s'acharner publiquement sur OVH (qui du fait de sa position sur le marché sera souvent une source d'attaques) ne me parait pas la bonne approche technique ni commerciale. La polémique n’était pas de casser du sucre sur Octave ou OVH mais bien de faire réagir sur le control qu’ont les gros opérateurs sur tous ceux qui en sont plus ou moins dépendant. Et qu’en cas de besoin, ils peuvent abuser de leur position « dominante » pour mettre à mal une petite, (voir infime dans mon cas), partie d’internet et une société pour au final, « des broutilles » entre deux personnes ? Cela aurait pu arriver à n’importe qui et ça aurait très bien pu ne pas être OVH. Mon mail sur cette ML attaquant effectivement un peu trop OVH était peut-être un peu maladroit, je le reconnais. Néanmoins il a apporté un long flot de réponses diverses et variés, merci aux participants (et aux vilains trolls). Globalement, on peut en tirer les conclusions suivantes : 1 - Un petit hébergeur n’a pas forcément les moyens immédiatement de se payer plusieurs fibres, plusieurs opérateurs et plusieurs Gbits de capacité pour supporter les gros opérateurs qui ouvrent du 1Gbits pour 60 euros. 2 - N’importe qui doit/devrait démarrer sur internet avec au moins 2-3 Gbits de capa (voir plus) sous prétexte que les gros opérateurs ne filtre rien ou souscrire un service de protection très cher. 3 - La loi n’impose pas aux AS de filtrer le trafic sortant (ni entrant d’ailleurs). 4 - Pour venir sur « internet », il faut un gros tuyau pour survivre et virer les clients à risques. Et bien de mon point de vu, je trouve cela totalement anormal et aberrant. Pour moi, l'opérateur/fournisseur/prestataire ne prend pas ses responsabilités. Je l’ai bien noté et je vais m’y adapter du mieux possible. De votre point de vu, c’est plus facile, vous pouvez presque tous encaisser plusieurs Gbits d’attaques, filtrer vos clients, les mettent dehors si besoin etc… Quand j’en serais la et que quelqu’un viendra se plaindre d’un flood à 1Gbits, je sourirais surement. Mais peut-être qu’après je penserais également à mes débuts difficiles. Gurvan. Le 14 février 2012 10:44, Salim Gasmi
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
1/ l'hebergement a depuis 15 ans bien evolué, et est passé du stade de l'atelier à celui des usines. On se rapproche de ce qu'a vécu le monde de l'automobile dans les années 60. 2/ il y a une place pour les petits hébergeurs, mais sur des marchés de niche : comprendre, ces hébergeurs doivent amener autre chose que juste une présence sur le marché. Ils doivent être innovants, ou spécialisés. 3/ le monde de l'hébergement, c'est pas le pays des Bisounours. Le marché de la sécurité Informatique le prouve, il faut savoir se protéger des risques quand on se connecte à Internet Tout ça pour dire que cette attaque via des serveurs chez OVH, où tu critiques la réaction d'OVH avec comme argument massue que tu es un petit hébergeur et OVH un gros est totalement dénué de logique. J'ai envie de dire Ok et alors ? Donc : - oui tu dois savoir te protéger de n'importe quelle patern d'attaque, ou savoir y réagir rapidement, si tu veux pouvoir exister sur le marché de l'hébergement - ne t'attends pas à ce que les autres le fasse pour toi - si tu es un petit hébergeur, spécialise toi sur un marché de niche, ou innove. Sinon en face de toi, tu auras des monstres capacitifs à renverser. De plus ton argument taille des tuyaux est moyen : si tu as 1G pour quelques dizaines d'euros, et ben stack les liens 1G pour monter à plus de débit ou achète des mécanismes de protection chez ton transitaire, et refacture ça à tes clients, mais ne reste pas les bras croisés en attendant qu'OVH (ou demain Iliad, Orange, etc.) sauve ton infra. Imagine que demain tu sois attaqué par des serveurs lowcost d'un hébergeur à Hong Kong ? Tu vas twitter le PDG ? La logique veut qu'on soit bien mieux servi par soi même ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Le 13 février 2012 22:33, o...@ovh.net a écrit : Je tiens également à préciser qu’entre l’annonce publique de faits réels qu’il soit apprécié ou non, une pique sur le ton de l’humour pour détendre et le ton très sérieux de ta phrase sur la possibilité que je roule en Porsche, il y a un pas vers la diffamation que je ne fais pas. Je ne parle pas d’ailleurs de ton sympathique tweet. https://twitter.com/#!/olesovhcom/status/168760259979116544 Je ne me permettrais pas, par exemple, de justifier la mise en place de prise électrique 16A sur des baies 20A par la volonté d’être mieux rémunéré si tant est que boucher les trous béants d’arrivée de clim par des bouts de carton et du scotch pour optimiser les flux d’air ne permettent plus de dégager suffisamment de marge. Sur la qualité du matériel, je ne me souviens pas avoir dit quoique ce soit de publique. Mais effectivement, tomber un datacenter redondant avec à priori des attaques classiques à la vue des commentaires, type d'attaque qui n'a aucun effet ailleurs, ne dénote pas d'une grande qualité des moyens techniques en place. Maintenant que les choses soient claires, en housing, c’était le réseau OVH et il avait donc la position en tant que gestionnaire du réseau qu’il m’attribue aujourd’hui. Et pourtant, les protections réseaux (entrant comme sortant) sont inexistantes en housing. (Que ce soit depuis le réseau OVH ou depuis d'autres réseaux). J'ajoute qu'à cette époque, j'avais également proposé de voir se mettre en place le même type de protection que sur le reste du réseau OVH, et ce, moyennant finance. Mais ça n'a jamais abouti. On est loin du fantasme du papa protecteur philanthrope. Sur l'éthique, je préfère mille fois avoir des clients qui malheureusement sont à risque, ca, ça ne peut pas s’éviter à chaque fois, que d'avoir des clients qui floodent ou qui sous-loue des boites à flood. Car la réalité est la, 3/4 des attaques ne proviennent pas de machines hackés. Sur des IP solitaires, je ne peux pas l’affirmer. Sur des IP avec des netname en VPS, c’est assez simple. OVH n'est pas le seul au monde à vendre des serveurs pas cher avec une grosse capa. La remise en cause peut se faire des deux côtés, et aurait pu être constructive. Limiter le traffic sortant et le débrider à la demande, je sais faire et ça me coute rien. J’aurais pu admettre qu’avec la taille du réseau OVH, cela ne soit pas ou plus possible et l’expliquer clairement aurait été plus simple. A la base, je ne fais pas le même métier, j’apprends un peu sur le tas, je n’étais pas en housing pour rien. Quand on se retrouve avec des équipes support ou commerciale qui sont incapables de nous venir en aide ou de nous expliquer la situation parce que c’est Octave qui a agi, qu’on ne sait rien, après de nombreuses relances, oui parfois il n’y a plus que twitter qui fonctionne. A qui la faute ? Le redflag, c’est de faire croire que le réseau d’OVH est invulnérable sur les forums et travaux et qu’en venant chez OVH on est tranquille. Pour sûr, tous les clients à risques sont éjectés manu militari. C’est sûr qu’il ne doit pas rester beaucoup de clients mécontents à ce niveau-là. S’il ne voulait ou ne pouvait pas assumer les attaques à destination de ces clients, il aurait fallu l’indiquer clairement dans le contrat et ne pas trouver une excuse « bidon » pour invoquer une clause résolutoire et m’éjecter du housing. Pour finir avant Vendredi, je tiens à vous rassurer publiquement, je n’ai les moyens d’acheter une Porsche et dans l’état actuel des choses, je gagnerais mieux ma vie en étant équipier à MacDo. A titre d'information, la situation s'est débloquée le 14 Février vers 4h00 du matin. A priori, un système d'alerte de ou de filtrage plus agressif a été mit en place par OVH. (CF travaux). Je ne sais pas comment clôturer ce long débat/troll/plainte/complainte. (Rayer les mentions inutiles). Alors merci à ceux qui m'ont contacté en privé pour me donner des conseils (que ce soit sur du matériel ou des questions réseaux) ou des contacts et merci pour ce long échange qui bien qu'avec quelques vagues houleuses, il en ressort toutes les réponses auxquelles j'avais (et peut-être d'autres) besoin. Gurvan. Le 13 février 2012 22:33, o...@ovh.net a écrit : Bonjour, Mais pourquoi est à la cible de se protéger C'est quand meme fou de lire ça, surtout quand on sait que ça fait des années que tes infra se font attaquer parce que tu acceptes les clients qui sont border line. et même avec tout ce qu'il t'arrive dans ta vie, tu n'arrives pas à apprendre et se remettre en question puis evoluer/changer ? si tu ne sais pas pourquoi encore aujourd'hui bahh change de metier. car dans ce metier là uniquement ceux qui sont paranos survivent. les autres meurent. historiquement, tu as été chez ovh housing. 2009 ? 2010 ? et tu avais les attaques qui venait de partout dans le monde. 1 à 2 par mois un email est ce que tu peux me proteger contre cette attaque. combien de
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
On 16 Feb 2012, at 22:50, Gurvan Rottier-Ripoche wrote: A titre d'information, la situation s'est débloquée le 14 Février vers 4h00 du matin. Bonne nouvelle :) Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Le 17 février 2012 00:56, Thomas Mangin thomas.man...@exa-networks.co.uk a écrit : Bonne nouvelle :) Très :). Le 16 février 2012 23:42, Guillaume Barrot guillaume.bar...@gmail.com a écrit : De plus ton argument taille des tuyaux est moyen : si tu as 1G pour quelques dizaines d'euros, et ben stack les liens 1G pour monter à plus de débit ou achète des mécanismes de protection chez ton transitaire, et refacture ça à tes clients, mais ne reste pas les bras croisés en attendant qu'OVH (ou demain Iliad, Orange, etc.) sauve ton infra. Tu as 1G pour quelques dizaines d'euros sur de la location de serveurs dédiés. Sinon je crois qu'on serait tous à plusieurs dizaines de Gbits de capa et j'aurais stack depuis très longtemps :). Tout ça pour dire que cette attaque via des serveurs chez OVH, où tu critiques la réaction d'OVH avec comme argument massue que tu es un petit hébergeur et OVH un gros est totalement dénué de logique. L'argument massue, c'est pourquoi 90% des attaques proviennent d'OVH malgré le fait qu'ils aient 110K de serveurs ? Trouvez-vous cela logique de sortir 1Gbits pour 60 euros par mois ? On m'a répondu en détail, j'ai compris, je vais gérer. J'ai envie de dire Ok et alors ? Et alors moi je trouve cela aberrant. Maintenant, si c'est la règle, si c'est comme ça, j'ai également compris et je vais faire en sorte que cela se passe mieux. Imagine que demain tu sois attaqué par des serveurs lowcost d'un hébergeur à Hong Kong ? Tu vas twitter le PDG ? C'est jamais arrivé car il est plus difficile et compliqué d'avoir un haut débit via seulement une ou deux IP depuis ce genre de pays :). (Et je parle pas d'un botnet). La logique veut qu'on soit bien mieux servi par soi même ! Quand on a l'argent, c'est effectivement pas un problème. On va investir plus :). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Le jeudi 16 février 2012 à 23:50 +0100, Gurvan Rottier-Ripoche a écrit : Le 13 février 2012 22:33, o...@ovh.net a écrit : Je tiens également à préciser qu’entre l’annonce publique de faits réels qu’il soit apprécié ou non, une pique sur le ton de l’humour pour détendre et le ton très sérieux de ta phrase sur la possibilité que je roule en Porsche, il y a un pas vers la diffamation que je ne fais pas. Je ne parle pas d’ailleurs de ton sympathique tweet. https://twitter.com/#!/olesovhcom/status/168760259979116544 Les amis, un suédois innocent bien sur, se demande si nous ne sommes pas passés un peu hors le cadre prévu de cette liste même en mode [MISC]... ? ;) Restons dans des discours de principes ! Il y en a à dire ces jours d'HADOPIx, LOPPSI++ et al... (Pour les autres cas il reste les tribunaux.. ou bien le bagarre devant le bistrot... selon choix :)) Right? ;) Cheers, mh Je ne me permettrais pas, par exemple, de justifier la mise en place de prise électrique 16A sur des baies 20A par la volonté d’être mieux rémunéré si tant est que boucher les trous béants d’arrivée de clim par des bouts de carton et du scotch pour optimiser les flux d’air ne permettent plus de dégager suffisamment de marge. Sur la qualité du matériel, je ne me souviens pas avoir dit quoique ce soit de publique. Mais effectivement, tomber un datacenter redondant avec à priori des attaques classiques à la vue des commentaires, type d'attaque qui n'a aucun effet ailleurs, ne dénote pas d'une grande qualité des moyens techniques en place. Maintenant que les choses soient claires, en housing, c’était le réseau OVH et il avait donc la position en tant que gestionnaire du réseau qu’il m’attribue aujourd’hui. Et pourtant, les protections réseaux (entrant comme sortant) sont inexistantes en housing. (Que ce soit depuis le réseau OVH ou depuis d'autres réseaux). J'ajoute qu'à cette époque, j'avais également proposé de voir se mettre en place le même type de protection que sur le reste du réseau OVH, et ce, moyennant finance. Mais ça n'a jamais abouti. On est loin du fantasme du papa protecteur philanthrope. Sur l'éthique, je préfère mille fois avoir des clients qui malheureusement sont à risque, ca, ça ne peut pas s’éviter à chaque fois, que d'avoir des clients qui floodent ou qui sous-loue des boites à flood. Car la réalité est la, 3/4 des attaques ne proviennent pas de machines hackés. Sur des IP solitaires, je ne peux pas l’affirmer. Sur des IP avec des netname en VPS, c’est assez simple. OVH n'est pas le seul au monde à vendre des serveurs pas cher avec une grosse capa. La remise en cause peut se faire des deux côtés, et aurait pu être constructive. Limiter le traffic sortant et le débrider à la demande, je sais faire et ça me coute rien. J’aurais pu admettre qu’avec la taille du réseau OVH, cela ne soit pas ou plus possible et l’expliquer clairement aurait été plus simple. A la base, je ne fais pas le même métier, j’apprends un peu sur le tas, je n’étais pas en housing pour rien. Quand on se retrouve avec des équipes support ou commerciale qui sont incapables de nous venir en aide ou de nous expliquer la situation parce que c’est Octave qui a agi, qu’on ne sait rien, après de nombreuses relances, oui parfois il n’y a plus que twitter qui fonctionne. A qui la faute ? Le redflag, c’est de faire croire que le réseau d’OVH est invulnérable sur les forums et travaux et qu’en venant chez OVH on est tranquille. Pour sûr, tous les clients à risques sont éjectés manu militari. C’est sûr qu’il ne doit pas rester beaucoup de clients mécontents à ce niveau-là. S’il ne voulait ou ne pouvait pas assumer les attaques à destination de ces clients, il aurait fallu l’indiquer clairement dans le contrat et ne pas trouver une excuse « bidon » pour invoquer une clause résolutoire et m’éjecter du housing. Pour finir avant Vendredi, je tiens à vous rassurer publiquement, je n’ai les moyens d’acheter une Porsche et dans l’état actuel des choses, je gagnerais mieux ma vie en étant équipier à MacDo. A titre d'information, la situation s'est débloquée le 14 Février vers 4h00 du matin. A priori, un système d'alerte de ou de filtrage plus agressif a été mit en place par OVH. (CF travaux). Je ne sais pas comment clôturer ce long débat/troll/plainte/complainte. (Rayer les mentions inutiles). Alors merci à ceux qui m'ont contacté en privé pour me donner des conseils (que ce soit sur du matériel ou des questions réseaux) ou des contacts et merci pour ce long échange qui bien qu'avec quelques vagues houleuses, il en ressort toutes les réponses auxquelles j'avais (et peut-être d'autres) besoin. Gurvan. Le 13 février 2012 22:33, o...@ovh.net a écrit : Bonjour, Mais pourquoi est à la cible de se protéger C'est quand meme fou de lire ça, surtout quand on sait que ça fait des années que tes infra se font
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Bonsoir tout le monde, je n'interviens vraiment pas souvent sur FrnoG, beaucoup peuvent en témoigner... Peace les gars ! On es pas la pour se taper dessus mais pour trouver des solutions ! Signé le pôv op' dans son coin qui préfererait voir plus de posts [TECH] sur frnog que de posts [WAR] mais ça deviens rare ( oui je fais des rimes mais il est tard )... Ceci évidemment étant un message subliminal ( vendredi oblige ! )... Le 17/02/2012 01:03, Gurvan Rottier-Ripoche a écrit : Le 17 février 2012 00:56, Thomas Manginthomas.man...@exa-networks.co.uk a écrit : Bonne nouvelle :) Très :). Le 16 février 2012 23:42, Guillaume Barrotguillaume.bar...@gmail.com a écrit : De plus ton argument taille des tuyaux est moyen : si tu as 1G pour quelques dizaines d'euros, et ben stack les liens 1G pour monter à plus de débit ou achète des mécanismes de protection chez ton transitaire, et refacture ça à tes clients, mais ne reste pas les bras croisés en attendant qu'OVH (ou demain Iliad, Orange, etc.) sauve ton infra. Tu as 1G pour quelques dizaines d'euros sur de la location de serveurs dédiés. Sinon je crois qu'on serait tous à plusieurs dizaines de Gbits de capa et j'aurais stack depuis très longtemps :). Tout ça pour dire que cette attaque via des serveurs chez OVH, où tu critiques la réaction d'OVH avec comme argument massue que tu es un petit hébergeur et OVH un gros est totalement dénué de logique. L'argument massue, c'est pourquoi 90% des attaques proviennent d'OVH malgré le fait qu'ils aient 110K de serveurs ? Trouvez-vous cela logique de sortir 1Gbits pour 60 euros par mois ? On m'a répondu en détail, j'ai compris, je vais gérer. J'ai envie de dire Ok et alors ? Et alors moi je trouve cela aberrant. Maintenant, si c'est la règle, si c'est comme ça, j'ai également compris et je vais faire en sorte que cela se passe mieux. Imagine que demain tu sois attaqué par des serveurs lowcost d'un hébergeur à Hong Kong ? Tu vas twitter le PDG ? C'est jamais arrivé car il est plus difficile et compliqué d'avoir un haut débit via seulement une ou deux IP depuis ce genre de pays :). (Et je parle pas d'un botnet). La logique veut qu'on soit bien mieux servi par soi même ! Quand on a l'argent, c'est effectivement pas un problème. On va investir plus :). --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Tristan Mahé BC 08.25.59.50.59 --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Comme souvent, j'ai bien aimé le billet de Guillaume: Guillaume Barrot a écrit: 2/ il y a une place pour les petits hébergeurs, mais sur des marchés de niche : comprendre, ces hébergeurs doivent amener autre chose que juste une présence sur le marché. Ils doivent être innovants, ou spécialisés. +1 3/ le monde de l'hébergement, c'est pas le pays des Bisounours. D'ailleurs, si tu connais une partie de l'Internet qui fait encore partie du pays des Bisounours, merci de me le faire savoir en privé ;-) une planque bien peinarde pour la pré-retraire ça commence à avoir de l'allure :P Le marché de la sécurité Informatique le prouve, il faut savoir se protéger des risques quand on se connecte à Internet Surtout quand on s'obstine à vouloir garder des clients qui sont des paratonnerres à emmerdements. Gurvan Rottier-Ripoche a écrit: 4 - Pour venir sur « internet », il faut un gros tuyau pour survivre et virer les clients à risques. Et bien de mon point de vu, je trouve cela totalement anormal et aberrant. Toi tu veux le beurre, l'argent du beurre, et le cul de la crémière. Que ça te plaise ou pas, les geeks de la liste du FRnOG ne gouvernent ni le monde ni l'Internet, qui tous les deux continuent à tourner plus ou moins rond entraînés par les deux moteurs qui marchent depuis la nuit des temps: le cul et le pognon. Les clients qui attirent les DDOS comme la merde attire les mouches, il faut avoir les moyens de se les offrir. Moi, je ne les ais pas, donc je les dégage. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
3/ le monde de l'hébergement, c'est pas le pays des Bisounours. D'ailleurs, si tu connais une partie de l'Internet qui fait encore partie du pays des Bisounours, merci de me le faire savoir en privé ;-) une planque bien peinarde pour la pré-retraire ça commence à avoir de l'allure :P Bababiz point com, voyons. --- Liste de diffusion du FRnOG http://www.frnog.org/
