Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Ajourd'hui Facebook a apparemment été la cible d'une grosse attaque depuis les serveurs OVH. http://travaux.ovh.net/?do=detailsid=6459 Octave avant Facebook, on reprend les mêmes propos, on change l'interlocuteur : et les attaques ? bahh ils continuent toujours à partir de notre reseau comme avant. les hackeurs vont pas changer les habitudes. Ca on est d'accord. OVH est un vivier potentiel pour les hackeurs vu les possibilités offertes par des box hacké ou non. J'ai pas de probleme avec ça mais achete toi des equipements pour gerer ces attaques. Ils ont du se marrer chez Facebook :) question: comment je peux moi faire de sort que mon reseau ne fasse plus jamais les attaques sur ton reseau de maniere sûr ? Je crois que Facebook a su trouver les arguments pour le faire réfléchir. blackhole. c'est ça que j'ai mis en place. j'ai mis en place exactement ce que j'aurais demandé à mes transits de faire si je recevais une attaque. ce sont les outils standard. rien d'extraordinaire. okey, c'est pas très fin, mais ça marche. le monsieur en face il peut nous insulter de tous les noms mais ne me dira plus qu'il recoit les attaques de notre reseau. donc le resultat est là. Aïe, un mensonge. car ce n'est pas à moi de gerer les attaques pour les autres. Aïe, encore un, et le fou rire reprend de plus belle chez Facebook. QoS ? il n'est pas possible de garantir une limitation de bande passante vers exterieur lors d'une attaque vers une destination sur un reseau distribué comme le notre. Ah ? même sur travaux, on trouve des mensonges. Apparemment, Facebook dispose de moyens nettement plus persuasif. Pas de Blackhole cette fois mais une réponse plus intelligente et adaptée. C'est un vrai pied c'job :) Certains peuvent tirer du plaisir à travailler sous la pression de plus gros que soit. Finalement, tout est pour le mieux, Octave concilie ses tords et avoue à demi-mots que le plaidant à l'origine avait raison à la base. C'est dommage, si Octave avait été plus réceptif et prompt a engagé des moyens tout de suite, il n'aurait même pas eu à vivre ce petit désagrément avec Facebook. Comme quoi, quand on s'appelle Facebook, on peut même commander Dieu. PS: ce n'est pas Vendredi mais attendre aurait été hors actualité :) -- Greg --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Soupir ou non, le clivage gros/petit est bien là. On se bouge le cul quand on attaque Facebook et on se fait tout petit. Mais quand on attaque quatre ou cinq petits hébergeur, on les traite comme des mal propres et tans pis pour eux. Pourtant toute proportion gardée, les attaques sont de même grandeur. En ce sens, je comprends votre soupir. Gageons que ces mesures profitent aussi aux petits par la même occasion. Greg Le 6 mars 2012 20:01, Thomas Mangin thomas.man...@exa-networks.co.uk a écrit : Soupir, ce coup la je passe. Thomas On 6 Mar 2012, at 18:56, minux1 wrote: Ajourd'hui Facebook a apparemment été la cible d'une grosse attaque depuis les serveurs OVH. http://travaux.ovh.net/?do=detailsid=6459 Octave avant Facebook, on reprend les mêmes propos, on change l'interlocuteur : et les attaques ? bahh ils continuent toujours à partir de notre reseau comme avant. les hackeurs vont pas changer les habitudes. Ca on est d'accord. OVH est un vivier potentiel pour les hackeurs vu les possibilités offertes par des box hacké ou non. J'ai pas de probleme avec ça mais achete toi des equipements pour gerer ces attaques. Ils ont du se marrer chez Facebook :) question: comment je peux moi faire de sort que mon reseau ne fasse plus jamais les attaques sur ton reseau de maniere sûr ? Je crois que Facebook a su trouver les arguments pour le faire réfléchir. blackhole. c'est ça que j'ai mis en place. j'ai mis en place exactement ce que j'aurais demandé à mes transits de faire si je recevais une attaque. ce sont les outils standard. rien d'extraordinaire. okey, c'est pas très fin, mais ça marche. le monsieur en face il peut nous insulter de tous les noms mais ne me dira plus qu'il recoit les attaques de notre reseau. donc le resultat est là. Aïe, un mensonge. car ce n'est pas à moi de gerer les attaques pour les autres. Aïe, encore un, et le fou rire reprend de plus belle chez Facebook. QoS ? il n'est pas possible de garantir une limitation de bande passante vers exterieur lors d'une attaque vers une destination sur un reseau distribué comme le notre. Ah ? même sur travaux, on trouve des mensonges. Apparemment, Facebook dispose de moyens nettement plus persuasif. Pas de Blackhole cette fois mais une réponse plus intelligente et adaptée. C'est un vrai pied c'job :) Certains peuvent tirer du plaisir à travailler sous la pression de plus gros que soit. Finalement, tout est pour le mieux, Octave concilie ses tords et avoue à demi-mots que le plaidant à l'origine avait raison à la base. C'est dommage, si Octave avait été plus réceptif et prompt a engagé des moyens tout de suite, il n'aurait même pas eu à vivre ce petit désagrément avec Facebook. Comme quoi, quand on s'appelle Facebook, on peut même commander Dieu. PS: ce n'est pas Vendredi mais attendre aurait été hors actualité :) -- Greg --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
On 14/02/2012 12:06, Rémi Bouhl wrote: Le 14/02/2012 01:04, Jérôme Nicolle a écrit : Attention au principe de subsidiarité entériné par la LCEN. Les transitaires par exemples ne sont pas responsables, et l'hébergeur ne l'est que s'il ne permet pas l'identification du fauteur de trouble. Ça c'est justement le point que je n'arrive pas à comprendre. Finalement, le méchant fouteur de merde qui devrait se faire tirer les oreilles, c'est pas l'opérateur X ou Y : c'est l'individu qui loue un serveur dédié chez OVH et s'en sert pour faire une attaque (D)DOS. C'est lui qui devrait se retrouver au tribunal. Je ne vois pas où est le problème, puisque l'IP source est identifiée, soit elle est renseignée dans le Whois comme gérée par OVH et à ce moment là OVH est responsable (et éventuellement se retournera contre son client), soit le client est identifié dans le Whois et c'est contre lui qu'il faut agir directement. Dans le premier cas si OVH ne fait rien (abuse a-réactif contrairement à ce qu'on appellerait les usages de la profession ou l'état de l'art) il risque de se voir reprocher d'avoir été complice de son client et être reconnu coupable d'une partie du préjudice subi, AMHA. L'incompétent qui devrait payer les pots cassés, c'est l'administrateur qui prend un serveur dédié et le laisser relayer du spam ou se faire véroler bêtement (parce que jamais mis à jour, parce que mot de passe en carton).. C'est lui qui devrait payer la facture. Probablement, comme le type qui prend le volant sans permis. Cela dit le propriétaire de la voiture qui lui a donné les clefs est-il exempt de toute responsabilité ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
On 2012-03-06 21:21, Thomas Mangin wrote: Slippery slope ... http://en.wikipedia.org/wiki/Slippery_slope Si quelqu'un a l'expression française similaire SVP ... aidez moi a parler le bon France :D http://fr.wikipedia.org/wiki/Pente_savonneuse --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Michel Py a écrit: No shirt no shoes no service. A l'Assemblée Nationale faut porter une cravate. Jérôme Nicolle a écrit: Non, manches longues, mais pas de cravate. Et encore, tu rentres avec le pull, tu fais ce que tu veux dans les gradins tant que tu déranges personne. Julien Rabier a écrit: On y rentre même avec un gros sweat à capuche BSD et la capillarité d'un Gandalf. Ben dis donc ça a bien changé. La dernière fois que j'y suis allé (dans les années 80) ils te prêtaient la cravate si tu n'en avais pas, ceci dit. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
On Feb 13, 2012, at 7:14 AM, Jean Barbezat wrote: ca depend de quel font, j'aime beaucoup Comic SANS pour mes mails a abuse. -Jean Tres cher Jean. J'aime beaucoup ce que vous faites. Cependant: http://www.bancomicsans.com Cordialitudes, -- Greg --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Le 16 févr. 2012 à 20:17, Gurvan Rottier-Ripoche a écrit : Globalement, on peut en tirer les conclusions suivantes : 1 - Un petit hébergeur n’a pas forcément les moyens immédiatement de se payer plusieurs fibres, plusieurs opérateurs et plusieurs Gbits de capacité pour supporter les gros opérateurs qui ouvrent du 1Gbits pour 60 euros. 2 - N’importe qui doit/devrait démarrer sur internet avec au moins 2-3 Gbits de capa (voir plus) sous prétexte que les gros opérateurs ne filtre rien ou souscrire un service de protection très cher. 3 - La loi n’impose pas aux AS de filtrer le trafic sortant (ni entrant d’ailleurs). 4 - Pour venir sur « internet », il faut un gros tuyau pour survivre et virer les clients à risques. Tu en oublies une, importante: 5 - Quand tu te fais attaquer, en France, par un serveur situé sur le territoire français, tu as la loi avec toi. Tu as un recours possible, non contre le fournisseur, mais contre le client qui a perpétré les attaques. Comme il a été dit précédemment, l'une des plaies (pas la principale mais c'en est une) est que des gens croient que l'on peut lancer une attaque, sans se cacher, en toute impunité. Cordialement. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Bonjour Octave et la liste, Je viens de me faire DDOS un serveur présent chez Online via principalement des adresses IP au WHOIS d'OVH depuis 17h54 avec 1010932 packets/sec, Online a réagit à ma demande à 18h06 pour null router mon adresse IP attaquée. A 18h32, le DDOS a commencé à diminuer mais Online et moi même attendons que la vague soit passée pour réactiver l'IP. Une fois que j'aurai accès aux logs complets (car actuellement j'ai accès au serveur qu'en KVM), je pourrai vous communiquer les adresses IP d'OVH qui m'ont attaquées mais c'est principalement du 178.32.*, je pourai vous en dire d'avantage plus tard. Online a vu l'attaque mais est ce que OVH l'a vu ? Cordialement, Elodie de FranceServ Hébergement --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Le 14 février 2012 10:44, Salim Gasmi sa...@sdv.fr a écrit : La vraie question me semble plutôt être : Est ce plus à vous ou à OVH de protéger VOS clients ?. Il me semble pour ma part évident que c'est tout d'abord à l’hébergeur qui est payé par ses clients de fournir un hébergement de qualité. Un hébergement de qualité aujourd’hui sous entend un certain nombre de points dont la protection contre les DDOS/flood fait aussi partie. C'est une réalité technique que personne ne peut plus ignorer. Je conçois parfaitement que les attaques, (comme l’indique Octave sur le forum OVH et travaux), c’est le quotidien d’un hébergeur et que c’est à l’hébergeur de se protéger et protéger ses clients. Après dans le cas ou 90% des attaques proviennent d’un seul opérateur, d’un seul réseau, j’ai du mal à le concevoir. (OVH a beau avoir 110K serveurs, il suffit d’additionner 11, Gandi, Ikoula, Online et on doit arriver à la même chose). Néanmoins, il semble que c’est « la règle ». Et si c’est vraiment le cas, cette règle n’est pas très logique... Ne pas se protéger soi même ses clients est un choix qu'il faut assumer, je peux comprendre qu'on fasse l'impasse sur ces protections pour des raisons économiques, par contre je comprend moins quand ensuite on demande aux autres de le faire à sa place. En l'absence de législation forçant les AS à nettoyer leur trafic sortant, il me semble logique que ce soit fait chez les hébergeurs en entrée (qui sont payés par des clients). Donc, je ne vois pas pourquoi OVH devrait nettoyer son trafic sortant pour vous (alors que vous ne le faites pas vous même en entrée). En soit j’assume totalement. Nos équipements sont dimensionnés pour résister. Quand ils ont pris 850 000 packets par seconde au lieu des 10/15K habituels pendant 5h, ou qu’ils se prennent des pics à 800/900/1000Mbits, rien n’a flanché. Seulement actuellement 1Gbits, c’est notre capa maximum. Capa qu’on peut atteindre (de quelques minutes à plusieurs heures) pour une cinquantaine d’euros. (Et je ne parle pas que d’OVH). Donc pourquoi les gros hébergeurs devraient filtrer plus « agressivement » le trafic illégitime ? Parce que tout simplement, un petit client mécontent (ou fâché avec un autre client) peut facilement couler un petit hébergeur en prenant un serveur à bas prix chez un gros hébergeur. Pour ce qui est du filtrage entre vos deux réseaux, c'est effectivement une mesure technique qui me semble démesurée de la part d'OVH, je vous invite à essayer de discuter avec eux pour trouver un compromis plutôt que de lancer des polémiques publiques qui n'apaiseront pas le débat. Mais encore une fois, si vous aviez eu ce qu'il fallait pour vous protéger (ou travailler avec des upstreams en ayant la capacité) vous ne seriez pas dans cette situation, s'acharner publiquement sur OVH (qui du fait de sa position sur le marché sera souvent une source d'attaques) ne me parait pas la bonne approche technique ni commerciale. La polémique n’était pas de casser du sucre sur Octave ou OVH mais bien de faire réagir sur le control qu’ont les gros opérateurs sur tous ceux qui en sont plus ou moins dépendant. Et qu’en cas de besoin, ils peuvent abuser de leur position « dominante » pour mettre à mal une petite, (voir infime dans mon cas), partie d’internet et une société pour au final, « des broutilles » entre deux personnes ? Cela aurait pu arriver à n’importe qui et ça aurait très bien pu ne pas être OVH. Mon mail sur cette ML attaquant effectivement un peu trop OVH était peut-être un peu maladroit, je le reconnais. Néanmoins il a apporté un long flot de réponses diverses et variés, merci aux participants (et aux vilains trolls). Globalement, on peut en tirer les conclusions suivantes : 1 - Un petit hébergeur n’a pas forcément les moyens immédiatement de se payer plusieurs fibres, plusieurs opérateurs et plusieurs Gbits de capacité pour supporter les gros opérateurs qui ouvrent du 1Gbits pour 60 euros. 2 - N’importe qui doit/devrait démarrer sur internet avec au moins 2-3 Gbits de capa (voir plus) sous prétexte que les gros opérateurs ne filtre rien ou souscrire un service de protection très cher. 3 - La loi n’impose pas aux AS de filtrer le trafic sortant (ni entrant d’ailleurs). 4 - Pour venir sur « internet », il faut un gros tuyau pour survivre et virer les clients à risques. Et bien de mon point de vu, je trouve cela totalement anormal et aberrant. Pour moi, l'opérateur/fournisseur/prestataire ne prend pas ses responsabilités. Je l’ai bien noté et je vais m’y adapter du mieux possible. De votre point de vu, c’est plus facile, vous pouvez presque tous encaisser plusieurs Gbits d’attaques, filtrer vos clients, les mettent dehors si besoin etc… Quand j’en serais la et que quelqu’un viendra se plaindre d’un flood à 1Gbits, je sourirais surement. Mais peut-être qu’après je penserais également à mes débuts difficiles. Gurvan. Le 14 février 2012 10:44, Salim Gasmi
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
1/ l'hebergement a depuis 15 ans bien evolué, et est passé du stade de l'atelier à celui des usines. On se rapproche de ce qu'a vécu le monde de l'automobile dans les années 60. 2/ il y a une place pour les petits hébergeurs, mais sur des marchés de niche : comprendre, ces hébergeurs doivent amener autre chose que juste une présence sur le marché. Ils doivent être innovants, ou spécialisés. 3/ le monde de l'hébergement, c'est pas le pays des Bisounours. Le marché de la sécurité Informatique le prouve, il faut savoir se protéger des risques quand on se connecte à Internet Tout ça pour dire que cette attaque via des serveurs chez OVH, où tu critiques la réaction d'OVH avec comme argument massue que tu es un petit hébergeur et OVH un gros est totalement dénué de logique. J'ai envie de dire Ok et alors ? Donc : - oui tu dois savoir te protéger de n'importe quelle patern d'attaque, ou savoir y réagir rapidement, si tu veux pouvoir exister sur le marché de l'hébergement - ne t'attends pas à ce que les autres le fasse pour toi - si tu es un petit hébergeur, spécialise toi sur un marché de niche, ou innove. Sinon en face de toi, tu auras des monstres capacitifs à renverser. De plus ton argument taille des tuyaux est moyen : si tu as 1G pour quelques dizaines d'euros, et ben stack les liens 1G pour monter à plus de débit ou achète des mécanismes de protection chez ton transitaire, et refacture ça à tes clients, mais ne reste pas les bras croisés en attendant qu'OVH (ou demain Iliad, Orange, etc.) sauve ton infra. Imagine que demain tu sois attaqué par des serveurs lowcost d'un hébergeur à Hong Kong ? Tu vas twitter le PDG ? La logique veut qu'on soit bien mieux servi par soi même ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Le 13 février 2012 22:33, o...@ovh.net a écrit : Je tiens également à préciser qu’entre l’annonce publique de faits réels qu’il soit apprécié ou non, une pique sur le ton de l’humour pour détendre et le ton très sérieux de ta phrase sur la possibilité que je roule en Porsche, il y a un pas vers la diffamation que je ne fais pas. Je ne parle pas d’ailleurs de ton sympathique tweet. https://twitter.com/#!/olesovhcom/status/168760259979116544 Je ne me permettrais pas, par exemple, de justifier la mise en place de prise électrique 16A sur des baies 20A par la volonté d’être mieux rémunéré si tant est que boucher les trous béants d’arrivée de clim par des bouts de carton et du scotch pour optimiser les flux d’air ne permettent plus de dégager suffisamment de marge. Sur la qualité du matériel, je ne me souviens pas avoir dit quoique ce soit de publique. Mais effectivement, tomber un datacenter redondant avec à priori des attaques classiques à la vue des commentaires, type d'attaque qui n'a aucun effet ailleurs, ne dénote pas d'une grande qualité des moyens techniques en place. Maintenant que les choses soient claires, en housing, c’était le réseau OVH et il avait donc la position en tant que gestionnaire du réseau qu’il m’attribue aujourd’hui. Et pourtant, les protections réseaux (entrant comme sortant) sont inexistantes en housing. (Que ce soit depuis le réseau OVH ou depuis d'autres réseaux). J'ajoute qu'à cette époque, j'avais également proposé de voir se mettre en place le même type de protection que sur le reste du réseau OVH, et ce, moyennant finance. Mais ça n'a jamais abouti. On est loin du fantasme du papa protecteur philanthrope. Sur l'éthique, je préfère mille fois avoir des clients qui malheureusement sont à risque, ca, ça ne peut pas s’éviter à chaque fois, que d'avoir des clients qui floodent ou qui sous-loue des boites à flood. Car la réalité est la, 3/4 des attaques ne proviennent pas de machines hackés. Sur des IP solitaires, je ne peux pas l’affirmer. Sur des IP avec des netname en VPS, c’est assez simple. OVH n'est pas le seul au monde à vendre des serveurs pas cher avec une grosse capa. La remise en cause peut se faire des deux côtés, et aurait pu être constructive. Limiter le traffic sortant et le débrider à la demande, je sais faire et ça me coute rien. J’aurais pu admettre qu’avec la taille du réseau OVH, cela ne soit pas ou plus possible et l’expliquer clairement aurait été plus simple. A la base, je ne fais pas le même métier, j’apprends un peu sur le tas, je n’étais pas en housing pour rien. Quand on se retrouve avec des équipes support ou commerciale qui sont incapables de nous venir en aide ou de nous expliquer la situation parce que c’est Octave qui a agi, qu’on ne sait rien, après de nombreuses relances, oui parfois il n’y a plus que twitter qui fonctionne. A qui la faute ? Le redflag, c’est de faire croire que le réseau d’OVH est invulnérable sur les forums et travaux et qu’en venant chez OVH on est tranquille. Pour sûr, tous les clients à risques sont éjectés manu militari. C’est sûr qu’il ne doit pas rester beaucoup de clients mécontents à ce niveau-là. S’il ne voulait ou ne pouvait pas assumer les attaques à destination de ces clients, il aurait fallu l’indiquer clairement dans le contrat et ne pas trouver une excuse « bidon » pour invoquer une clause résolutoire et m’éjecter du housing. Pour finir avant Vendredi, je tiens à vous rassurer publiquement, je n’ai les moyens d’acheter une Porsche et dans l’état actuel des choses, je gagnerais mieux ma vie en étant équipier à MacDo. A titre d'information, la situation s'est débloquée le 14 Février vers 4h00 du matin. A priori, un système d'alerte de ou de filtrage plus agressif a été mit en place par OVH. (CF travaux). Je ne sais pas comment clôturer ce long débat/troll/plainte/complainte. (Rayer les mentions inutiles). Alors merci à ceux qui m'ont contacté en privé pour me donner des conseils (que ce soit sur du matériel ou des questions réseaux) ou des contacts et merci pour ce long échange qui bien qu'avec quelques vagues houleuses, il en ressort toutes les réponses auxquelles j'avais (et peut-être d'autres) besoin. Gurvan. Le 13 février 2012 22:33, o...@ovh.net a écrit : Bonjour, Mais pourquoi est à la cible de se protéger C'est quand meme fou de lire ça, surtout quand on sait que ça fait des années que tes infra se font attaquer parce que tu acceptes les clients qui sont border line. et même avec tout ce qu'il t'arrive dans ta vie, tu n'arrives pas à apprendre et se remettre en question puis evoluer/changer ? si tu ne sais pas pourquoi encore aujourd'hui bahh change de metier. car dans ce metier là uniquement ceux qui sont paranos survivent. les autres meurent. historiquement, tu as été chez ovh housing. 2009 ? 2010 ? et tu avais les attaques qui venait de partout dans le monde. 1 à 2 par mois un email est ce que tu peux me proteger contre cette attaque. combien de
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
On 16 Feb 2012, at 22:50, Gurvan Rottier-Ripoche wrote: A titre d'information, la situation s'est débloquée le 14 Février vers 4h00 du matin. Bonne nouvelle :) Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Le 17 février 2012 00:56, Thomas Mangin thomas.man...@exa-networks.co.uk a écrit : Bonne nouvelle :) Très :). Le 16 février 2012 23:42, Guillaume Barrot guillaume.bar...@gmail.com a écrit : De plus ton argument taille des tuyaux est moyen : si tu as 1G pour quelques dizaines d'euros, et ben stack les liens 1G pour monter à plus de débit ou achète des mécanismes de protection chez ton transitaire, et refacture ça à tes clients, mais ne reste pas les bras croisés en attendant qu'OVH (ou demain Iliad, Orange, etc.) sauve ton infra. Tu as 1G pour quelques dizaines d'euros sur de la location de serveurs dédiés. Sinon je crois qu'on serait tous à plusieurs dizaines de Gbits de capa et j'aurais stack depuis très longtemps :). Tout ça pour dire que cette attaque via des serveurs chez OVH, où tu critiques la réaction d'OVH avec comme argument massue que tu es un petit hébergeur et OVH un gros est totalement dénué de logique. L'argument massue, c'est pourquoi 90% des attaques proviennent d'OVH malgré le fait qu'ils aient 110K de serveurs ? Trouvez-vous cela logique de sortir 1Gbits pour 60 euros par mois ? On m'a répondu en détail, j'ai compris, je vais gérer. J'ai envie de dire Ok et alors ? Et alors moi je trouve cela aberrant. Maintenant, si c'est la règle, si c'est comme ça, j'ai également compris et je vais faire en sorte que cela se passe mieux. Imagine que demain tu sois attaqué par des serveurs lowcost d'un hébergeur à Hong Kong ? Tu vas twitter le PDG ? C'est jamais arrivé car il est plus difficile et compliqué d'avoir un haut débit via seulement une ou deux IP depuis ce genre de pays :). (Et je parle pas d'un botnet). La logique veut qu'on soit bien mieux servi par soi même ! Quand on a l'argent, c'est effectivement pas un problème. On va investir plus :). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Le jeudi 16 février 2012 à 23:50 +0100, Gurvan Rottier-Ripoche a écrit : Le 13 février 2012 22:33, o...@ovh.net a écrit : Je tiens également à préciser qu’entre l’annonce publique de faits réels qu’il soit apprécié ou non, une pique sur le ton de l’humour pour détendre et le ton très sérieux de ta phrase sur la possibilité que je roule en Porsche, il y a un pas vers la diffamation que je ne fais pas. Je ne parle pas d’ailleurs de ton sympathique tweet. https://twitter.com/#!/olesovhcom/status/168760259979116544 Les amis, un suédois innocent bien sur, se demande si nous ne sommes pas passés un peu hors le cadre prévu de cette liste même en mode [MISC]... ? ;) Restons dans des discours de principes ! Il y en a à dire ces jours d'HADOPIx, LOPPSI++ et al... (Pour les autres cas il reste les tribunaux.. ou bien le bagarre devant le bistrot... selon choix :)) Right? ;) Cheers, mh Je ne me permettrais pas, par exemple, de justifier la mise en place de prise électrique 16A sur des baies 20A par la volonté d’être mieux rémunéré si tant est que boucher les trous béants d’arrivée de clim par des bouts de carton et du scotch pour optimiser les flux d’air ne permettent plus de dégager suffisamment de marge. Sur la qualité du matériel, je ne me souviens pas avoir dit quoique ce soit de publique. Mais effectivement, tomber un datacenter redondant avec à priori des attaques classiques à la vue des commentaires, type d'attaque qui n'a aucun effet ailleurs, ne dénote pas d'une grande qualité des moyens techniques en place. Maintenant que les choses soient claires, en housing, c’était le réseau OVH et il avait donc la position en tant que gestionnaire du réseau qu’il m’attribue aujourd’hui. Et pourtant, les protections réseaux (entrant comme sortant) sont inexistantes en housing. (Que ce soit depuis le réseau OVH ou depuis d'autres réseaux). J'ajoute qu'à cette époque, j'avais également proposé de voir se mettre en place le même type de protection que sur le reste du réseau OVH, et ce, moyennant finance. Mais ça n'a jamais abouti. On est loin du fantasme du papa protecteur philanthrope. Sur l'éthique, je préfère mille fois avoir des clients qui malheureusement sont à risque, ca, ça ne peut pas s’éviter à chaque fois, que d'avoir des clients qui floodent ou qui sous-loue des boites à flood. Car la réalité est la, 3/4 des attaques ne proviennent pas de machines hackés. Sur des IP solitaires, je ne peux pas l’affirmer. Sur des IP avec des netname en VPS, c’est assez simple. OVH n'est pas le seul au monde à vendre des serveurs pas cher avec une grosse capa. La remise en cause peut se faire des deux côtés, et aurait pu être constructive. Limiter le traffic sortant et le débrider à la demande, je sais faire et ça me coute rien. J’aurais pu admettre qu’avec la taille du réseau OVH, cela ne soit pas ou plus possible et l’expliquer clairement aurait été plus simple. A la base, je ne fais pas le même métier, j’apprends un peu sur le tas, je n’étais pas en housing pour rien. Quand on se retrouve avec des équipes support ou commerciale qui sont incapables de nous venir en aide ou de nous expliquer la situation parce que c’est Octave qui a agi, qu’on ne sait rien, après de nombreuses relances, oui parfois il n’y a plus que twitter qui fonctionne. A qui la faute ? Le redflag, c’est de faire croire que le réseau d’OVH est invulnérable sur les forums et travaux et qu’en venant chez OVH on est tranquille. Pour sûr, tous les clients à risques sont éjectés manu militari. C’est sûr qu’il ne doit pas rester beaucoup de clients mécontents à ce niveau-là. S’il ne voulait ou ne pouvait pas assumer les attaques à destination de ces clients, il aurait fallu l’indiquer clairement dans le contrat et ne pas trouver une excuse « bidon » pour invoquer une clause résolutoire et m’éjecter du housing. Pour finir avant Vendredi, je tiens à vous rassurer publiquement, je n’ai les moyens d’acheter une Porsche et dans l’état actuel des choses, je gagnerais mieux ma vie en étant équipier à MacDo. A titre d'information, la situation s'est débloquée le 14 Février vers 4h00 du matin. A priori, un système d'alerte de ou de filtrage plus agressif a été mit en place par OVH. (CF travaux). Je ne sais pas comment clôturer ce long débat/troll/plainte/complainte. (Rayer les mentions inutiles). Alors merci à ceux qui m'ont contacté en privé pour me donner des conseils (que ce soit sur du matériel ou des questions réseaux) ou des contacts et merci pour ce long échange qui bien qu'avec quelques vagues houleuses, il en ressort toutes les réponses auxquelles j'avais (et peut-être d'autres) besoin. Gurvan. Le 13 février 2012 22:33, o...@ovh.net a écrit : Bonjour, Mais pourquoi est à la cible de se protéger C'est quand meme fou de lire ça, surtout quand on sait que ça fait des années que tes infra se font
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Bonsoir tout le monde, je n'interviens vraiment pas souvent sur FrnoG, beaucoup peuvent en témoigner... Peace les gars ! On es pas la pour se taper dessus mais pour trouver des solutions ! Signé le pôv op' dans son coin qui préfererait voir plus de posts [TECH] sur frnog que de posts [WAR] mais ça deviens rare ( oui je fais des rimes mais il est tard )... Ceci évidemment étant un message subliminal ( vendredi oblige ! )... Le 17/02/2012 01:03, Gurvan Rottier-Ripoche a écrit : Le 17 février 2012 00:56, Thomas Manginthomas.man...@exa-networks.co.uk a écrit : Bonne nouvelle :) Très :). Le 16 février 2012 23:42, Guillaume Barrotguillaume.bar...@gmail.com a écrit : De plus ton argument taille des tuyaux est moyen : si tu as 1G pour quelques dizaines d'euros, et ben stack les liens 1G pour monter à plus de débit ou achète des mécanismes de protection chez ton transitaire, et refacture ça à tes clients, mais ne reste pas les bras croisés en attendant qu'OVH (ou demain Iliad, Orange, etc.) sauve ton infra. Tu as 1G pour quelques dizaines d'euros sur de la location de serveurs dédiés. Sinon je crois qu'on serait tous à plusieurs dizaines de Gbits de capa et j'aurais stack depuis très longtemps :). Tout ça pour dire que cette attaque via des serveurs chez OVH, où tu critiques la réaction d'OVH avec comme argument massue que tu es un petit hébergeur et OVH un gros est totalement dénué de logique. L'argument massue, c'est pourquoi 90% des attaques proviennent d'OVH malgré le fait qu'ils aient 110K de serveurs ? Trouvez-vous cela logique de sortir 1Gbits pour 60 euros par mois ? On m'a répondu en détail, j'ai compris, je vais gérer. J'ai envie de dire Ok et alors ? Et alors moi je trouve cela aberrant. Maintenant, si c'est la règle, si c'est comme ça, j'ai également compris et je vais faire en sorte que cela se passe mieux. Imagine que demain tu sois attaqué par des serveurs lowcost d'un hébergeur à Hong Kong ? Tu vas twitter le PDG ? C'est jamais arrivé car il est plus difficile et compliqué d'avoir un haut débit via seulement une ou deux IP depuis ce genre de pays :). (Et je parle pas d'un botnet). La logique veut qu'on soit bien mieux servi par soi même ! Quand on a l'argent, c'est effectivement pas un problème. On va investir plus :). --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Tristan Mahé BC 08.25.59.50.59 --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Comme souvent, j'ai bien aimé le billet de Guillaume: Guillaume Barrot a écrit: 2/ il y a une place pour les petits hébergeurs, mais sur des marchés de niche : comprendre, ces hébergeurs doivent amener autre chose que juste une présence sur le marché. Ils doivent être innovants, ou spécialisés. +1 3/ le monde de l'hébergement, c'est pas le pays des Bisounours. D'ailleurs, si tu connais une partie de l'Internet qui fait encore partie du pays des Bisounours, merci de me le faire savoir en privé ;-) une planque bien peinarde pour la pré-retraire ça commence à avoir de l'allure :P Le marché de la sécurité Informatique le prouve, il faut savoir se protéger des risques quand on se connecte à Internet Surtout quand on s'obstine à vouloir garder des clients qui sont des paratonnerres à emmerdements. Gurvan Rottier-Ripoche a écrit: 4 - Pour venir sur « internet », il faut un gros tuyau pour survivre et virer les clients à risques. Et bien de mon point de vu, je trouve cela totalement anormal et aberrant. Toi tu veux le beurre, l'argent du beurre, et le cul de la crémière. Que ça te plaise ou pas, les geeks de la liste du FRnOG ne gouvernent ni le monde ni l'Internet, qui tous les deux continuent à tourner plus ou moins rond entraînés par les deux moteurs qui marchent depuis la nuit des temps: le cul et le pognon. Les clients qui attirent les DDOS comme la merde attire les mouches, il faut avoir les moyens de se les offrir. Moi, je ne les ais pas, donc je les dégage. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
3/ le monde de l'hébergement, c'est pas le pays des Bisounours. D'ailleurs, si tu connais une partie de l'Internet qui fait encore partie du pays des Bisounours, merci de me le faire savoir en privé ;-) une planque bien peinarde pour la pré-retraire ça commence à avoir de l'allure :P Bababiz point com, voyons. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
* Par ailleurs, je serais très très curieux de connaitre l'avis de l'ARCEP à ce sujet, c'est quand même un conflit qui entre dans les compétences de l'autorité. * Pour répondre de manière factuelle : 1°) Sur la forme : - un tel sujet rentre a priori dans les compétences de l'ARCEP de règlement des différends relatifs à des questions d'interconnexion entre deux opérateurs (à supposer que les acteurs soient des opérateurs), ou entre un opérateur et un fournisseur de services en ligne (compétence plus récente, pour laquelle les premiers cas pourront être l'occasion de dégrossir son contour exact) ; - une des parties peut donc saisir l'Autorité, qui tranchera le différend en équité, au terme d'une instruction contradictoire, sous un délai de quatre mois (ou de qques jours si il y a atteinte grave et immédiate et que des mesures conservatoires sont nécessaires, notamment pour *assurer la continuité du fonctionnement des réseaux*, ce qui semble être un des sujets discutés ici) ; - un préalable à la saisine de l'ARCEP est cependant qu'il y ait eu négociation entre les deux parties et que celles-ci aient échoué, ce qui ne semble pas totalement clair ici ; - enfin, c'est bien aux acteurs de faire la démarche de saisir l'ARCEP s'ils estiment que la situation le nécessite (et non pas à l'ARCEP de s'autosaisir, dès lors que le sujet ne porte pas strictement sur le respect d'obligations légales ou réglementaires). 2°) Sur le fond : - l'ARCEP a pu indiquer dans des recommandations récentes que les pratiques de gestion du trafic devraient respecter 5 critères : pertinence (légitimité des motifs, ici la sécurité), efficacité, proportionnalité (qui semble être le cœur du débat ici), non discrimination et transparence ; - il s'agit d'une recommandation, non impérative, mais qui indique notamment quel serait a priori le raisonnement de l'Autorité si elle était amenée à devoir trancher un différend relatif à ces questions ; - de manière générale, l'Autorité n'a à ma connaissance jamais été destinataire de remontées significatives concernant des difficultés sur la mise en œuvre de mesures de protection des réseaux (type blocage de DDoS) ; - il ne saurait être question de se prononcer davantage sur le fond en l'absence d'éléments contradictoires, notamment en l'absence d'expression de l'opérateur mis en cause (qui s'est néanmoins exprimé depuis), et en l'absence de saisine. 3°) Une réaction à un élément vu plus loin dans la discussion : ANSSI ou ARCEP : c'est une bonne question ; il peut exister des procédures d'avis croisé entre autorités ; saisie d'un différend relatif à la proportionnalité de mesures anti DDoS, l'ARCEP pourrait utilement demander un avis de l'ANSSI dans la procédure ; je connais moins bien l'ANSSI mais je ne suis pas certain qu'elle ait la capacité d'arbitrer des litiges. A votre disposition pour toute discussion, Guillaume Mellier ARCEP 2012/2/13 Jérémy Martin li...@freeheberg.com Bonjour, J'aurais un avis bien tranché sur la question mais je vais me modérer grandement dans mes paroles car nous sommes sur un lieu public. Avant toute chose, je considère que dans les échanges entre opérateurs, il doit y avoir du respect. On peut respecter OVH par rapport à ce qu'ils sont devenu, on peut aussi respecter Gurvan pour ce qu'il construit petit à petit. Malheureusement, le respect a disparu des échanges avec Octave depuis bien longtemps, et c'est vraiment malheureux. Concernant le point de vue technique, nous sommes également victime des problématiques d'attaques DOS UDP provenant du réseau d'OVH mais aussi d'Online (je suis déjà venu pleurer ici pour cette raison d'ailleurs). Le fait est que dans notre monde de réseau giga, il est impératif de placer des limites déontologique sur nos réseaux, et d'éviter les coupures unilatérales qui bafoue la neutralité du net tel qu'on le voit dans le null routage que fait Octave sur son réseau. Nous aussi nous avons notre réseau et notre facturation qui explose à chaque fois. Et à chaque fois, le service Abuse met 3 heures à bloquer le serveur en face. Par ailleurs, je serais très très curieux de connaitre l'avis de l'ARCEP à ce sujet, c'est quand même un conflit qui entre dans les compétences de l'autorité. Pour la suite, la seule solution que nous avons trouvé est de mettre en place une community Blackhole avec nos transitaires, mais clairement, ce n'est pas une solution parfaitement adapté. Un shapper en sortie du réseau d'OVH ou d'Online pour bloquer les flux UDP au delà d'un certain nombre de pk/s ou de mb/s serait tellement mieux. Mais les capacités en jeu sont tellement élevé qu'OVH ou Online ne feront jamais les investissements pour obtenir les équipements permettant de le faire. Comme d'habitude, le gros poissons nage tranquillement pendant que le petit crève dans les sillons du premier... Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven /
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Le 14 févr. 2012 à 09:12, Guillaume Mellier a écrit : je connais moins bien l'ANSSI mais je ne suis pas certain qu'elle ait la capacité d'arbitrer des litiges. Disons que dès lors qu'un acteur est soumis aux dispositions des articles L.1332-1 et suivants du Code de la Défense, les préconisations ANSSI peuvent primer sur les arbitrages ARCEP. -- Alec, --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
On Tue, 14 Feb 2012 01:02:43 +0100, Jérôme Nicolle jer...@ceriz.fr said: Oui, tu peux leur demander un arbitrage sur un différend commercial, dans l'optique d'une résolution amiable. Mais sur une procédure en justice, que ce soit commercial, civil ou pénal, il ne me semble pas qu'ils soient référents. Le but n'est il pas precisement d'eviter d'aller en justice ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Moi le seul truc qui m'a un peu, beaucoup choqué : c'est qui défini, pour dire, tu héberges des projets limites juste comme cela au passage : frontnational.com Is Hosted by OVH SAS Hosting: OVH SAS host the domain frontnational.com IP Address: 213.186.33.18 Name Servers: ns.ovh.net, dns.ovh.net Ce sont de gens si bien, qui se reclament de la France profonde,.. :) que je trouve presque en dehors des limites... Octave fait attention a ce que tu dis parfois avant de donner des jugement, tu manges aussi de ce pain la. Et moi ma mère elle vendait de pain, ni beurre...;( Ps : j'ai pris celui car c'est le plus soft ... Amicalement Gael 2012/2/14 Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net On Tue, 14 Feb 2012 01:02:43 +0100, Jérôme Nicolle jer...@ceriz.fr said: Oui, tu peux leur demander un arbitrage sur un différend commercial, dans l'optique d'une résolution amiable. Mais sur une procédure en justice, que ce soit commercial, civil ou pénal, il ne me semble pas qu'ils soient référents. Le but n'est il pas precisement d'eviter d'aller en justice ? --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Solution Open Source Group4 Gaël Le Borgne --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Dire qu'il est jugé coupable, c'est un manque de discernement Je ne suis toujours pas d'accord, et les commentaires sur la liste me font penser que j'ai toujours raison mais je n'ai pas envi de trop débattre ce point je suis mieux luné ce matin :D et ce n'est pas ce qui est important. Il semble que la situation soit le résultat de plusieurs d'année de problèmes. Le mail d'Octave n'était pas ce que je m'attendais a voir mais au moins nous avons les deux cotés de l'histoire. ( mon argument sur le fonD et la forme .. mais je vais d'abord chercher cette poutre). Certes, travaux.ovh.com est un élément tout à son honneur, il se trouve que ça ne reflète plus la complexité de l'exploitation de son réseau, et donc que ce n'est plus suffisamment recevable comme élément de transparence. Ca reste louable, mais pas suffisant vu la dépendance qu'il crée pour ses très nombreux (au sens compliment) clients. Pas mon argument, je laisse qui de droit répondre. Donc je serais ravi qu'Octave intervienne en me disant que j'ai tord. Ca pourrait être fondé, cette fois. Mais d'ici à ce qu'il le fasse, et qu'il réponde d'une atteinte grave au fonctionnement du réseau vis à vis de ses pairs, tu me pardonnera le raccourci, mais c'est lui qui est en tort. Et pas qu'un peu. Tant pour le manque de transparence que pour l'atteinte initiale. Il est clair que comme je l'avais supposé, l'aspect humain est la raison pour la solution radicale, pour paraphraser 'j'en ai marre de gérer tes problèmes, je ne veux plus te voir' Je pense qu'Octave a perdu toute bonne volonté. J'espere seulement qui décidera au moins de suivre les conseils de Gurvan et limitera la blackhole aux plages de serveurs et pas a tout son réseau. Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
On 14 Feb 2012, at 00:02, Jérôme Nicolle wrote: Le 13/02/2012 15:48, Thomas Mangin a écrit : En Angleterre, l' ISPA a un code de conduite pour la resolution des disputes entre FAI, n'y a-t-il pas la meme chose de ce cote de la Manche ? Oui, tu peux leur demander un arbitrage sur un différend commercial, dans l'optique d'une résolution amiable. Mais sur une procédure en justice, que ce soit commercial, civil ou pénal, il ne me semble pas qu'ils soient référents. La plupart des problèmes aboutissant a l'utilisation de la justice peuvent être résolus avec l'utilisation d'un médiateur. C'est moins cher, moins lourd, plus rapide. A ce que dit Guillaume Mellier, l'ARCEP veut aussi que cette communication / médiation ai eu lieu. Tu peux voir cette procédure comme une médiation forcée. Cela suffit a débloquer le problème, dans mon cas, juste le menace d'avoir mon problème de backhole passe a la mediation a suffit. Cela permet aussi de collecter les faits, et a les re-disséminer. IMHO - dans ce cas, nous sommes un peu plus loin dans la rupture de communication mais pas bien loin. Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
On 2/13/12 4:48 PM, Guillaume Esnault wrote: Bonjour à tous, Nous aussi (Digicube) sommes régulièrement la cible de diverses tentatives de déni de service. Nous accueillons d'ailleurs pas mal de réfugiés d'hébergeurs qui préfères couper le service de leurs clients attaqués plutôt que de gérer le problème. Cela nous a couté beaucoup d'investissements et nous coute encore en surveillance développement mitigation etc... OVH en est la principale source car c'est simplement le plus gros hébergeur d'Europe avec plus de 100K serveurs hébergé. La solution la plus simple ne serait elle pas de limiter le nombre de pps par serveur ? Sachant que, par exemple, un serveur connecté à 100 Mbps ou même à 1G ne devrait pas dépasser les 30 Kpps. Il n'est pas si difficile non plus d'aller plus loin et de surveiller et de faire des statistiques sur l'état des flux. Ex: plus de 3000 connexions simultanées d'un serveur sur une cible en attente de réponses est à coup sûr une tentative de déni de service. Le problème avec ce genre de pratique basée sur de l'analyse discriminatoire, c'est les faux positifs... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re : [FRnOG] [MISC] L'internet libre et neutre selon OVH
j'attire votre attention sur la loi citée par Mr Fleuriot qui ne concerne que les consommateurs et exclut donc les professionnels utilisant un serveur pour des buts commerciaux. La notion de professionnels étant facilement (dans ce cas) qualifiable (enfin à mon sens). j'en profite : késako le pps d'un serveur ? (enfin plus précisément, que signifie cet acronyme? ) J. De : Damien Fleuriot m...@my.gd À : frnog@frnog.org Envoyé le : Mardi 14 février 2012 10h30 Objet : Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH On 2/13/12 4:48 PM, Guillaume Esnault wrote: Bonjour à tous, Nous aussi (Digicube) sommes régulièrement la cible de diverses tentatives de déni de service. Nous accueillons d'ailleurs pas mal de réfugiés d'hébergeurs qui préfères couper le service de leurs clients attaqués plutôt que de gérer le problème. Cela nous a couté beaucoup d'investissements et nous coute encore en surveillance développement mitigation etc... OVH en est la principale source car c'est simplement le plus gros hébergeur d'Europe avec plus de 100K serveurs hébergé. La solution la plus simple ne serait elle pas de limiter le nombre de pps par serveur ? Sachant que, par exemple, un serveur connecté à 100 Mbps ou même à 1G ne devrait pas dépasser les 30 Kpps. Il n'est pas si difficile non plus d'aller plus loin et de surveiller et de faire des statistiques sur l'état des flux. Ex: plus de 3000 connexions simultanées d'un serveur sur une cible en attente de réponses est à coup sûr une tentative de déni de service. Le problème avec ce genre de pratique basée sur de l'analyse discriminatoire, c'est les faux positifs... --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Bonjour Gurvan, La vraie question me semble plutôt être : Est ce plus à vous ou à OVH de protéger VOS clients ?. Il me semble pour ma part évident que c'est tout d'abord à l’hébergeur qui est payé par ses clients de fournir un hébergement de qualité. Un hébergement de qualité aujourd’hui sous entend un certain nombre de points dont la protection contre les DDOS/flood fait aussi partie. C'est une réalité technique que personne ne peut plus ignorer. Il existe aujourd’hui pas mal de solutions techniques plus ou moins dispendieuses pour essayer de s'en protéger. La plupart ont étés déjà présentées ici (flowspec,communautés BGP, système de mitigation (Arbor,Corero,...), clean pipe payant,..). ici à SdV, le budget dédié à la protection DDOS est conséquent (Arbor TMS+Peakflow), on aurait préféré utiliser cet argent pour autre chose, mais ainsi va la vie, il en va de notre survie. Ne pas se protéger soi même ses clients est un choix qu'il faut assumer, je peux comprendre qu'on fasse l'impasse sur ces protections pour des raisons économiques, par contre je comprend moins quand ensuite on demande aux autres de le faire à sa place. En l'absence de législation forçant les AS à nettoyer leur trafic sortant, il me semble logique que ce soit fait chez les hébergeurs en entrée (qui sont payés par des clients). Donc, je ne vois pas pourquoi OVH devrait nettoyer son trafic sortant pour vous (alors que vous ne le faites pas vous même en entrée). Pour ce qui est du filtrage entre vos deux réseaux, c'est effectivement une mesure technique qui me semble démesurée de la part d'OVH, je vous invite à essayer de discuter avec eux pour trouver un compromis plutôt que de lancer des polémiques publiques qui n'apaiseront pas le débat. Mais encore une fois, si vous aviez eu ce qu'il fallait pour vous protéger (ou travailler avec des upstreams en ayant la capacité) vous ne seriez pas dans cette situation, s'acharner publiquement sur OVH (qui du fait de sa position sur le marché sera souvent une source d'attaques) ne me parait pas la bonne approche technique ni commerciale. Cordialement, Salim --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Si un client va dans son cafe local et a chaque fois, se bat et casse une chaise tu crois qu'il sera toujours le bienvenu ? Dans le cas présent, le client se fait tabasser par des skinheads, ça va quand même pas être sa faute ? On sort du sujet. Débattre des analogies n'est pas très constructifs. Tu as compris mon point. Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
On 2/14/12 11:11 AM, Thomas Mangin wrote: Si un client va dans son cafe local et a chaque fois, se bat et casse une chaise tu crois qu'il sera toujours le bienvenu ? Dans le cas présent, le client se fait tabasser par des skinheads, ça va quand même pas être sa faute ? On sort du sujet. Débattre des analogies n'est pas très constructifs. Tu as compris mon point. Thomas Nan mais justement, ici encore une fois on pose la victime en coupable, il se prend une attaque donc: 1/ il l'a bien cherché 2/ bien fait pour sa gueule 3/ on coupe C'est l'approche standard des hébergeurs. Encore heureux que ça se passe pas comme ça dans la vraie vie ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Bonjour, Le 14/02/2012 01:04, Jérôme Nicolle a écrit : Le 13/02/2012 17:35, Damien Fleuriot a écrit : Dans le cas présent c'est le réseau d'OVH qui véhicule l'attaque alors c'est discutable. Attention au principe de subsidiarité entériné par la LCEN. Les transitaires par exemples ne sont pas responsables, et l'hébergeur ne l'est que s'il ne permet pas l'identification du fauteur de trouble. Ça c'est justement le point que je n'arrive pas à comprendre. Finalement, le méchant fouteur de merde qui devrait se faire tirer les oreilles, c'est pas l'opérateur X ou Y : c'est l'individu qui loue un serveur dédié chez OVH et s'en sert pour faire une attaque (D)DOS. C'est lui qui devrait se retrouver au tribunal. L'incompétent qui devrait payer les pots cassés, c'est l'administrateur qui prend un serveur dédié et le laisser relayer du spam ou se faire véroler bêtement (parce que jamais mis à jour, parce que mot de passe en carton).. C'est lui qui devrait payer la facture. Je suis sincèrement étonné que cette approche n'ait pas été évoquée dès le début sur la liste. Au lieu de chercher des responsables là où il n'y en a pas. La neutralité d'Internet, si souvent évoquée, c'est une liberté, qui va avec la responsabilité. On ne peut pas avoir l'un sans l'autre. Dit autrement : soit on traite les clients des FAI et hébergeurs comme des enfants, en leur imposant des règles arbitraires pas neutres et en s'engueulant sur FRnOG pour savoir si c'est toi ou moi qui embête mes clients, soit on les traite comme des adultes. Pour reprendre les analogies déjà évoquées, un adulte qui tue quelqu'un avec un arc, ou avec une voiture, il a des gros ennuis. Si on veut laisser tranquille les vendeurs d'arcs et de voitures, il va falloir se décider à taper sur le vrai responsable. Le problème, c'est le manque de volonté politique pour responsabiliser les internautes. C'est peut-être aux opérateurs/hébergeurs de réclamer une législation lisible, claire, simple, ne changeant pas tous les 6 mois, ne prévoyant pas 36 000 cas particuliers (pour les jeux en ligne, pour le pédoporno, pour les contrefaçons), et qui leur permette de se concentrer sur leur boulot et de laisser la justice taper sur les fouteurs de merde. Garder des logs, garder les coordonnées de qui loue quoi, fermer un service quand la justice dit de le fermer, point final. Le jour où le Kevin qui décide de louer un dédié OVH pour embêter du monde se retrouve avec les gendarmes devant la porte, pas parce que c'est OVH qui les envoie, mais parce que c'est la Loi, je suis certain que les attaques se calmeront. On vit dans un état de droit, ou pas ? Rémi. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Bonjour, Le 13/02/2012 22:33, o...@ovh.net a écrit : C'est quand meme fou de lire ça, surtout quand on sait que ça fait des années que tes infra se font attaquer parce que tu acceptes les clients qui sont border line. [snip] en plus le twitter et tout le tralala. de plus, tu commences tranquilement dire que je suis derrier tout ça et que je te cite il est complice de ces attaques: https://twitter.com/#!/Inulogic_FreeH/status/167757684899188736 pour quelques heures/jours apres de menaces juridiques. https://twitter.com/#!/Inulogic_FreeH/status/168720856623751168 J'avoue ne pas comprendre ce double standard: l'hébergeur est responsable si ses clients ont une activité qui déplaît à d'autres internautes, mais n'est pas responsable si ses clients font des Go d'attaques DDOS ? Pourtant il me semble qu'un volume de trafic réseau disproportionné est davantage du ressort de l'hébergeur, que la question de savoir si un site est border line (Ça veut dire quoi ? Qu'il déplaît à au moins une personne ?) Rémi. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Le 14/02/2012 12:06, Rémi Bouhl a écrit : L'incompétent qui devrait payer les pots cassés, c'est l'administrateur qui prend un serveur dédié et le laisser relayer du spam ou se faire véroler bêtement (parce que jamais mis à jour, parce que mot de passe en carton).. C'est lui qui devrait payer la facture. Il faut dire qu'on a fait croire (pour vendre) qu'un serveur dédié était administrable par tout le monde. On divise le prix par 2 pour viser les particuliers, on oublie l'infogérance, on met des robots à la hotline, coût divisé par 10. Ventes multipliées par 100. Patron riche et content, mais client incompétent ! Comment s'étonner que le client tombe dans le panneau ? Est-il vraiment responsable ? Pour conduire une voiture il faut un permis, pourtant c'est bien plus simple que gérer un serveur !!! Cordialement, Christophe Baegert --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Le 14/02/2012 12:37, Christophe Baegert a écrit : Il faut dire qu'on a fait croire (pour vendre) qu'un serveur dédié était administrable par tout le monde. On divise le prix par 2 pour viser les particuliers, on oublie l'infogérance, on met des robots à la hotline, coût divisé par 10. Ventes multipliées par 100. Patron riche et content, mais client incompétent ! Comment s'étonner que le client tombe dans le panneau ? Est-il vraiment responsable ? A defaut d'un permis, un disclaimer résumé avec des grosses lignes à valider serait un minimum. Ou alors un questionnaire sur les connaissances du client comme pour l'épargne en bourse. Eh oui, même avec son argent on ne fait pas ce qu'on veut. Le pire étant quand le locataire d'un serveur se retrouve au poste de police parce que son serveur piraté a été utilisé pour du DDoS ou du phishing. C'est déjà arrivé, ça arrivera encore. Cordialement. Raphaël Durand. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Le 14 févr. 2012 à 12:37, Christophe Baegert a écrit : Le 14/02/2012 12:06, Rémi Bouhl a écrit : L'incompétent qui devrait payer les pots cassés, c'est l'administrateur qui prend un serveur dédié et le laisser relayer du spam ou se faire véroler bêtement (parce que jamais mis à jour, parce que mot de passe en carton).. C'est lui qui devrait payer la facture. Il faut dire qu'on a fait croire (pour vendre) qu'un serveur dédié était administrable par tout le monde. On divise le prix par 2 pour viser les particuliers, on oublie l'infogérance, on met des robots à la hotline, coût divisé par 10. Ventes multipliées par 100. Patron riche et content, mais client incompétent ! Tu oublies: L'interface Plesk ou consors qui peut t'administrer toute seule le serveur sans que tu ne comprennes à aucun moment ce qu'elle est en train de faire... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Tient, un peu de changement chez OVH : http://travaux.ovh.net/?do=detailsid=6378 DétailsWe have updated abuse detection filters for some UDP aberrant traffic. Cordialement, Jérémy Martin Le 13/02/2012 22:33, o...@ovh.net a écrit : Bonjour, Mais pourquoi est à la cible de se protéger C'est quand meme fou de lire ça, surtout quand on sait que ça fait des années que tes infra se font attaquer parce que tu acceptes les clients qui sont border line. et même avec tout ce qu'il t'arrive dans ta vie, tu n'arrives pas à apprendre et se remettre en question puis evoluer/changer ? si tu ne sais pas pourquoi encore aujourd'hui bahh change de metier. car dans ce metier là uniquement ceux qui sont paranos survivent. les autres meurent. historiquement, tu as été chez ovh housing. 2009 ? 2010 ? et tu avais les attaques qui venait de partout dans le monde. 1 à 2 par mois un email est ce que tu peux me proteger contre cette attaque. combien de fois ? je compte pas. à chaque fois meme pas un merci. courant 2010/2011, tu as profité de protections contre les attaques que j'ai mis en place et ça s'est un peu arreté. debut 2011 c'était quand même bien tranquille. dans ton cas, les petits rigolos qui n'aiment pas tes clients qui n'aiment pas les petits rigolos ont decouvert qu'en hackant un serveur chez ovh, ils peuvent attaquer à nouveau tes VPS. et depuis sep 2011 ça a repris de plus beau car en interne je ne gere pas les attaques via le QoS mais via la mise en rescue du serveur. fin 2011, les attaques continue et tu commences tranquilement nous insulter qu'on a de routeurs de merde qui ne tiennent même pas les attaques et tout ça est gravement scandaleux que porter plainte, et finir devant le juge etc. ok. je suis sympa mais quand on me menace, red flag. on te resilie et tu pars ailleurs. 3 prefix: un avec cogent et 2 avec dedibox. meme pas de lien direct avec nous. nous cogent on le voit via dtag via frankfurt .. et les attaques ? bahh ils continuent toujours à partir de notre reseau comme avant. les hackeurs vont pas changer les habitudes. et tu te prends quelques Mbps quelques fois par mois car tu veux continuer à héberger des projets border line. J'ai pas de probleme avec ça mais achete toi des equipements pour gerer ces attaques. tu as de la chance que le mec qui gere le reseau qui t'attaque peut regler ton probleme. hier tu envoies les emails sur abuse@, je regle le probleme et derriere je voie quoi ? en plus le twitter et tout le tralala. de plus, tu commences tranquilement dire que je suis derrier tout ça et que je te cite il est complice de ces attaques: https://twitter.com/#!/Inulogic_FreeH/status/167757684899188736 pour quelques heures/jours apres de menaces juridiques. https://twitter.com/#!/Inulogic_FreeH/status/168720856623751168 moi: red flag ! question: comment je peux moi faire de sort que mon reseau ne fasse plus jamais les attaques sur ton reseau de maniere sûr ? blackhole. c'est ça que j'ai mis en place. j'ai mis en place exactement ce que j'aurais demandé à mes transits de faire si je recevais une attaque. ce sont les outils standard. rien d'extraordinaire. okey, c'est pas très fin, mais ça marche. le monsieur en face il peut nous insulter de tous les noms mais ne me dira plus qu'il recoit les attaques de notre reseau. donc le resultat est là. pourquoi sur tout le reseau ? car j'ai aucune information sur la destination de l'attaque ni pourquoi ni si ça change ni si c'est la meme IP etc. le monsieur nous insulte et va partout pour casser du sucre mais jamais il ne va avoir de demarche constructif pour affiner ou trouver l'origine du probleme. dans tous les cas il connait l'origine du probleme mais comme ça lui rapporte un max alors il n'est pas prêt de changer. pire il va demander aux autres d'investir dans le matos pour faire la securité pour lui. j'ai donc protegé son reseau avec les regles et les outils que tout le monde utilise sur l'internet. et avec les moyens que je dispose. c'est brutal, facile, pas cher mais surtout ça fonctionne. pas d'attaque. et ? et j'attends que le monsieur en face me dise c'est bon, j'ai mis ce qu'il faut pour gerer maintenant les attaques moi meme. car ce n'est pas à moi de gerer les attaques pour les autres. on a des outils qui nous permettent de detecter les attaques. de grosses attaques, pas de petites. je veux dire 80-90Mbps, pas moins, car moins ça aurait été de faux positive avec pas mal d'activité de nos clients. on a aussi les infra qui evoluent. on a par exemple reçu derrnierement les nouvelles cartes 24x10G et le netflow ne fonctionne pas super bien. on ne voit pas tout. peut etre ça va s'améliorer, peut etre pas. en tout cas, il n'est pas possible de se baser sur sa propre securité sur les autres reseaux et encore moins avec de gens qu'on insulte 1 fois par semaine et qu'on les accuse très facilement de tout et de rien. je veux bien aider mais si c'est de cette maniere c'est non. QoS ? il n'est pas possible de garantir une limitation de
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Hello, Vous le savez TOUS que les DDOS peuvent arriver, pourquoi faire l'impasse sur cette partie, alors que vous savez que cela va vous impacter ? J'ai vraiment du mal à comprendre. Tu es obligé d'avoir une infrastructure qui dès le départ est capable de palier le manque de réactivité de fournisseurs tiers, si tu veux maitriser ton backbone et tes couts. Lorsque l'on est passé d'un réseau AS6461 vers AS8218 avec zero meg, nous avions pensé le réseau avec les contraintes du passage d'un tier-1 vers un Tier-2 ( capacité vers certains peers et beaucoup de transit au départ ) Nous n'avions pas fait l'impasse sur les éléments d'infrastructure, et nous avons fais en sorte d'être directement indépendant sur la gestion de notre trafic. La protection active de notre backbone est un élément que nous avons mis de coté, et avions décidé dans un premier temps de pouvoir supporter un gros volume en IN et d'utiliser la fonction blackhole de nos transitaires de l'époque. Si tu as une PI, si tu as un AS et si tu es capable d'avoir 2 serveurs pour faire tes routeurs, je t'invite à immédiatement prendre 2 ports de transits ( même avec une route par défaut ) , un peu de peering avec en gros 20k routes pour un petit qui commence ( 10k routes sur le RS du FranceIX). Pour te protéger, tu pourras utiliser la communauté blackhole ( oui ta machine ne sera plus joignable ) de tes opérateurs, filtrer sur le port en IN de l'IX si tu peer avec le réseau en question ( un gros flood UDP, c'est assez simple à filtrer même sur un PC ) Lorsque tu te fera attaquer, tu pourra donc contenir les attaques et si tu as un opérateur qui a des communautés dynamique tu pourra également utiliser DNA:BADGUY le temps du DOS. Les protections D/DOS que tu peux souscrire sont principalement utilisées pour des sites/services que l'on pourrait qualifier de sensible. Ensuite tu as des mécanismes sur certains routeurs ( des vrais routeurs hein ) qui te permettent de bloquer les attaques volumétrique non-intelligente, mais il te faut quoiqu'il en soit la capacité en IN. Ensuite, la protection D/DOS, Il faut le voir comme une assurance. Si pour ta voiture / maison , tu n'a rien pendant des années, tu es bien content lorsque tu as un pb d'avoir ton assurance qui prend tout en charge pour toi. Bref, tu veux fournir un service qualité, tu dois malheureusement faire avec la jungle qui t'entoure. Plus ton infrastructure est autonome, et plus tu seras pris au sérieux par les gros. C'est malheureux, mais c'est comme ça. Ce qui est pénible/dommage , c'est que ton mail a été utilisé pour alimenter la lutte des classes trop présente sur cette liste. -- Raphaël Maunier NEO TELECOMS CTO / Directeur Ingénierie AS8218 On 2/13/12 1:49 PM, Gurvan Rottier-Ripoche inulo...@gmail.com wrote: Bonjour Raphaël, Oui on a tous de plus en plus de soucis de type DOS ou DDOS. Mais pourquoi est à la cible de se protéger, de faire en sorte de ne pas payer le trafic ? L'attaquant paye son 1G 60/100 euros et la cible 1000/3000 euros. Forcément la cible n'est pas contente. Si on reprend ta première étape, il faut arriver à sauter de la location ou du housing basique à une solution chère et élaborée. C'est pas toujours facile. Prendre un service de protection, c'est bien gentil et surement efficace. C'est 6 à 15 euros le mbits. Quand je me mange 900Mbits, je reçois que mes 50/60Mbits de trafic légitime mais je paye les 900Mbits. Il faut devenir indépendant des infrastructures de l'ensemble de vos opérateurs afin de ne pas être dans ce genre de situation et être bloqué. La plupart des bon opérateurs gardent leurs clients sur leur capacité de suivre et conseiller leurs clients, non pas en leur mettant des menottes au radiateur ... En effet. Mais il faut aussi que les opérateurs prennent leurs responsabilités. Quand tu send 8 abuses en Janvier, 9 abuses en Février, que c'est silence radio permanent, qu'on te répond en public que tu gères mal ton réseau, que tu es un hackeur, que tes équipements encaissent rien, que c'est TA FAUTE, au bout d'un moment, tu n'en peux plus. Pour ton exemple avec Softlayer, tu dis te prendre 3 à 4Gbits de flood et que effectivement, ce n'est pas grand chose pour toi. Tu rééquilibres si besoin tes liens, tu send un abuse et tu attends que ça passe. Tes clients ne sont pas touchés, le réseau tient, tout va bien. Maintenant, si tu avais que 3 à 4Gbits de capa globale, ça n'irait pas. J'aurais surement la même pensée si j'avais 2 à 3Gbits, 2 opérateurs etc. Seulement, pour le moment, ce n'est pas le cas. Mon installation est très récente, (-2 mois), et une série d¹évènements ont fait que le déménagement devait se passer en urgence. On va avoir une seconde fibre, un second opérateur, un routeur potable. Mais pas avant quelques mois. En attendant j'encaisse et je paye en silence ? Pour moi ce n'est pas acceptable et la solution qui a été mise en place pour solutionner mon problème encore moins. Je n'ai le problème qu'avec un seul réseau. Je te
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
On Mon, 13 Feb 2012 21:01:26 +0100, Guillaume Barrot guillaume.bar...@gmail.com said: Michel, tu viens de trouver les agences de notations de l'hebergement ! Nce ! Cote hebergement (web) ca se fait probablement moins, mais cote SMTP, ca se fait depuis un bail. Je ne parle pas des black-lists, je parle des boites qui donnent des reputations aux IPs et reseaux --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Bonjour, Mais pourquoi est à la cible de se protéger C'est quand meme fou de lire ça, surtout quand on sait que ça fait des années que tes infra se font attaquer parce que tu acceptes les clients qui sont border line. et même avec tout ce qu'il t'arrive dans ta vie, tu n'arrives pas à apprendre et se remettre en question puis evoluer/changer ? si tu ne sais pas pourquoi encore aujourd'hui bahh change de metier. car dans ce metier là uniquement ceux qui sont paranos survivent. les autres meurent. historiquement, tu as été chez ovh housing. 2009 ? 2010 ? et tu avais les attaques qui venait de partout dans le monde. 1 à 2 par mois un email est ce que tu peux me proteger contre cette attaque. combien de fois ? je compte pas. à chaque fois meme pas un merci. courant 2010/2011, tu as profité de protections contre les attaques que j'ai mis en place et ça s'est un peu arreté. debut 2011 c'était quand même bien tranquille. dans ton cas, les petits rigolos qui n'aiment pas tes clients qui n'aiment pas les petits rigolos ont decouvert qu'en hackant un serveur chez ovh, ils peuvent attaquer à nouveau tes VPS. et depuis sep 2011 ça a repris de plus beau car en interne je ne gere pas les attaques via le QoS mais via la mise en rescue du serveur. fin 2011, les attaques continue et tu commences tranquilement nous insulter qu'on a de routeurs de merde qui ne tiennent même pas les attaques et tout ça est gravement scandaleux que porter plainte, et finir devant le juge etc. ok. je suis sympa mais quand on me menace, red flag. on te resilie et tu pars ailleurs. 3 prefix: un avec cogent et 2 avec dedibox. meme pas de lien direct avec nous. nous cogent on le voit via dtag via frankfurt .. et les attaques ? bahh ils continuent toujours à partir de notre reseau comme avant. les hackeurs vont pas changer les habitudes. et tu te prends quelques Mbps quelques fois par mois car tu veux continuer à héberger des projets border line. J'ai pas de probleme avec ça mais achete toi des equipements pour gerer ces attaques. tu as de la chance que le mec qui gere le reseau qui t'attaque peut regler ton probleme. hier tu envoies les emails sur abuse@, je regle le probleme et derriere je voie quoi ? en plus le twitter et tout le tralala. de plus, tu commences tranquilement dire que je suis derrier tout ça et que je te cite il est complice de ces attaques: https://twitter.com/#!/Inulogic_FreeH/status/167757684899188736 pour quelques heures/jours apres de menaces juridiques. https://twitter.com/#!/Inulogic_FreeH/status/168720856623751168 moi: red flag ! question: comment je peux moi faire de sort que mon reseau ne fasse plus jamais les attaques sur ton reseau de maniere sûr ? blackhole. c'est ça que j'ai mis en place. j'ai mis en place exactement ce que j'aurais demandé à mes transits de faire si je recevais une attaque. ce sont les outils standard. rien d'extraordinaire. okey, c'est pas très fin, mais ça marche. le monsieur en face il peut nous insulter de tous les noms mais ne me dira plus qu'il recoit les attaques de notre reseau. donc le resultat est là. pourquoi sur tout le reseau ? car j'ai aucune information sur la destination de l'attaque ni pourquoi ni si ça change ni si c'est la meme IP etc. le monsieur nous insulte et va partout pour casser du sucre mais jamais il ne va avoir de demarche constructif pour affiner ou trouver l'origine du probleme. dans tous les cas il connait l'origine du probleme mais comme ça lui rapporte un max alors il n'est pas prêt de changer. pire il va demander aux autres d'investir dans le matos pour faire la securité pour lui. j'ai donc protegé son reseau avec les regles et les outils que tout le monde utilise sur l'internet. et avec les moyens que je dispose. c'est brutal, facile, pas cher mais surtout ça fonctionne. pas d'attaque. et ? et j'attends que le monsieur en face me dise c'est bon, j'ai mis ce qu'il faut pour gerer maintenant les attaques moi meme. car ce n'est pas à moi de gerer les attaques pour les autres. on a des outils qui nous permettent de detecter les attaques. de grosses attaques, pas de petites. je veux dire 80-90Mbps, pas moins, car moins ça aurait été de faux positive avec pas mal d'activité de nos clients. on a aussi les infra qui evoluent. on a par exemple reçu derrnierement les nouvelles cartes 24x10G et le netflow ne fonctionne pas super bien. on ne voit pas tout. peut etre ça va s'améliorer, peut etre pas. en tout cas, il n'est pas possible de se baser sur sa propre securité sur les autres reseaux et encore moins avec de gens qu'on insulte 1 fois par semaine et qu'on les accuse très facilement de tout et de rien. je veux bien aider mais si c'est de cette maniere c'est non. QoS ? il n'est pas possible de garantir une limitation de bande passante vers exterieur lors d'une attaque vers une destination sur un reseau distribué comme le notre. et les routeurs ne peuvent pas prendre l'internet entier dans ses access-list pour faire de trucs
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Vous le savez TOUS que les DDOS peuvent arriver, pourquoi faire l'impasse sur cette partie, alors que vous savez que cela va vous impacter ? J'ai vraiment du mal à comprendre. As always, le poids du meeeuh non, ca peut pas nous arriver a nous, et quand ca arrive le fameux ah les salops, mon beau reseau tout casse, le (rayez la mention inutile) fournisseur / partenaire / client m'a menti. Bon de la part d'un petit hébergeur, encore, j'arrive a le comprendre (meme si c'est quand meme pas bien). Mais je connais aussi des gros opérateurs qui fonctionnent de la sorte, et la pour le coup, au dela de l'acceptable, c'est juste dangereux. Un contrat n'a jamais protege une infra, une ACL/Firewall/route-map/devnullage si. Pour en revenir au mecanisme de protection, il me semble qu'au dernier FRnog, NeoTelecom a presente FlowSpec, qui est tout designe pour repondre a ce genre de besoin. La encore, oui c'est a la cible de declencher son mecanisme de defense, et oui il s'agit de demander a son transitaire / FAI / peer de mettre en place du filtrage precis lors d'une attaque. Ca soigne le symptome, pas la maladie, pour ca y abuse@xxx. Question sur Flowspec (tant qu'on y est) : qui a part Neo a deploye ca ? Est-ce supporte par d'autres constructeurs que Juniper et ALU ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Pour en revenir au mecanisme de protection, il me semble qu'au dernier FRnog, NeoTelecom a presente FlowSpec, qui est tout designe pour repondre a ce genre de besoin. Problème : C'est seulement supporte chez Juniper et Alcatel. Je crois que c'est prevu chez cisco ... pour Brocade pas d'idee. Donc tout le monde ne peux pas s'en servir, mais oui j'aime :D Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Le 13/02/2012 16:17, Thomas Mangin a écrit : Si étais lui, je ne le ferais pas, il est déjà jugé coupable. Si tatave vient expliquer que ceux d'en face sont totalement irresponsable et on mis son infrastructure en péril sans répondre aux abuse@ ou équivalent, c'est recevable. Même s'il vient plaider le malentendu. Ce qui n'est pas recevable, c'est le blackhole arbitraire (jusqu'à preuve du contraire). Dire qu'il est jugé coupable, c'est un manque de discernement : il est parmi les personnes du réseau, en France, avec lesquelles il est le plus difficile de travailler, pour des raisons purement humaines. Ca n'est pas pour autant qu'il n'a pas son mot à dire, ça ne remet pas en cause son talent ou sa réussite, et ça ne suppose en rien qu'il ne sera pas entendu, puisque c'est précisément son manque de communication eu égard à son importance sur le marché de l'hosting qui est à l'origine de toutes critiques ou malentendu. Certes, travaux.ovh.com est un élément tout à son honneur, il se trouve que ça ne reflète plus la complexité de l'exploitation de son réseau, et donc que ce n'est plus suffisamment recevable comme élément de transparence. Ca reste louable, mais pas suffisant vu la dépendance qu'il crée pour ses très nombreux (au sens compliment) clients. Donc je serais ravi qu'Octave intervienne en me disant que j'ai tord. Ca pourrait être fondé, cette fois. Mais d'ici à ce qu'il le fasse, et qu'il réponde d'une atteinte grave au fonctionnement du réseau vis à vis de ses pairs, tu me pardonnera le raccourci, mais c'est lui qui est en tort. Et pas qu'un peu. Tant pour le manque de transparence que pour l'atteinte initiale. Bref toute explication est bonne à entendre, et toute erreur (ou presque) peut être pardonnée, tant qu'il ne s'enferme pas dans un silence assourdissant ou seuls les trolls seront entendus. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Le 13/02/2012 15:48, Thomas Mangin a écrit : En Angleterre, l' ISPA a un code de conduite pour la resolution des disputes entre FAI, n'y a-t-il pas la meme chose de ce cote de la Manche ? Oui, tu peux leur demander un arbitrage sur un différend commercial, dans l'optique d'une résolution amiable. Mais sur une procédure en justice, que ce soit commercial, civil ou pénal, il ne me semble pas qu'ils soient référents. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Le 13/02/2012 17:35, Damien Fleuriot a écrit : Dans le cas présent c'est le réseau d'OVH qui véhicule l'attaque alors c'est discutable. Attention au principe de subsidiarité entériné par la LCEN. Les transitaires par exemples ne sont pas responsables, et l'hébergeur ne l'est que s'il ne permet pas l'identification du fauteur de trouble. Ca, c'est pour la partie attaque? Pas pour la partie blakhole, qui dans ce cas est du fait d'OVH et pas de son client. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Guillaume Barrot a écrit: Michel, tu viens de trouver les agences de notations de l'hebergement ! Nce ! Radu-Adrian Feurdean a écrit: Cote hebergement (web) ca se fait probablement moins, mais cote SMTP, ca se fait depuis un bail. Je ne parle pas des black-lists, je parle des boites qui donnent des reputations aux IPs et reseaux En fait je considère Spamhaus comme une blacklist. Ca fait 10 ans que je m'en sers et je n'ai jamais eu de faux positif; j'ai eu plusieurs clients qui ont été blacklistés, et chaque fois on a trouvé un merdiciel ou un problème. Je ne suis pas d'accord avec Guillaume que c'est du bullshit. Je considère Spamhaus comme un outil, et je faisais simplement remarquer que, dans une boite de taille conséquente, si on ne s'occupe pas des incidents qui y sont listés, et vu que dans ce business il y a rarement de la fumée sans feu, les gens vont se poser des questions. La vérité dans la pub: j'ai ouvert un des incidents listés: http://www.spamhaus.org/sbl/sbl.lasso?query=SBL128991 Et je viens de tester, ça marche, open relay. Ce n'est pas à l'hébergeur de fixer les machines des clients, par contre ce que j'attendrais c'est que une fois le problème connu et confirmé, quelque chose se passe pour bloquer. Dans ce cas là, blocage du port 25 en sortie serait la chose à faire, en attendant que le client apprenne à configurer un serveur. Et non, il n'y a pas besoin d'attendre qu'on ait parlé au client. Je n'essaie pas de pourrir OVH (je suis pas parfait non plus), mais je redis: pour une boite de cette taille, peut mieux faire. En ce qui concerne la relation entre spam et hébergement, on ne peut pas la nier. Le spam va pointer sur une page qui doit être hébergée, et on a affaire aux mêmes équipes de margoulins donc même si l'origine du spam est une armée de botnets, détecter l'infrastructure sous-jacente est important. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Radu-Adrian Feurdean a écrit: Cote hebergement (web) ca se fait probablement moins, mais cote SMTP, ca se fait depuis un bail. Je ne parle pas des black-lists, je parle des boites qui donnent des reputations aux IPs et reseaux En fait je considère Spamhaus comme une blacklist. C'est en effet une blacklist. Plusieurs blacklists, en fait. Après tu utilises cette blacklist comme tu le souhaites (rejet immédiat, pondération ...), certes. Radu parlait de systèmes de réputations dont la base est je te connais pas, donc tu es suspect. Après un certain temps à envoyer des emails avec des taux de hardbounces et de plaintes faibles, la réputation commence à apparaitre (en bien) et à s'améliorer. Cette bonne réputation permet d'envoyer plus d'emails par jour, plus rapidement, et en arrivant mieux en inbox. Parfois même d'afficher les images automatiquement quand ce n'est pas le cas par défaut. C'est aujourd'hui principalement basé sur la réputation de l'adresse IP émettrice, ça sera à terme basé sur le domaine de signature DKIM (a priori pas encore pour cette année). Ca fait 10 ans que je m'en sers et je n'ai jamais eu de faux positif; j'ai eu plusieurs clients qui ont été blacklistés, et chaque fois on a trouvé un merdiciel ou un problème. Derrière Spamhaus il y a des gens très humains, très bons dans leur domaine, très incorruptibles, et très têtus. Conserver une attitude de c'est eux les cons n'arrangera jamais l'affaire, mais ils sont toujours prêts à discuter. Et surtout, une fois le problème résolu, ils délistent aussi sec. Spamhaus, c'est bon, mangez-en. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Bonjour, J'aurais un avis bien tranché sur la question mais je vais me modérer grandement dans mes paroles car nous sommes sur un lieu public. Avant toute chose, je considère que dans les échanges entre opérateurs, il doit y avoir du respect. On peut respecter OVH par rapport à ce qu'ils sont devenu, on peut aussi respecter Gurvan pour ce qu'il construit petit à petit. Malheureusement, le respect a disparu des échanges avec Octave depuis bien longtemps, et c'est vraiment malheureux. Concernant le point de vue technique, nous sommes également victime des problématiques d'attaques DOS UDP provenant du réseau d'OVH mais aussi d'Online (je suis déjà venu pleurer ici pour cette raison d'ailleurs). Le fait est que dans notre monde de réseau giga, il est impératif de placer des limites déontologique sur nos réseaux, et d'éviter les coupures unilatérales qui bafoue la neutralité du net tel qu'on le voit dans le null routage que fait Octave sur son réseau. Nous aussi nous avons notre réseau et notre facturation qui explose à chaque fois. Et à chaque fois, le service Abuse met 3 heures à bloquer le serveur en face. Par ailleurs, je serais très très curieux de connaitre l'avis de l'ARCEP à ce sujet, c'est quand même un conflit qui entre dans les compétences de l'autorité. Pour la suite, la seule solution que nous avons trouvé est de mettre en place une community Blackhole avec nos transitaires, mais clairement, ce n'est pas une solution parfaitement adapté. Un shapper en sortie du réseau d'OVH ou d'Online pour bloquer les flux UDP au delà d'un certain nombre de pk/s ou de mb/s serait tellement mieux. Mais les capacités en jeu sont tellement élevé qu'OVH ou Online ne feront jamais les investissements pour obtenir les équipements permettant de le faire. Comme d'habitude, le gros poissons nage tranquillement pendant que le petit crève dans les sillons du premier... Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard : 09 72 125 539 (tarif local) Ligne directe : 03 66 72 03 42 Mail : j.martin AT freeheberg.com Web : http://www.firstheberg.com Le 12/02/2012 23:07, Gurvan Rottier-Ripoche a écrit : Bonjour, Ceci n'est pas un mail pour venir pleurer/troller sur OVH mais plutôt pour prendre des conseils et chercher à comprendre. Notre réseau est régulièrement la cible d'attaques depuis des machines OVH. Indifféremment depuis des serveurs hackés participant dans des botnets que depuis des serveurs clients légitimes qui réalisent des attaques ciblés notamment via des offres low-cost jetables. Je fais de nombreux report à leur service abuse qui intervient dans des délais raisonnables. La période des vacances a démarré et très souvent, c'est une grande effervescence de ce type d'attaques. Nous avons reçu plusieurs attaques ce Dimanche 12 Février 2012 allant jusqu'a 900Mbits depuis 9 serveurs OVH. (A relativiser avec notre 95 percentile de 100Mbits). J'ai twitté Octave pour lui faire part de mon mécontentement du fait du nombre important d'attaques en une journée. A chaque fois ses réponses sont virulentes (très proches de la diffamation) et fermés à la discussion : C'est pas mon problème. Tu as une activité de hackeur. C'est à toi de gérer ton réseau. Alors que je suis la cible dans cette histoire et que je ne vois pas comment agir... De notre côté, nous appliquons des restrictions entrantes et sortantes mais ces nombreuses attaques ont des répercussions sur le coût du trafic entrant en amont de notre réseau. Notre fournisseur de transit nous fait payer malgré tout le coût de l'attaque et c'est logique. Ces attaques dépassent parfois de beaucoup (pratiquement x10) l'usage normal de notre bande passante. Ce que je ne comprend pas, c'est qu'OVH disposent bien de mécanismes de protections mais uniquement sur son trafic entrant. Par contre, ils n'appliquent pas les mêmes mécaniques en sens inverse pour éviter ou limiter les attaques sortantes de leur réseau. Comme seule solution, aujourd'hui suite à mes reports, Octave impose un blocage total entre nos deux réseaux. Cela gène nombre de mes clients qui ne peuvent plus opérer de redondance, simplement communiquer envers les deux réseaux (plus de DNS, SQL etc...) et moi-même qui ne peut plus du tout accéder aux services d'OVH que j'utilise également. (Ne serait-ce que le site OVH.COM...). J'imagine également que les clients ADSL d'OVH ne peuvent plus accéder à l'ensemble de mes services. Qu'en pensez-vous ? Un fournisseur d'accès a-t-il le droit de bloquer comme cela une partie du trafic internet, portant atteinte à la neutralité d'internet et aux recommandations de l'ARCEP sur la transparence et la non-discrimination des flux. Les mesures prises me semblent disproportionnées. Quelles sont les solutions que vous appliquez sur vos réseaux ? Avez-vous déjà eu ce type de problème ? Cordialement, Gurvan. --- Liste de diffusion du
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Bonjour, Vous voyez tous de plus en plus des soucis de type D/DOS et autres cochonneries qui pourrissent vos réseaux et je ne vois pas de mesure mise en place pour palier le manque de réactivité des opérateurs qui sont la source de vos maux. Il faut se mettre à l'évidence. L'unité de mesure n'est plus le port FE mais un minimum de 1G. On va me dire que bla bla bla les gros, les petits bla bla, mais bon c'est un fait, il va falloir penser à upgrader un peu. Dans le cas présent, c'est une chance que l'attaque provienne d'une seule source et donc facilement contrôlable. Dans le cas, ou le réseau est une PI sur un autre AS et donc en ayant qu'une latitude très mince sur l'influence du routage, il ne faut pas s'attendre à mieux. Pour ne pas citer Softlayer, on se prend régulièrement des DOS de plus de 3/4Gig en provenance de leur réseau et ils doivent répondre environ 1 fois sur 10. Bon d'accord, pour nous 3/4G ce n'est pas grand chose, mais c'est tout de même pénible quand ça vous balance tout ça sur un seul point d'échange ou vous frôlez la capacité maximale du port juste pour du bruit. Première étape, mise en place de routeurs permettant d'avoir plusieurs transitaires, des routeurs capable de filtrer une partie. Trouver une méthode avec OVH pour ne pas avoir à payer le surplus de transit ( mise en place d'une session de peering sur X ou Y ), acheter des boitiers qui savent filtrer ( attention ça coute un peu de pognon ), prendre un service de protection chez un opérateur X ou Y, choisir un opérateur avec des communautés digne de ce nom. Sur la place, il y en a des dizaines qui savent le faire. Alors franchement pourquoi s'en priver. Il faut devenir indépendant des infrastructures de l'ensemble de vos opérateurs afin de ne pas être dans ce genre de situation et être bloqué. La plupart des bon opérateurs gardent leurs clients sur leur capacité de suivre et conseiller leurs clients, non pas en leur mettant des menottes au radiateur ... C'est la nouvelle tendance pour 2012, il serait fort regrettable de ne pas s'y pencher afin de ne pas s'essouffler à ne combattre que des moulins à vent. Je ne cherche pas à défendre les gros, mais juste à montrer qu'il faut avant tout se préparer pour pouvoir survivre. Internet ce n'est pas un monde de bisounours. -- Raphaël Maunier NEO TELECOMS CTO / Directeur Ingénierie AS8218 On 2/13/12 9:32 AM, Jérémy Martin li...@freeheberg.com wrote: Bonjour, J'aurais un avis bien tranché sur la question mais je vais me modérer grandement dans mes paroles car nous sommes sur un lieu public. Avant toute chose, je considère que dans les échanges entre opérateurs, il doit y avoir du respect. On peut respecter OVH par rapport à ce qu'ils sont devenu, on peut aussi respecter Gurvan pour ce qu'il construit petit à petit. Malheureusement, le respect a disparu des échanges avec Octave depuis bien longtemps, et c'est vraiment malheureux. Concernant le point de vue technique, nous sommes également victime des problématiques d'attaques DOS UDP provenant du réseau d'OVH mais aussi d'Online (je suis déjà venu pleurer ici pour cette raison d'ailleurs). Le fait est que dans notre monde de réseau giga, il est impératif de placer des limites déontologique sur nos réseaux, et d'éviter les coupures unilatérales qui bafoue la neutralité du net tel qu'on le voit dans le null routage que fait Octave sur son réseau. Nous aussi nous avons notre réseau et notre facturation qui explose à chaque fois. Et à chaque fois, le service Abuse met 3 heures à bloquer le serveur en face. Par ailleurs, je serais très très curieux de connaitre l'avis de l'ARCEP à ce sujet, c'est quand même un conflit qui entre dans les compétences de l'autorité. Pour la suite, la seule solution que nous avons trouvé est de mettre en place une community Blackhole avec nos transitaires, mais clairement, ce n'est pas une solution parfaitement adapté. Un shapper en sortie du réseau d'OVH ou d'Online pour bloquer les flux UDP au delà d'un certain nombre de pk/s ou de mb/s serait tellement mieux. Mais les capacités en jeu sont tellement élevé qu'OVH ou Online ne feront jamais les investissements pour obtenir les équipements permettant de le faire. Comme d'habitude, le gros poissons nage tranquillement pendant que le petit crève dans les sillons du premier... Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard : 09 72 125 539 (tarif local) Ligne directe : 03 66 72 03 42 Mail : j.martin AT freeheberg.com Web : http://www.firstheberg.com Le 12/02/2012 23:07, Gurvan Rottier-Ripoche a écrit : Bonjour, Ceci n'est pas un mail pour venir pleurer/troller sur OVH mais plutôt pour prendre des conseils et chercher à comprendre. Notre réseau est régulièrement la cible d'attaques depuis des machines OVH. Indifféremment depuis des serveurs hackés participant dans des botnets que depuis des serveurs clients légitimes qui réalisent des attaques ciblés
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
3) Pourquoi devrais-je demander à souscrire une option qui coûte 2 à 5 fois le prix normal de mon transit pour me protéger du principal hébergeur français ? OVH ou pas n'est pas la question. Avoir des DDOS de manière régulière est le problème. Si le client est une destination de DDOS, il doit être prêt a payer (un peu plus) pour que son service reste en ligne. Ce n'est pas idéal mais un fait. Soit tu vires tes clients qui sont la source de tes problèmes de DDOS, soit ils ont une valeur financière pour toi et tu achetes de la capa pour eux. 6) Octave est réactif sur son twitter et il le dit lui-même. Il n'est plus coopératif avec toi, donc tu lui casse du sucre sur le dos sur un ML publique. Je ne suis pas sur que demain il va vouloir t'aider plus. Quand un botnet d'une centaines d'ip attaque un serveur web avec 1500 sites sur le port search-agent, j'ai du mal à comprend qui est visé. 1500 site sur une IP. C'est RIPE qui doit être content :D Cet opérateur ne joue pas le jeu de la neutralité, c'est tout à fait le problème. soupir, encore la neutralite ! A la rigueur, bloquer mes 3 ranges vers les ranges de ses dédiés, pourquoi pas. Bloquer sur la backbone, c'est démesuré. Bon point mais pas le bon endroit pour le faire IMHO. Je gère une partie de mes produits (plus de 2000) via l'api d'OVH. Mon serveur de gestion n'y a plus accès. Il te faut donc un proxy avec CONNECT quelque part. :D Tu nous liste les conséquences du blocage - je compatis. Elle est ou la neutralité que vante OVH ? Elle est ou la recommandation de l'ARCEP ? Je suis content de voir que L'ARCEP est aussi la. Citer la neutralité du net sans l'ARCEP dans le même mail c'est incomplet. Ce problème dépasse de loin mes quelques perturbations que je peux avoir. Il démontre qu'un gros opérateur peut sans problème, sans discussion, censurer et bloquer des petits à la suite d'un désaccord. Oui. Je me reserve le droit de le faire aussi. C'est dans mon contrat avec mes clients. Si mes clients n'aiment pas mes choix, ils peuvent partir. Je n'ai pas fait ce mail pour que Octave débloque mes pools (je crains que la situation n’évolue pas avant quelques temps), Nous sommes bien d'accord. mais pour avoir des avis et attirer l'attention sur des problématiques que n'importe quel petit hébergeur pourrait avoir. Tu as le mien - désolé, si je ne brosse pas dans le sens du poil :) Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Le 13/02/2012 05:49, Yann Dufour a écrit : a) O** c'est quand même ± 530Gbps en upstream vers Internet. Supposons qu'ils ont un ratio 1/4, et donc qu'ils ont ± 130Gbps en downstream depuis Internet. Mettre en œuvre des règles anti DDOS pour 130Gbps, c'est déjà assez conséquent en terme de ressources machines. Je vous laisse imaginer pour 660Gbps ! Gros réseau, gros problèmes. C'est pas une excuse pour depeerer des concurrents par flemme. En droit commercial, ça relève de l'abus de position dominante et de la concurrence déloyale. On pourrait d'ailleurs argumenter que ne pas filtrer les attaques en sortie, alors qu'il n'y a pas d'impossibilité technique (suffit de filtrer en amont sur le réseau), c'est déjà en soi un comportement irresponsable... -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Le 13/02/2012 12:45, Thomas Mangin a écrit : Il n'est plus coopératif avec toi, donc tu lui casse du sucre sur le dos sur un ML publique. Je ne suis pas sur que demain il va vouloir t'aider plus. Tu trouves normal que la santé du réseau et le business d'un hébergeur dépende de la bonne volonté et des hormones d'Octave ? Tu crois qu'il réagirait comment si on depeerait le nid à merde qu'est devenu AS16276 ? -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
J'hallucine quand je te lis Thomas. T'es mal luné ou quoi ? T'a jamais été petit un jour ? Et en plus tu dirige un IX ? Bah bravo ! Belle mentalité d'échange et d'entraide ! Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard : 09 72 125 539 (tarif local) Ligne directe : 03 66 72 03 42 Mail : j.martin AT freeheberg.com Web : http://www.firstheberg.com Le 13/02/2012 13:01, Thomas Mangin a écrit : En droit commercial, ça relève de l'abus de position dominante et de la concurrence déloyale. soupir. Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
On Mon, Feb 13, 2012, at 13:07, Jérémy Martin wrote: J'hallucine quand je te lis Thomas. T'es mal luné ou quoi ? T'a jamais été petit un jour ? Et en plus tu dirige un IX ? Bah bravo ! Belle mentalité d'échange et d'entraide ! Réglement de compte à OK FRNOG ? on est même pas dredi... les hébergeurs n'ont pas de clauses bon père de famille oups bon admin bienveillant sur des ouailles de CPU/mémoire/HD/OS ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
En fait non. Il peut s'agir d'un simple message sur un forum, une discussion sur msn etc... Bref les batailles des cours de récrés. J'ai du VPS qui flood parfois oui. Il y a 2 VM de sécu qui se baladent et nagios qui send un warning à 50Mbits 30Kpps (avec escalade). Quand on un petit et qu'on paye la BP, on évite que son réseau flood justement. On a justement pas mal travaillé l'aspect sécurité et surveillance suite à quelques tensions avec notre ancien prestataire housing il y a un an. Comme je disais sur un autre message, je traite personnellement tout les abuses, je remercie et j'informe de l'action. pourquoi OVH devrait le faire, alors que techniquement ça ne leur pose pas de problème de les garder ? Parce que techniquement, c'est eux qui attaquent ? Sous prétexte qu'un de mes clients va sortir sur le forum minecraft d'un concurrent un coup de : Ton serveur il est nul, vous êtes tous des c... etc. Et que derrière le serveur de jeu du client se fait allumer par un flood, ça va être ma faute ? Je dois gérer mon réseau ? Je dois surveiller l'activité perso de tout mes clients ? Non. Je surveille mon réseau. J'interviens quand je vois une activité anormale. Dans le cas ou je ne le vois pas, il y a nagios qui vient se faire entendre. Si quelque chose passe les filtres, un abuse, on traite, on répond. J'ai peut-être que 30 serveurs mais 600 VPS. 600 VPS qui ne dépassent pas 50Mbits en heure de pointe. Dans le cas d'ovh, il est compréhensible qu'ils ne peuvent pas surveiller tout les serveurs. (Enfin, ils fournissent à chaque serveur des graphs MRTG...). Mais quand on s'en plaint sur twitter de s'être mangé 3 attaques depuis 9 serveurs OVH en 4H, plutôt que de nullroute le réseau de la victime sans raison, un simple échange de mail est possible je pense. Comme justification, on a Gère ton réseau et après on se reparle. Je le gère justement mon réseau :). Stephane Bortzmeyer bortzme...@nic.fr Le terme diffamation a un sens précis en droit et ne s'applique que lorsque c'est public (et je ne trouve pas ces messages sur le flux Twitter d'@olesovhnet donc je suppose qu'ils étaient privés).. Ils sont publics justement et accessible si on regarde les conversations de olesovhcom. C'est d'autant plus désagréable de ne pas avoir de discussion possible. Bienvenue dans le capitalisme démocratique. Je le résume en deux mots : le gros a tous les droits (capitalisme), le petit ne peut que se plaindre sur Frnog (démocratie). Oui mais le gros indique être respectueux, neutre, fait des grands discours avec Wikileaks et blabla. Il y a contradiction pour moi. Là, je prends des pincettes car les problèmes mettant en jeu la sécurité du réseau sont justement l'un des cas où même un fervent défenseur de la neutralité (moi, par exemple) admet qu'il faut bien prendre des mesures. Ce n'est pas une mesure justement. Réseau OVH attaque réseau XXX. Alors réseau OVH nullroute réseau XXX. Aujourd'hui c'est moi XXX. Demain c'est qui XXX ? Julien Richer jul...@ywigo.fr via frnog.org Donc sur ce type d'activité, il faut soit avoir les moyens (rajout de CISCO ASA en amont par exemple, mais impossible chez dedibox), soit s'abstenir. Au niveau d'un client dedibox ce n'est pas déjà drôle, mais au niveau d'un petit hébergeur ça doit être encore plus frustrant Ce n'est pas le problème. L'attaque de plus de 900 mbits n'a pas impacté nos clients. Le monitoring interne (nagios) et externe (abo pingdom) n'a relevé aucune perte. Ça a impacté mon 95 percentile de manière significative. Ce n'est pas parce que mes équipements ont absorbés les attaques qu'on doit courber l'échine en attendant que l'orage passe. Car l'orage il peut revenir très souvent si on ne fait rien. Je peux mettre un firewall ou dire au frontal de drop tout le trafic UDP. Ça va protéger le reste oui, mais je vais payer la bande passante. On vous fait peut-être rigoler avec nos débits minimes mais le trafic a un coût non négligeable pour les petits. Le problème revient plusieurs fois par mois, et toujours le même... Le 13 février 2012 02:16, Benjamin BILLON bbil...@splio.fr a écrit : Une partie de mes clients sont des jeunes qui semble jouer parfois à la gueguerre. Autrement dit, tes clients attaquent des machines, notamment chez OVH. Détectes-tu les flood et scan initiés depuis ton réseau ? Les filtres/bloques-tu ? Si non, c'est un juste retour de bâton que tu te prends. Tes clients ne respectant pas les conditions d'utilisation de ton réseau (je m'avance un peu en supposant que le piratage n'est pas autorisé) s'attaquent à un réseau plus gros et plus fort que le tient, et mettent en danger la fiabilité du service fournit à tes clients respectueux. Si tu ne veux pas les virer pour des questions d'argent (un client est un client), pourquoi OVH devrait le faire, alors que techniquement ça ne leur pose pas de problème de les garder ? Je n'encense pas OVH, et j'ai même tendance à dire qu'ils proposent certains services par dessous la jambe
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Thomas, Le 13/02/2012 13:13, Thomas Mangin a écrit : Salut Jerome, Il n'existe aucune loi qui oblige une connexion (peering/transit) entre deux réseaux privés. Tu es libre de depeerer AS16276 pour forcer le traffic via transit. Tu peux même acheter ton transit la ou cela leur fera mal a porte feuille. Abus de langage de ma part, je pensais blackholing total, pas juste depeering en fait. Par contre, bloquer les préfixes d'un concurrent en dehors du cas très spécifique de préservation du réseau face à un danger ponctuel, c'est au mieux une agression commerciale Si ton model commercial depend de la bonne volonté d'OVH, bon courage, mais si tu as un problème avec eux il ne faut pas te plaindre sur FRnOG. (Il en va de meme pour tout autre réseau). OVH donne les moyens à n'importe qui de lancer des attaques stupides et massives. Leur responsabilité est à minima d'y mettre un terme rapidement quand on leur signale un problème. Je parle de préservation du réseau, pas d'une procédure à la cease and desist, trop longue pour les problèmes d'exploit réseau. C'est juste le boulot de abuse@. Mais on parle pas juste d'une attaque par un client d'OVH là, on parle bien d'OVH qui décide de blakholer tout un réseau en continu. C'est une décision prise, soit de façon irresponsable sans en mesurer les conséquences, soit en pleine connaissance de cause pour tuer le gêneur. C'est juste ce point là qui me pose un problème : cet incident montre qu'OVH est soit un dangereux monopoliste et est prêt à tuer toute concurrence sur son chemin, dans quel cas on est tous la cible potentielle de son courroux, ou alors c'est juste un abruti irresponsable qui as la main sur un réseau trop important pour lui. Comme il n'y a aucune chance pour que nous trouvions un terrain d'entente sur ce sujet, je vais simplement me retirer de cette discussion. Comme tu veux, mais c'est quand même grave, la situation qui est décrite, je pense qu'il vaut mieux suivre le déroulé. Notes bien, pour l'instant on a qu'un coté de l'histoire. M'est avis qu'on aura pas l'autre point de vue ici même, donc il n'y a même pas de débat possible : si Gurvan a bien relaté les faits, alors on (les opérateurs) a pas le droit de laisser passer. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Salut Jeremy, Je suis peut-etre mal luné - c'est bien possible, mais c'est surtout que j'en ai un peu marre de voir les gens se plaindre sure FRnOG. Les références a la neutralité du net et a l'ARCEP quand les gens n'ont pas ce qu'ils veulent m'exaspèrent ! Pour information, je suis toujours petit, pour le trafic je passe approximativement 350 Mb en pointe dans la journée. Mes intercos ont été des liens GB depuis 2004, quand j'avais bien moins de 100 Mb de traffic total. J'avais a l'époque 2x100Mb de commit, car c'était le seul moyen d'avoir une connexion GB, et tout ca pour avoir de la capa pour gérer les DDOS. Et en 9 ans, j'ai eu le droit a deux DDOS - la seconde il y a moins de trois mois avec une attaque en PPS vers un de nos clients DSL qui m'a fait assez mal avant que nous la bloquions. Pour clarification, je ne dirige pas un IX, je suis un des directeur élu de deux points d'exchanges et je ne cache pas mes opinions (comme tu peux le voir). Je n'ai rien contre aider. J'ai bien dis que je compatissais mais dis moi comment cette thread va aider qui que soi STP ? Tout ce qui a ete fait, c'est de casser du sucre sur le dos d'OVH (avec lesquels je n'ai aucune relation commerciale) Je deplore donc l'attitude de la liste en general. Nous avons seulement la moitié d'une histoire. Si il y a un effectivement un problème avec les gestion des DDOS d'OVH cette conversation n'a rien apporte - elle a seulement envenime les choses. OVH ne repondra pas sur cette liste, je les comprends, car cela serai pour eux une perte de temps. Je suis toujours pour un dialogue aboutissant a une amelioration d'un status quo, mais nous en sommes loin. J'espere que ca clarifie ma position. Thomas On 13 Feb 2012, at 12:07, Jérémy Martin wrote: J'hallucine quand je te lis Thomas. T'es mal luné ou quoi ? T'a jamais été petit un jour ? Et en plus tu dirige un IX ? Bah bravo ! Belle mentalité d'échange et d'entraide ! Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard : 09 72 125 539 (tarif local) Ligne directe : 03 66 72 03 42 Mail : j.martin AT freeheberg.com Web : http://www.firstheberg.com Le 13/02/2012 13:01, Thomas Mangin a écrit : En droit commercial, ça relève de l'abus de position dominante et de la concurrence déloyale. soupir. Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Bonjour Raphaël, Oui on a tous de plus en plus de soucis de type DOS ou DDOS. Mais pourquoi est à la cible de se protéger, de faire en sorte de ne pas payer le trafic ? L'attaquant paye son 1G 60/100 euros et la cible 1000/3000 euros. Forcément la cible n'est pas contente. Si on reprend ta première étape, il faut arriver à sauter de la location ou du housing basique à une solution chère et élaborée. C'est pas toujours facile. Prendre un service de protection, c'est bien gentil et surement efficace. C'est 6 à 15 euros le mbits. Quand je me mange 900Mbits, je reçois que mes 50/60Mbits de trafic légitime mais je paye les 900Mbits. Il faut devenir indépendant des infrastructures de l'ensemble de vos opérateurs afin de ne pas être dans ce genre de situation et être bloqué. La plupart des bon opérateurs gardent leurs clients sur leur capacité de suivre et conseiller leurs clients, non pas en leur mettant des menottes au radiateur ... En effet. Mais il faut aussi que les opérateurs prennent leurs responsabilités. Quand tu send 8 abuses en Janvier, 9 abuses en Février, que c'est silence radio permanent, qu'on te répond en public que tu gères mal ton réseau, que tu es un hackeur, que tes équipements encaissent rien, que c'est TA FAUTE, au bout d'un moment, tu n'en peux plus. Pour ton exemple avec Softlayer, tu dis te prendre 3 à 4Gbits de flood et que effectivement, ce n'est pas grand chose pour toi. Tu rééquilibres si besoin tes liens, tu send un abuse et tu attends que ça passe. Tes clients ne sont pas touchés, le réseau tient, tout va bien. Maintenant, si tu avais que 3 à 4Gbits de capa globale, ça n'irait pas. J'aurais surement la même pensée si j'avais 2 à 3Gbits, 2 opérateurs etc. Seulement, pour le moment, ce n'est pas le cas. Mon installation est très récente, (-2 mois), et une série d’évènements ont fait que le déménagement devait se passer en urgence. On va avoir une seconde fibre, un second opérateur, un routeur potable. Mais pas avant quelques mois. En attendant j'encaisse et je paye en silence ? Pour moi ce n'est pas acceptable et la solution qui a été mise en place pour solutionner mon problème encore moins. Je n'ai le problème qu'avec un seul réseau. Je te remercie de tes réponses et de ton avis particulièrement détaillé. Gurvan. Le 13 février 2012 09:54, Raphael MAUNIER rmaun...@neotelecoms.com a écrit : Bonjour, Vous voyez tous de plus en plus des soucis de type D/DOS et autres cochonneries qui pourrissent vos réseaux et je ne vois pas de mesure mise en place pour palier le manque de réactivité des opérateurs qui sont la source de vos maux. Il faut se mettre à l'évidence. L'unité de mesure n'est plus le port FE mais un minimum de 1G. On va me dire que bla bla bla les gros, les petits bla bla, mais bon c'est un fait, il va falloir penser à upgrader un peu. Dans le cas présent, c'est une chance que l'attaque provienne d'une seule source et donc facilement contrôlable. Dans le cas, ou le réseau est une PI sur un autre AS et donc en ayant qu'une latitude très mince sur l'influence du routage, il ne faut pas s'attendre à mieux. Pour ne pas citer Softlayer, on se prend régulièrement des DOS de plus de 3/4Gig en provenance de leur réseau et ils doivent répondre environ 1 fois sur 10. Bon d'accord, pour nous 3/4G ce n'est pas grand chose, mais c'est tout de même pénible quand ça vous balance tout ça sur un seul point d'échange ou vous frôlez la capacité maximale du port juste pour du bruit. Première étape, mise en place de routeurs permettant d'avoir plusieurs transitaires, des routeurs capable de filtrer une partie. Trouver une méthode avec OVH pour ne pas avoir à payer le surplus de transit ( mise en place d'une session de peering sur X ou Y ), acheter des boitiers qui savent filtrer ( attention ça coute un peu de pognon ), prendre un service de protection chez un opérateur X ou Y, choisir un opérateur avec des communautés digne de ce nom. Sur la place, il y en a des dizaines qui savent le faire. Alors franchement pourquoi s'en priver. Il faut devenir indépendant des infrastructures de l'ensemble de vos opérateurs afin de ne pas être dans ce genre de situation et être bloqué. La plupart des bon opérateurs gardent leurs clients sur leur capacité de suivre et conseiller leurs clients, non pas en leur mettant des menottes au radiateur ... C'est la nouvelle tendance pour 2012, il serait fort regrettable de ne pas s'y pencher afin de ne pas s'essouffler à ne combattre que des moulins à vent. Je ne cherche pas à défendre les gros, mais juste à montrer qu'il faut avant tout se préparer pour pouvoir survivre. Internet ce n'est pas un monde de bisounours. -- Raphaël Maunier NEO TELECOMS CTO / Directeur Ingénierie AS8218 On 2/13/12 9:32 AM, Jérémy Martin li...@freeheberg.com wrote: Bonjour, J'aurais un avis bien tranché sur la question mais je vais me modérer grandement dans mes paroles car nous sommes sur un lieu public. Avant toute
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Abus de langage de ma part, je pensais blackholing total, pas juste depeering en fait. Par contre, bloquer les préfixes d'un concurrent en dehors du cas très spécifique de préservation du réseau face à un danger ponctuel, c'est au mieux une agression commerciale Je ne suis pas sur ce cela soit une agression commerciale, mais a moins de mettre le cas devant un juge, il est dur de se prononcer, et que cela serait plutôt du cas par cas. Je vais donc passer. Si ton model commercial depend de la bonne volonté d'OVH, bon courage, mais si tu as un problème avec eux il ne faut pas te plaindre sur FRnOG. (Il en va de meme pour tout autre réseau). OVH donne les moyens à n'importe qui de lancer des attaques stupides et massives. Leur responsabilité est à minima d'y mettre un terme rapidement quand on leur signale un problème. Je parle de préservation du réseau, pas d'une procédure à la cease and desist, trop longue pour les problèmes d'exploit réseau. C'est juste le boulot de abuse@. Pas de désaccord en principe en pratique ce n'est pas toujours aussi simple. Mais on parle pas juste d'une attaque par un client d'OVH là, on parle bien d'OVH qui décide de blakholer tout un réseau en continu. C'est une décision prise, soit de façon irresponsable sans en mesurer les conséquences, soit en pleine connaissance de cause pour tuer le gêneur. Oui, c'est une grosse mesure, ce que me fait penser qu'elle n'a pas été prise a la légère et que nous n'avons pas tout les fait. C'est juste ce point là qui me pose un problème : cet incident montre qu'OVH est soit un dangereux monopoliste et est prêt à tuer toute concurrence sur son chemin, dans quel cas on est tous la cible potentielle de son courroux, ou alors c'est juste un abruti irresponsable qui as la main sur un réseau trop important pour lui. Je pense surtout que le sociétés sont gérés pas des humains avec des réactions humaines. Je ne sais pas pourquoi cette décision a été prise donc je passe encore. Comme il n'y a aucune chance pour que nous trouvions un terrain d'entente sur ce sujet, je vais simplement me retirer de cette discussion. DOH ! Comme tu veux, mais c'est quand même grave, la situation qui est décrite, je pense qu'il vaut mieux suivre le déroulé. Je suis d'accord que c'est un cas a déplorer. Notes bien, pour l'instant on a qu'un coté de l'histoire. M'est avis qu'on aura pas l'autre point de vue ici même, donc il n'y a même pas de débat possible : si Gurvan a bien relaté les faits, alors on (les opérateurs) a pas le droit de laisser passer. C'est mon problème, des conclusions sont tirées, OVH est pendu publiquement, sans tous les fait. Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
On Mon, 13 Feb 2012 12:59:07 +0100, Jérôme Nicolle jer...@ceriz.fr said: Tu crois qu'il réagirait comment si on depeerait le nid à merde qu'est devenu AS16276 ? Avec un grand HA HA HA ? Il faut beaucoup plus que ca pour un reseau de la taille d'OVH. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
On 2/13/12 1:49 PM, Gurvan Rottier-Ripoche wrote: J'aurais surement la même pensée si j'avais 2 à 3Gbits, 2 opérateurs etc. Seulement, pour le moment, ce n'est pas le cas. Mon installation est très récente, (-2 mois), et une série d’évènements ont fait que le déménagement devait se passer en urgence. On va avoir une seconde fibre, un second opérateur, un routeur potable. Mais pas avant quelques mois. En attendant j'encaisse et je paye en silence ? Pour moi ce n'est pas acceptable et la solution qui a été mise en place pour solutionner mon problème encore moins. Je n'ai le problème qu'avec un seul réseau. En droit français, auquel OVH est soumis, celui qui cause un tort à un tiers lui doit réparation. Attendu qu'OVH t'occasionne une surfacturation importante de transit, tu serais en mesure de les assigner au tribunal pour qu'ils payent le surplus. Tu pourrais, de plus, obtenir la suppression du filtre qui a été mis en place, au motif que ça nuit fortement à ton activité. Te positionnant en tant que plaignant, tu aurais la charge de la preuve. Pour le transit c'est assez facile à prouver pour peu que ton fournisseur de transit joue le jeu et te fournisse les graphs qui vont bien: - graph de trafic en temps normal - graph correspondant à une attaque - tu fais le delta entre les 2 et tu obtiens la dépense que tu as dû supporter à cause d'OVH Pour le blocage pur, simple et abusif, c'est plus difficile de prouver que ça impacte ton activité, et chiffrer les dommages. Dans tous les cas, il s'agit de batailles juridiques longues, coûteuses, mais également potentiellement risquées. Alternativement tu peux essayer de contacter l'ARCEP et leur demander leurs recommendations. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
@ Thomas Mangin thomas.man...@exa-networks.co.uk On est pas vendredi et pour moi, c'est un sujet très sérieux. Quand la destination du flood c'est un serveur web, le port search-agent (1234), le port 22, l'ip de gestion d'un esxi, je vais dire à l'ensemble de mes clients : Va falloir payer plus car on se fait attaquer depuis le réseau XXX et qu'il faut qu'on se protège. Si les attaques étaient équilibrés en terme de opérateur/fournisseur/presta différent, pas de problème. Comme tu dis, ce n'est pas idéal mais on ferait avec. Quand c'est du 90% (voir 95), un seul et unique réseau, c'est un problème. 6) Octave est réactif sur son twitter et il le dit lui-même. Je lui casse pas du sucre sur le dos. (Enfin en un sens, on peut le voir comme ça il est vrai mais ce n'est pas le but). Je lui reproche la manière de fonctionner sur certains types de problèmes. Notamment les attaques étant donné qu'il est en charge, au niveau le plus haut, de tout le réseau. Comme le dit Jeremy Martin, Octave a battit un super truc, c'est grand, c'est beau, bien fait et félicitation à lui. Je le respecte, je lui ai jamais mal parlé même si ça chauffe. Mais écraser des petits sous des prétextes obscurs (car je ne vois aucune justification dans les twit envoyés), ce n''est pas bien. Bon point mais pas le bon endroit pour le faire IMHO. Tout ce qui a ete fait, c'est de casser du sucre sur le dos d'OVH C'est ce que toi tu penses. Je n'ai pas posté ce mail pour le faire réagir (il ne lira ni le mail, ni vos réponses), j'ai posté ce mail pour comprendre, avoir des avis et faire bouger les choses ? (Pas forcément que pour moi). Je présente les faits, ma problématique et mon incompréhension. Demain Free bloque le réseau XXX pour un désaccord, je serais le premier à venir dire que c'est pas normal. Je suis toujours pour un dialogue aboutissant a une amelioration d'un status quo, mais nous en sommes loin. Donc en résumé, je n'aurais jamais du poster ici et je faisais quoi ? Je me créé tout un système de proxy pour outrepasser ce blocage ? Je me tais et courbe le dos devant un géant sous prétexte que je n'ai ni les qualifications pour m'en sortir seul, ni les moyens financiers d'engager une armée de juriste ? C'est mon problème, des conclusions sont tirées, OVH est pendu publiquement, sans tous les fait. Je n'ai pas tiré de conclusion. On sait tous que Octave est un sang-chaud et que la politique de discussion avec lui est loin d'être toujours ouverte. OVH c'est pas Octave Klaba et stop. Libre à lui d'envoyer quelqu'un pour discuter si il n'est pas disponible. --- @ Damien Fleuriot m...@my.gd via frnog.org Pour le fait d'aller jusqu'au tribunal, j'espère tout de même que j'y suis encore loin, voir très loin :). Gurvan. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
On 13 Feb 2012, at 14:28, Damien Fleuriot wrote: En droit français, auquel OVH est soumis, celui qui cause un tort à un tiers lui doit réparation. Absolument, le client d'OVH, la personne qui commence ces DDOS est responsable pour un surcout de bande passante par son acte (criminel ?). Attendu qu'OVH t'occasionne une surfacturation importante de transit, tu serais en mesure de les assigner au tribunal pour qu'ils payent le surplus. Ca, j'en doute fortement mais IMNAL. Tu pourrais, de plus, obtenir la suppression du filtre qui a été mis en place, au motif que ça nuit fortement à ton activité. Ca surement. Te positionnant en tant que plaignant, tu aurais la charge de la preuve. Pour le transit c'est assez facile à prouver pour peu que ton fournisseur de transit joue le jeu et te fournisse les graphs qui vont bien: - graph de trafic en temps normal - graph correspondant à une attaque - tu fais le delta entre les 2 et tu obtiens la dépense que tu as dû supporter à cause d'OVH Mais je ne suis pas d'accord pour les mêmes raisons, mais si ta suggestion marche je vais facturer Daily Motion. Ses serveurs attaquent mes clients tous les jours :D :D Encore une fois, ce n'est pas OVH qui attaque.. Pour le blocage pur, simple et abusif, c'est plus difficile de prouver que ça impacte ton activité, et chiffrer les dommages. Je ne vois pas pourquoi. Dans tous les cas, il s'agit de batailles juridiques longues, coûteuses, mais également potentiellement risquées. +1 Alternativement tu peux essayer de contacter l'ARCEP et leur demander leurs recommendations. En Angleterre, l' ISPA a un code de conduite pour la resolution des disputes entre FAI, n'y a-t-il pas la meme chose de ce cote de la Manche ? Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Hello, On 2/13/12 3:28 PM, Damien Fleuriot m...@my.gd wrote: Alternativement tu peux essayer de contacter l'ARCEP et leur demander leurs recommendations. AMHA, ça serait plus adapté de frapper aux portes de l'ANSSI ? Antoine --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Bonjour à tous. C'est un sujet sérieux, sorte de cas d'école, qui peut intéresser beaucoup de monde. Ne prenons pas ça à la légère comme une simple complainte. Qu'un IDS ou qu'un applicatif bloque un host selon des règles automatiques et pour une raison sérieuse, cela se passe à chaque instant sur le réseau et cela est accepté par tout le monde. Mais qu'un opérateur se permette de bloquer sur son backbone deux /23 sans raison suffisante, c'est beaucoup moins anodin. Le 13/02/2012 13:57, Thomas Mangin a écrit : Oui, c'est une grosse mesure, ce que me fait penser qu'elle n'a pas été prise a la légère et que nous n'avons pas tout les fait. Octave étant présent sur cette liste, rien ne l'empêche de donner sa version des faits. C'est mon problème, des conclusions sont tirées, OVH est pendu publiquement, sans tous les fait. Première conséquence : Ovh se vantait, à raison jusque là, de fournir un aspect respectueux de la neutralité du Net. Ce n'est plus le cas. Deuxième conséquence, la perte de confiance, indispensable dans une relation commerciale. Comment travailler avec un opérateur qui peut vous blackholer à tout instant et sans autre forme de procès ? Au delà de l'aspect juridique, OVH doit rendre des comptes à ses clients. Personnellement je me suis fait un avis. Je pense surtout que le sociétés sont gérés pas des humains avec des réactions humaines. Je ne sais pas pourquoi cette décision a été prise donc je passe encore. Non, les sociétés sont soumises au lois et aux usages impartiaux pour éviter qu'une réaction humaine ne vienne causer un trop grand trouble. Evoluer dans un réseau implique de travailler avec des pairs plus ou moins gros et d'obtenir un respect mutuel entre chacun d'entre eux. Si vous préférez que ça reste le Far West, ne vous étonnez pas de voir le croque mort venir prendre vos mesures. Cordialement Raphaël Durand --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
On 13 Feb 2012, at 14:40, Gurvan Rottier-Ripoche wrote: Quand la destination du flood c'est un serveur web, le port search-agent (1234), le port 22, l'ip de gestion d'un esxi, je vais dire à l'ensemble de mes clients : Va falloir payer plus car on se fait attaquer depuis le réseau XXX et qu'il faut qu'on se protège. Oui. Si les attaques étaient équilibrés en terme de opérateur/fournisseur/presta différent, pas de problème. A ce que je comprends, OVH a une part tres importante des serveurs francais. Tu vois une attaques vers ton clients car tes client (Francais) se mettent a dos d'autres Francais, qui vont acheter un VPS chez un vendeur Francais, et il se trouve qu'OVH a un produit qu'ils utilisent. Comme tu dis, ce n'est pas idéal mais on ferait avec. Quand c'est du 90% (voir 95), un seul et unique réseau, c'est un problème. Quel est la part de marche d'OVH sur les serveurs VPS ? 80% ? 6) Octave est réactif sur son twitter et il le dit lui-même. Je lui casse pas du sucre sur le dos. (Enfin en un sens, on peut le voir comme ça il est vrai mais ce n'est pas le but). Le font et la forme.. souvent la forme est plus importante (je viens de me faire attaquer sur cette liste pour cette raison). Je lui reproche la manière de fonctionner sur certains types de problèmes. Notamment les attaques étant donné qu'il est en charge, au niveau le plus haut, de tout le réseau. Cependant ce n'est pas son boulot, tu ferais mieux d'essayer de contacter la personne en charge d'abuse a OVH et re-essayer d'établir une nouvelle ligne de communication. Comme le dit Jeremy Martin, Octave a battit un super truc, c'est grand, c'est beau, bien fait et félicitation à lui. Je le respecte, je lui ai jamais mal parlé même si ça chauffe. :) Mais écraser des petits sous des prétextes obscurs (car je ne vois aucune justification dans les twit envoyés), ce n''est pas bien. Je n'ai pas lu le tweet. Mais 140 chars ca me parait court pour débattre quelque chose comme un probleme de DDOS. Bon point mais pas le bon endroit pour le faire IMHO. Tout ce qui a ete fait, c'est de casser du sucre sur le dos d'OVH C'est ce que toi tu penses. Je n'ai pas posté ce mail pour le faire réagir (il ne lira ni le mail, ni vos réponses), j'ai posté ce mail pour comprendre, avoir des avis et faire bouger les choses ? (Pas forcément que pour moi). Je présente les faits, ma problématique et mon incompréhension. Octave a repondu sur cette liste dans le passe, et je suis sur que quelqu'un a OVH (si ce n'est pas lui) lit cette discussion. Demain Free bloque le réseau XXX pour un désaccord, je serais le premier à venir dire que c'est pas normal. Ca m'est arrive quand j'ai démarré Exa, nul route de mon reseau avec RTBL, j'ai aussi crie tres fort mais pas sur une ML. Je suis toujours pour un dialogue aboutissant a une amelioration d'un status quo, mais nous en sommes loin. Donc en résumé, je n'aurais jamais du poster ici et je faisais quoi ? Prends ton telephone, et essaye d'avoir une conversation avec le NOC / service abuse de OVH. Je me créé tout un système de proxy pour outrepasser ce blocage ? clairement pas ! Je me tais et courbe le dos devant un géant sous prétexte que je n'ai ni les qualifications pour m'en sortir seul, ni les moyens financiers d'engager une armée de juriste ? Tu peux foutre dehors les clients que tu as qui te coutent plus cher qu'ils ne te rapportent. C'est mon problème, des conclusions sont tirées, OVH est pendu publiquement, sans tous les fait. Je n'ai pas tiré de conclusion. C'est vrai pas toi - d'autre oui. On sait tous que Octave est un sang-chaud soupir ... et que la politique de discussion avec lui est loin d'être toujours ouverte. OVH c'est pas Octave Klaba et stop. x2 Libre à lui d'envoyer quelqu'un pour discuter si il n'est pas disponible. Libre a toi d'essayer de trouver un meilleur interlocuteur aussi :) --- @ Damien Fleuriot m...@my.gd via frnog.org Pour le fait d'aller jusqu'au tribunal, j'espère tout de même que j'y suis encore loin, voir très loin :). La seule chose que cela va vraiment faire, c'est engraisser les avocats. Bon courage. J'espere que tu arriveras a une resolution rapidement. Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
On 2/13/12 3:48 PM, Thomas Mangin wrote: On 13 Feb 2012, at 14:28, Damien Fleuriot wrote: En droit français, auquel OVH est soumis, celui qui cause un tort à un tiers lui doit réparation. Absolument, le client d'OVH, la personne qui commence ces DDOS est responsable pour un surcout de bande passante par son acte (criminel ?). Attendu qu'OVH t'occasionne une surfacturation importante de transit, tu serais en mesure de les assigner au tribunal pour qu'ils payent le surplus. Ca, j'en doute fortement mais IMNAL. Tu pourrais, de plus, obtenir la suppression du filtre qui a été mis en place, au motif que ça nuit fortement à ton activité. Ca surement. Te positionnant en tant que plaignant, tu aurais la charge de la preuve. Pour le transit c'est assez facile à prouver pour peu que ton fournisseur de transit joue le jeu et te fournisse les graphs qui vont bien: - graph de trafic en temps normal - graph correspondant à une attaque - tu fais le delta entre les 2 et tu obtiens la dépense que tu as dû supporter à cause d'OVH Mais je ne suis pas d'accord pour les mêmes raisons, mais si ta suggestion marche je vais facturer Daily Motion. Ses serveurs attaquent mes clients tous les jours :D :D Encore une fois, ce n'est pas OVH qui attaque.. De mon point de vue, OVH vend un service, et c'est via leur service que le dommage est occasionné. Pour le blocage pur, simple et abusif, c'est plus difficile de prouver que ça impacte ton activité, et chiffrer les dommages. Je ne vois pas pourquoi. Bah c'est jamais trop évident quand même, d'estimer le nombre de clients d'OVH qui ne peuvent accéder au service de Gurvan, et le dommage résultant ;) Dans tous les cas, il s'agit de batailles juridiques longues, coûteuses, mais également potentiellement risquées. +1 Alternativement tu peux essayer de contacter l'ARCEP et leur demander leurs recommendations. En Angleterre, l' ISPA a un code de conduite pour la resolution des disputes entre FAI, n'y a-t-il pas la meme chose de ce cote de la Manche ? Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
On 2/13/12 3:49 PM, Antoine Drochon wrote: Hello, On 2/13/12 3:28 PM, Damien Fleuriot m...@my.gd wrote: Alternativement tu peux essayer de contacter l'ARCEP et leur demander leurs recommendations. AMHA, ça serait plus adapté de frapper aux portes de l'ANSSI ? Antoine Bonne suggestion :) Dans tous les cas, je me demande si Stéphane ne serait pas + apte à nous renseigner sur ce genre de point... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Le 13 févr. 2012 à 16:34, Damien Fleuriot a écrit : Mais je ne suis pas d'accord pour les mêmes raisons, mais si ta suggestion marche je vais facturer Daily Motion. Ses serveurs attaquent mes clients tous les jours :D :D Encore une fois, ce n'est pas OVH qui attaque.. De mon point de vue, OVH vend un service, et c'est via leur service que le dommage est occasionné. Et ? Moi je vends des arcs pour faire du tir à l'arc ... si tu dégommes quelqu'un avec, ce n'est pas mon problème (mais bien le tien). Mathieu --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
On 2/13/12 4:46 PM, MM wrote: Le 13 févr. 2012 à 16:34, Damien Fleuriot a écrit : Mais je ne suis pas d'accord pour les mêmes raisons, mais si ta suggestion marche je vais facturer Daily Motion. Ses serveurs attaquent mes clients tous les jours :D :D Encore une fois, ce n'est pas OVH qui attaque.. De mon point de vue, OVH vend un service, et c'est via leur service que le dommage est occasionné. Et ? Moi je vends des arcs pour faire du tir à l'arc ... si tu dégommes quelqu'un avec, ce n'est pas mon problème (mais bien le tien). Mathieu Dans le cas présent c'est le réseau d'OVH qui véhicule l'attaque alors c'est discutable. Prennons le cas d'une voiture. 1/ tu achètes une voiture, tu crée un accident, tu es responsable. 2/ tu achètes à une société un service de location voiture+chauffeur, s'ensuit un accident, c'est la société de service qui est responsable. Dans le cas d'OVH, je pense qu'on se rapproche plus du second cas. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
On 2/13/12 3:40 PM, Gurvan Rottier-Ripoche wrote: --- @ Damien Fleuriot m...@my.gd via frnog.org Pour le fait d'aller jusqu'au tribunal, j'espère tout de même que j'y suis encore loin, voir très loin :). Go go exposer le problème à maître eolas ;) Ca pourrait être intéressant d'avoir son avis la dessus. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
[FRnOG] [MISC] L'internet libre et neutre selon OVH = Je pensais que ça parlerais de l'accès ADSL OVH soit disant pas bridé sur les 3 DSLAMs de Roubaix et nulle part ailleurs car passage en collecte SFR/Orange. Mais non. C'est con mais je vois pas le rapport avec le titre du post. Aprés ok Oles t'as répondu à coté et sechement sur Twitter. M'enfin il est joignable, les russes de sibérie c'est une autre histoire... 2012/2/12 Gurvan Rottier-Ripoche inulo...@gmail.com: Bonjour, Ceci n'est pas un mail pour venir pleurer/troller sur OVH mais plutôt pour prendre des conseils et chercher à comprendre. Notre réseau est régulièrement la cible d'attaques depuis des machines OVH. Indifféremment depuis des serveurs hackés participant dans des botnets que depuis des serveurs clients légitimes qui réalisent des attaques ciblés notamment via des offres low-cost jetables. Je fais de nombreux report à leur service abuse qui intervient dans des délais raisonnables. La période des vacances a démarré et très souvent, c'est une grande effervescence de ce type d'attaques. Nous avons reçu plusieurs attaques ce Dimanche 12 Février 2012 allant jusqu'a 900Mbits depuis 9 serveurs OVH. (A relativiser avec notre 95 percentile de 100Mbits). J'ai twitté Octave pour lui faire part de mon mécontentement du fait du nombre important d'attaques en une journée. A chaque fois ses réponses sont virulentes (très proches de la diffamation) et fermés à la discussion : C'est pas mon problème. Tu as une activité de hackeur. C'est à toi de gérer ton réseau. Alors que je suis la cible dans cette histoire et que je ne vois pas comment agir... De notre côté, nous appliquons des restrictions entrantes et sortantes mais ces nombreuses attaques ont des répercussions sur le coût du trafic entrant en amont de notre réseau. Notre fournisseur de transit nous fait payer malgré tout le coût de l'attaque et c'est logique. Ces attaques dépassent parfois de beaucoup (pratiquement x10) l'usage normal de notre bande passante. Ce que je ne comprend pas, c'est qu'OVH disposent bien de mécanismes de protections mais uniquement sur son trafic entrant. Par contre, ils n'appliquent pas les mêmes mécaniques en sens inverse pour éviter ou limiter les attaques sortantes de leur réseau. Comme seule solution, aujourd'hui suite à mes reports, Octave impose un blocage total entre nos deux réseaux. Cela gène nombre de mes clients qui ne peuvent plus opérer de redondance, simplement communiquer envers les deux réseaux (plus de DNS, SQL etc...) et moi-même qui ne peut plus du tout accéder aux services d'OVH que j'utilise également. (Ne serait-ce que le site OVH.COM...). J'imagine également que les clients ADSL d'OVH ne peuvent plus accéder à l'ensemble de mes services. Qu'en pensez-vous ? Un fournisseur d'accès a-t-il le droit de bloquer comme cela une partie du trafic internet, portant atteinte à la neutralité d'internet et aux recommandations de l'ARCEP sur la transparence et la non-discrimination des flux. Les mesures prises me semblent disproportionnées. Quelles sont les solutions que vous appliquez sur vos réseaux ? Avez-vous déjà eu ce type de problème ? Cordialement, Gurvan. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Thomas Mangin a écrit: Tu peux foutre dehors les clients que tu as qui te coutent plus cher qu'ils ne te rapportent. +1 Raphael MAUNIER a écrit: Je ne cherche pas à défendre les gros, mais juste à montrer qu'il faut avant tout se préparer pour pouvoir survivre. Internet ce n'est pas un monde de bisounours. +1 Quand on est petit, on ne peut pas faire grand-chose contre ce genre d'attaque. Pour survivre, il faut impérativement faire 2 choses: 1. Se débarrasser des clients qui sont des aimants à emmerdes; on pourra dire tout ce qu'on voudra, les attaques n'arrivent pas au hasard; à part héberger un site politiquement sensible comme récemment le Sénat, on se prend des attaques sur la gueule généralement parce qu'on héberge quelqu'un qui a des activités un peu olé-olé. Les jeunes qui font la guéguerre, vaut mieux les envoyer bastonner dans un autre quartier. 2. Ce qu'on peu aussi faire c'est choisir du transit chez un/des opérateur(s) sérieux qui sont prêts à aider dans ce genre de situation: communautés, NOC prêt à mettre des access-lists si ça peut aider, etc. Au bout du compte ce n'est hélas encore qu'une affaire de gros sous; l'hébergement bon marché c'est bien, mais quand ça devient tellement bon marché que l'on commence à ne plus s'occuper des problèmes ça devient contraire au bon fonctionnement du net. Je l'ai dit bien des fois: non à l'hébergement du dimanche. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
http://www.spamhaus.org/statistics/networks.lasso Ils sont régulièrement au hit-parade des top attaqueurs et des top spammeurs (pas seulement spamhaus). Même en prenant leur taille en compte, ça fait un peu désordre, quand même. Arrrf j'ai le bullshitotron dans le rouge la ! C'est pas parce qu'un truc est mesurable qu'il doit être mesure, et clairement pas une métrique (pour plagier un camarade posteur sur ce thread). Ie : OVH étant le premier hébergeur français, c'est moyen étonnant qu'il soit dans le top 10. Une métrique plus acceptable serait le ratio nb d'attaque / nb de serveurs hostes* par exemple. Ne tirons pas sur l'ambulance : combien d’hébergeurs ont un travaux.xxx.com et sont transparents sur leur pb, leur reseaux, leurs attaques etc. ? Tain, moi en interne j'ai moins d'infos sur l'etat de nos infras a nous que sur celles d'OVH !!! Mais sinon +1 sur le bienvenu dans le fabuleux monde de l'Internet commercial (qui coute cher et ou un client est un client) et non Twitter n'est pas la hotline/abuse des entreprises. * hostes de calice bien entendu, maintenant qu'il y a un OVH Canada. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Michel Py a écrit: 1. Se débarrasser des clients qui sont des aimants à emmerdes; on pourra dire tout ce qu'on voudra, les attaques n'arrivent pas au hasard; Emile iMil Heitor a écrit: Ben voyons. Je vais expliquer au vendeur de meubles hébergé chez nous qu'il a essuyé un DDoS de 5GB pendant 3h parce que ses designs sont vraiment trop subversifs. Probablement pas, mais lire plus bas. Et, oui, une grosse moitié des 5GB provenaient d'OVH. Au final, null-routing de l'IP visée, le client donc, doublement victime. Il faut rapporter la grosse moitié à la part d'OVH sur ce marché. Est-ce que OVH représente une grosse moitié de l'hébergement Français / Européen ? Si oui, il n'est que naturel qu'ils représentent une grosse moitié des attaques. Si en volume d'hébergement ils représentent moins de la moitié et que leur volume d'attaque est plus de la moitié, là il commence à y avoir un problème. Les exemples sont légion, mais étrangement, peu sont ceux qui en font étalage publiquement. Ce dont j'ai vu des légions aussi, c'est des fabricants de meubles ou d'autre chose qui se font DDOSser parque qu'ils ont une politique de mailing list débile. Il y a presque toujours une raison derrière une attaque. Je n'ai pas dit une bonne raison, mais une raison. Michel Py a écrit: http://www.spamhaus.org/statistics/networks.lasso Ils sont régulièrement au hit-parade des top attaqueurs et des top spammeurs (pas seulement spamhaus). Même en prenant leur taille en compte, ça fait un peu désordre, quand même. Guillaume Barrot a écrit: Arrrf j'ai le bullshitotron dans le rouge la ! C'est pas parce qu'un truc est mesurable qu'il doit être mesure, et clairement pas une métrique (pour plagier un camarade posteur sur ce thread). Ie : OVH étant le premier hébergeur français, c'est moyen étonnant qu'il soit dans le top 10. Une métrique plus acceptable serait le ratio nb d'attaque / nb de serveurs hostes* par exemple. Je suis bien d'accord sur la partie ratio, voir plus haut. Avoir 40 ou 50 merdes sur 110k, ça reste relatif. Ceci dit, Spamhaus et autres ne mesurent pas que le nombre d'attaques en cours mais aussi la réactivité du département abuse et il y a bien d'autres hébergeurs de taille considérable qui ne se voient pas souvent ou jamais au hit-parade. Ne pas être dans la liste de Spamhaus, ça serait une priorité absolue pour moi si j'avais cette taille. En plus, c'est intéressant de se plonger dans les détails: si tu regardes dreamhost tu verras une vague récente de drive-by-exploit, ce que j'appelle l'hébergement du dimanche; une partie que OVH semble mieux maitriser. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
On pourrait d'ailleurs argumenter que ne pas filtrer les attaques en sortie, alors qu'il n'y a pas d'impossibilité technique (suffit de filtrer en amont sur le réseau), c'est déjà en soi un comportement irresponsable... Philosophiquement +1, y a même de la littérature sur le sujet (BCP38 : http://www.armware.dk/RFC/bcp/bcp38.html, et RFC 3704 http://www.armware.dk/RFC/rfc/rfc3704.html), et le principe est hyper simple : filtrer a la source est simple, et évite l'effet boule de neige. En pratique par contre, quand tu as 100.000 serveurs, c'est pas aussi évident de gérer une ACL devant chaque host avec le filtrage adéquate. Et puis ça a ses limites, notamment ça ne protège pas contre un DDOS ne générant que du trafic légitime mais en grande quantité. Et enfin, ça a un coût. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
OK on est d'accord, il vaut mieux ne pas apparaitre dans une liste que d'y apparaitre. Tiens c'est marrant c'est comme le Triple AAA, vaut mieux pas apparaitre dans la liste de ceux qui l'ont plus. Michel, tu viens de trouver les agences de notations de l'hebergement ! Nce ! Le 13 février 2012 20:56, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Michel Py a écrit: 1. Se débarrasser des clients qui sont des aimants à emmerdes; on pourra dire tout ce qu'on voudra, les attaques n'arrivent pas au hasard; Emile iMil Heitor a écrit: Ben voyons. Je vais expliquer au vendeur de meubles hébergé chez nous qu'il a essuyé un DDoS de 5GB pendant 3h parce que ses designs sont vraiment trop subversifs. Probablement pas, mais lire plus bas. Et, oui, une grosse moitié des 5GB provenaient d'OVH. Au final, null-routing de l'IP visée, le client donc, doublement victime. Il faut rapporter la grosse moitié à la part d'OVH sur ce marché. Est-ce que OVH représente une grosse moitié de l'hébergement Français / Européen ? Si oui, il n'est que naturel qu'ils représentent une grosse moitié des attaques. Si en volume d'hébergement ils représentent moins de la moitié et que leur volume d'attaque est plus de la moitié, là il commence à y avoir un problème. Les exemples sont légion, mais étrangement, peu sont ceux qui en font étalage publiquement. Ce dont j'ai vu des légions aussi, c'est des fabricants de meubles ou d'autre chose qui se font DDOSser parque qu'ils ont une politique de mailing list débile. Il y a presque toujours une raison derrière une attaque. Je n'ai pas dit une bonne raison, mais une raison. Michel Py a écrit: http://www.spamhaus.org/statistics/networks.lasso Ils sont régulièrement au hit-parade des top attaqueurs et des top spammeurs (pas seulement spamhaus). Même en prenant leur taille en compte, ça fait un peu désordre, quand même. Guillaume Barrot a écrit: Arrrf j'ai le bullshitotron dans le rouge la ! C'est pas parce qu'un truc est mesurable qu'il doit être mesure, et clairement pas une métrique (pour plagier un camarade posteur sur ce thread). Ie : OVH étant le premier hébergeur français, c'est moyen étonnant qu'il soit dans le top 10. Une métrique plus acceptable serait le ratio nb d'attaque / nb de serveurs hostes* par exemple. Je suis bien d'accord sur la partie ratio, voir plus haut. Avoir 40 ou 50 merdes sur 110k, ça reste relatif. Ceci dit, Spamhaus et autres ne mesurent pas que le nombre d'attaques en cours mais aussi la réactivité du département abuse et il y a bien d'autres hébergeurs de taille considérable qui ne se voient pas souvent ou jamais au hit-parade. Ne pas être dans la liste de Spamhaus, ça serait une priorité absolue pour moi si j'avais cette taille. En plus, c'est intéressant de se plonger dans les détails: si tu regardes dreamhost tu verras une vague récente de drive-by-exploit, ce que j'appelle l'hébergement du dimanche; une partie que OVH semble mieux maitriser. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
je te confirme que la plage ip 91.234.104.0 - 91.234.107.255 est bien bloquer en sortie du réseau OVH ADSL !!! | Host - % | Sent | Recv | Best | Avrg | Wrst | Last | ||--|--|--|--|--|--| | 192.168.0.1 -2 | 99 | 98 |0 |0 |0 |0 | | isp-1-6k.fr.eu -0 | 103 | 103 |8 | 13 | 119 | 12 | | rbx-g2-a9.fr.eu -0 | 103 | 103 |9 | 11 | 30 | 12 | | rbx-2-6k.fr.eu -3 | 95 | 93 |8 | 24 | 225 |9 | | osp-1-m2.fr.eu -0 | 103 | 103 |7 |9 | 30 |9 | | No response from host - 100 | 20 |0 |0 |0 |0 |0 | | No response from host - 100 | 20 |0 |0 |0 |0 |0 | Ton site www.inulogic.com est donc inaccessible et les sites que tu héberges. Octave vient de réinventé la neutralité du net ! ! Bientôt ovh va bloquer les plage IP de Free car des dedibox attaque des sd ovh ? Au moins ovh nous montre qu'il est vraiment facile et rapide de bloqué un site, voir un hébergeur entier, sa va donné des idée a nos politique ! Pour le problème des attaque depuis ovh, ovh fait pas mal d'effort pour faire le ménage dans les serveur qui reçoive des attaques, car cela touche souvent d'autre client, mais pas beaucoup de chose pour les attaques sortante... Il est passé ou le bridage UDP à 5 ou 10 mb/s ?? Bon courage Gurvan, tu n'est surement pas le seul dans le même cas... Le 12 février 2012 23:07, Gurvan Rottier-Ripoche inulo...@gmail.com a écrit : Bonjour, Ceci n'est pas un mail pour venir pleurer/troller sur OVH mais plutôt pour prendre des conseils et chercher à comprendre. Notre réseau est régulièrement la cible d'attaques depuis des machines OVH. Indifféremment depuis des serveurs hackés participant dans des botnets que depuis des serveurs clients légitimes qui réalisent des attaques ciblés notamment via des offres low-cost jetables. Je fais de nombreux report à leur service abuse qui intervient dans des délais raisonnables. La période des vacances a démarré et très souvent, c'est une grande effervescence de ce type d'attaques. Nous avons reçu plusieurs attaques ce Dimanche 12 Février 2012 allant jusqu'a 900Mbits depuis 9 serveurs OVH. (A relativiser avec notre 95 percentile de 100Mbits). J'ai twitté Octave pour lui faire part de mon mécontentement du fait du nombre important d'attaques en une journée. A chaque fois ses réponses sont virulentes (très proches de la diffamation) et fermés à la discussion : C'est pas mon problème. Tu as une activité de hackeur. C'est à toi de gérer ton réseau. Alors que je suis la cible dans cette histoire et que je ne vois pas comment agir... De notre côté, nous appliquons des restrictions entrantes et sortantes mais ces nombreuses attaques ont des répercussions sur le coût du trafic entrant en amont de notre réseau. Notre fournisseur de transit nous fait payer malgré tout le coût de l'attaque et c'est logique. Ces attaques dépassent parfois de beaucoup (pratiquement x10) l'usage normal de notre bande passante. Ce que je ne comprend pas, c'est qu'OVH disposent bien de mécanismes de protections mais uniquement sur son trafic entrant. Par contre, ils n'appliquent pas les mêmes mécaniques en sens inverse pour éviter ou limiter les attaques sortantes de leur réseau. Comme seule solution, aujourd'hui suite à mes reports, Octave impose un blocage total entre nos deux réseaux. Cela gène nombre de mes clients qui ne peuvent plus opérer de redondance, simplement communiquer envers les deux réseaux (plus de DNS, SQL etc...) et moi-même qui ne peut plus du tout accéder aux services d'OVH que j'utilise également. (Ne serait-ce que le site OVH.COM...). J'imagine également que les clients ADSL d'OVH ne peuvent plus accéder à l'ensemble de mes services. Qu'en pensez-vous ? Un fournisseur d'accès a-t-il le droit de bloquer comme cela une partie du trafic internet, portant atteinte à la neutralité d'internet et aux recommandations de l'ARCEP sur la transparence et la non-discrimination des flux. Les mesures prises me semblent disproportionnées. Quelles sont les solutions que vous appliquez sur vos réseaux ? Avez-vous déjà eu ce type de problème ? Cordialement, Gurvan. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Le 12/02/2012 23:07, Gurvan Rottier-Ripoche a écrit : Bonjour, Ceci n'est pas un mail pour venir pleurer/troller sur OVH mais plutôt pour prendre des conseils et chercher à comprendre. Notre réseau est régulièrement la cible d'attaques depuis des machines OVH. Indifféremment depuis des serveurs hackés participant dans des botnets que depuis des serveurs clients légitimes qui réalisent des attaques ciblés notamment via des offres low-cost jetables. Je fais de nombreux report à leur service abuse qui intervient dans des délais raisonnables. La période des vacances a démarré et très souvent, c'est une grande effervescence de ce type d'attaques. Nous avons reçu plusieurs attaques ce Dimanche 12 Février 2012 allant jusqu'a 900Mbits depuis 9 serveurs OVH. (A relativiser avec notre 95 percentile de 100Mbits). J'ai twitté Octave pour lui faire part de mon mécontentement du fait du nombre important d'attaques en une journée. A chaque fois ses réponses sont virulentes (très proches de la diffamation) et fermés à la discussion : C'est pas mon problème. Tu as une activité de hackeur. C'est à toi de gérer ton réseau. Et bon, on n'est pas vendredi, mais concrètement, tu ne réponds pas à un truc intéressant dans ton mail passionnant, mais.. tu fais quoi sur ton réseau ? @+ Gilou --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Mon réseau se borne à faire tourner un service d'hébergement de sites internet et de la vente de serveur à destination du grand public, de quelques collectivités et de TPE. Une partie de mes clients sont des jeunes qui semble jouer parfois à la gueguerre. Le plus énervant, c'est pas les attaques, c'est le fait que la source soit à 90% du OVH depuis que les mécanismes de détection anti flood/anti scan d'OVH sont stoppés en sortie. OVH fait comme si de rien n'était et reporte la faute sur la victime. Gurvan. Le 13 février 2012 00:54, Gilou contact+fr...@gilouweb.com a écrit : Le 12/02/2012 23:07, Gurvan Rottier-Ripoche a écrit : Bonjour, Ceci n'est pas un mail pour venir pleurer/troller sur OVH mais plutôt pour prendre des conseils et chercher à comprendre. Notre réseau est régulièrement la cible d'attaques depuis des machines OVH. Indifféremment depuis des serveurs hackés participant dans des botnets que depuis des serveurs clients légitimes qui réalisent des attaques ciblés notamment via des offres low-cost jetables. Je fais de nombreux report à leur service abuse qui intervient dans des délais raisonnables. La période des vacances a démarré et très souvent, c'est une grande effervescence de ce type d'attaques. Nous avons reçu plusieurs attaques ce Dimanche 12 Février 2012 allant jusqu'a 900Mbits depuis 9 serveurs OVH. (A relativiser avec notre 95 percentile de 100Mbits). J'ai twitté Octave pour lui faire part de mon mécontentement du fait du nombre important d'attaques en une journée. A chaque fois ses réponses sont virulentes (très proches de la diffamation) et fermés à la discussion : C'est pas mon problème. Tu as une activité de hackeur. C'est à toi de gérer ton réseau. Et bon, on n'est pas vendredi, mais concrètement, tu ne réponds pas à un truc intéressant dans ton mail passionnant, mais.. tu fais quoi sur ton réseau ? @+ Gilou --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Si demain il y a un désaccord au niveau du pering entre ovh et free, ovh me bloque less freebox et dedibox depuis mon ADSl OVH ??? !! Chez OVH, pas de bridage ni de restriction vis-à-vis des sites populaires fortement fréquentés et des contenus multimédia (vidéo, streaming, etc). Nous délivrons le maximum de bande passante, partout et à toute heure. Vraiment déçu par ovh sur le coup, leur internet neutre n'est pas mieux que les lois absurde que nos politique nous prépare Le 13 février 2012 01:14, Gurvan Rottier-Ripoche inulo...@gmail.com a écrit : Mon réseau se borne à faire tourner un service d'hébergement de sites internet et de la vente de serveur à destination du grand public, de quelques collectivités et de TPE. Une partie de mes clients sont des jeunes qui semble jouer parfois à la gueguerre. Le plus énervant, c'est pas les attaques, c'est le fait que la source soit à 90% du OVH depuis que les mécanismes de détection anti flood/anti scan d'OVH sont stoppés en sortie. OVH fait comme si de rien n'était et reporte la faute sur la victime. Gurvan. Le 13 février 2012 00:54, Gilou contact+fr...@gilouweb.com a écrit : Le 12/02/2012 23:07, Gurvan Rottier-Ripoche a écrit : Bonjour, Ceci n'est pas un mail pour venir pleurer/troller sur OVH mais plutôt pour prendre des conseils et chercher à comprendre. Notre réseau est régulièrement la cible d'attaques depuis des machines OVH. Indifféremment depuis des serveurs hackés participant dans des botnets que depuis des serveurs clients légitimes qui réalisent des attaques ciblés notamment via des offres low-cost jetables. Je fais de nombreux report à leur service abuse qui intervient dans des délais raisonnables. La période des vacances a démarré et très souvent, c'est une grande effervescence de ce type d'attaques. Nous avons reçu plusieurs attaques ce Dimanche 12 Février 2012 allant jusqu'a 900Mbits depuis 9 serveurs OVH. (A relativiser avec notre 95 percentile de 100Mbits). J'ai twitté Octave pour lui faire part de mon mécontentement du fait du nombre important d'attaques en une journée. A chaque fois ses réponses sont virulentes (très proches de la diffamation) et fermés à la discussion : C'est pas mon problème. Tu as une activité de hackeur. C'est à toi de gérer ton réseau. Et bon, on n'est pas vendredi, mais concrètement, tu ne réponds pas à un truc intéressant dans ton mail passionnant, mais.. tu fais quoi sur ton réseau ? @+ Gilou --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Une partie de mes clients sont des jeunes qui semble jouer parfois à la gueguerre. Autrement dit, tes clients attaquent des machines, notamment chez OVH. Détectes-tu les flood et scan initiés depuis ton réseau ? Les filtres/bloques-tu ? Si non, c'est un juste retour de bâton que tu te prends. Tes clients ne respectant pas les conditions d'utilisation de ton réseau (je m'avance un peu en supposant que le piratage n'est pas autorisé) s'attaquent à un réseau plus gros et plus fort que le tient, et mettent en danger la fiabilité du service fournit à tes clients respectueux. Si tu ne veux pas les virer pour des questions d'argent (un client est un client), pourquoi OVH devrait le faire, alors que techniquement ça ne leur pose pas de problème de les garder ? Je n'encense pas OVH, et j'ai même tendance à dire qu'ils proposent certains services par dessous la jambe (c'est leur modèle de qualité/prix), mais sur ce coup tu as sans doute du ménage à faire devant ta porte. -- Benjamin Le plus énervant, c'est pas les attaques, c'est le fait que la source soit à 90% du OVH depuis que les mécanismes de détection anti flood/anti scan d'OVH sont stoppés en sortie. OVH fait comme si de rien n'était et reporte la faute sur la victime. Gurvan. Le 13 février 2012 00:54, Giloucontact+fr...@gilouweb.com a écrit : Le 12/02/2012 23:07, Gurvan Rottier-Ripoche a écrit : Bonjour, Ceci n'est pas un mail pour venir pleurer/troller sur OVH mais plutôt pour prendre des conseils et chercher à comprendre. Notre réseau est régulièrement la cible d'attaques depuis des machines OVH. Indifféremment depuis des serveurs hackés participant dans des botnets que depuis des serveurs clients légitimes qui réalisent des attaques ciblés notamment via des offres low-cost jetables. Je fais de nombreux report à leur service abuse qui intervient dans des délais raisonnables. La période des vacances a démarré et très souvent, c'est une grande effervescence de ce type d'attaques. Nous avons reçu plusieurs attaques ce Dimanche 12 Février 2012 allant jusqu'a 900Mbits depuis 9 serveurs OVH. (A relativiser avec notre 95 percentile de 100Mbits). J'ai twitté Octave pour lui faire part de mon mécontentement du fait du nombre important d'attaques en une journée. A chaque fois ses réponses sont virulentes (très proches de la diffamation) et fermés à la discussion : C'est pas mon problème. Tu as une activité de hackeur. C'est à toi de gérer ton réseau. Et bon, on n'est pas vendredi, mais concrètement, tu ne réponds pas à un truc intéressant dans ton mail passionnant, mais.. tu fais quoi sur ton réseau ? @+ Gilou --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Bonsoir, Si je résume bien : 1/ Vous subissez des attaques de DDOS en provenance d'hôtes appartenant au réseau du principal hébergeur français. 2/ Vous avez fait part de vos problèmes au service abuse qui a traité les incidents. 3/ Les DDOS font augmenter votre connectivité de +/- 100Mbps à +/- 900Mbps. 4/ Vous avez poser des restrictions sur votre réseau pour prévenir le DDOS. 5/ Vous ne comprenez pas pourquoi cet hébergeur n'applique pas les mêmes règles de traitement afin de limiter le DDOS sortant de leur réseau. 6.a/ Vous avez twitter un dirigeant de cette société pour lui faire part de vos problèmes. 6.b/ Ce dirigeant impose maintenant un blocage total entre votre réseau et le sien. 6.c/ Vous ne savez pas (plus ?) comment agir face à cette solution radicale. Alors :-) 1/ Bienvenue dans le monde de l'Internet ! Ce n'est pas vraiment étonnant que ce réseau soit la source de DDOS. Il représente quand même beaucoup de clients en tout genre (18M web site, 110K dedicated servers, 50k xDSL, 100k VoIP (dixit (p**db)). 2/ Limite, c'est peut être une chance que ce soit un réseau avec un support en France (réactif ? je ne sais pas car je ne l'ai jamais essayé :-)) ! Cela doit grandement faciliter la résolution des incidents dans des délais raisonnables ;-) Quand on a à faire face à des DDOS provenant d'hébergeurs exotiques, c'est un peu plus compliqué à gérer... :-/ Et en général, un Black Hole temporaire est souvent nécessaire ! 3/ C'est effectivement fâcheux de faire face à cela... Après si on regarde chez votre fournisseur de connectivité, il propose dans son offre de transit ip une option Serveur Black Hole pour combattre les DDOS ! Amha, il serait judicieux de se rapprocher de lui pour étudier cela (d'un point de vue technique et économique). Il y a de forte chance que ce soit efficace pour faire face à des DDOS (pas que pour ceux en provenance de O**) ;-) 4/ D'après ce que j'ai pu voir, vous avez un assigned PI annoncé par votre fournisseur sur son AS. Quelques soit les restrictions appliquées sur votre infrastructure (la plus simple et efficace étant une ACL en entrée qui discard le trafic en provenant d'hôte malveillant), cela n'empêchera pas votre fournisseur de forwarder le trafic vers votre infrastructure, et donc de vous facturer le trafic supplémentaire. 5/ Effectivement cet opérateur n'applique pas une politique identique concernant le DDOS entrant et sortant. Il peut y avoir plusieurs explications à cela : a) O** c'est quand même +/- 530Gbps en upstream vers Internet. Supposons qu'ils ont un ratio 1/4, et donc qu'ils ont +/- 130Gbps en downstream depuis Internet. Mettre en œuvre des règles anti DDOS pour 130Gbps, c'est déjà assez conséquent en terme de ressources machines. Je vous laisse imaginer pour 660Gbps ! b) Il n'est pas évident/simple d'être pro-actif au niveau du DDOS en sortie, car on risque d'avoir des faux positifs pouvant bloquer du trafic client légitime. 6/ Malheureusement, Twitter n'est pas un outil de communication qu'on utilise pour régler ce genre de problème ! Si un jour vous avez un problème avec F***, vous allez twitter X* N*** ? Je pense que votre problème n'est pas la priorité de ce dirigeant... Amha il a d'autres problèmes beaucoup plus sérieux à traiter comme son CDN EU/US, son ISP xDSL, ses équipements/fournisseurs parfois capricieux (ses LNS Redback, ses cœurs de réseau Cisco ASR, ses opérateurs de collecte rouge ou orange...), le lancement de sa filiale canadienne... Et puis, il a aussi peut être une vie personnelle le dimanche :-P Normalement vous auriez du contacter le support de votre fournisseur gérant votre assigned PI qui : a) Applique des contres mesures sur son réseau pour réduire les impacts sur votre prestation b) Contacte le noc/abuse de l'opérateur source pour que les agissements illicites cessent c) Informe son client de l'avancement de son incident Enfin bref... Effectivement la réaction est un peu disproportionnée... Mais bon de là à dire sur cette liste que cet opérateur ne joue pas le jeu de la neutralité (enfin de ce que j'en sais), alors qu'il communique sur cela et essaye d'être relativement transparent au niveau de la vie de son réseau :^) Contacter le support de l'hébergeur en expliquant que vous avez eu un DDOS provenant de leur réseau, et que suite à cela, votre réseau ne peut plus communiquer avec le leur. Normalement ça devrait se régler ;-) Et puis comme a dit Benjamin, faire un petit ménage devant votre porte ne devrait pas faire de mal car il n'y a pas de fumé sans feu ! Cordialement, Yann Le 12 février 2012 19:07, Gurvan Rottier-Ripoche inulo...@gmail.com a écrit : Bonjour, Ceci n'est pas un mail pour venir pleurer/troller sur OVH mais plutôt pour prendre des conseils et chercher à comprendre. Notre réseau est régulièrement la cible d'attaques depuis des machines OVH. Indifféremment depuis des serveurs hackés participant dans des botnets que depuis des serveurs clients légitimes qui réalisent des
RE: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Gurvan Rottier-Ripoche a écrit: Une partie de mes clients sont des jeunes qui semble jouer parfois à la gueguerre. Benjamin BILLON a écrit: Autrement dit, tes clients attaquent des machines, notamment chez OVH. Détectes-tu les flood et scan initiés depuis ton réseau ? Les filtres/bloques-tu ? Si non, c'est un juste retour de bâton que tu te prends. Tes clients ne respectant pas les conditions d'utilisation de ton réseau (je m'avance un peu en supposant que le piratage n'est pas autorisé) s'attaquent à un réseau plus gros et plus fort que le tient, et mettent en danger la fiabilité du service fournit à tes clients respectueux. Si tu ne veux pas les virer pour des questions d'argent (un client est un client), pourquoi OVH devrait le faire, alors que techniquement ça ne leur pose pas de problème de les garder ? Je n'encense pas OVH, et j'ai même tendance à dire qu'ils proposent certains services par dessous la jambe (c'est leur modèle de qualité/ prix), mais sur ce coup tu as sans doute du ménage à faire devant ta porte. +1 Bon ceci étant dit, le ménage chez OVH il y a du progrès à faire aussi: http://www.spamhaus.org/statistics/networks.lasso Ils sont régulièrement au hit-parade des top attaqueurs et des top spammeurs (pas seulement spamhaus). Même en prenant leur taille en compte, ça fait un peu désordre, quand même. Gurvan, fais donc voir des stats de problème par serveur comparé à OVH, qu'on rigole. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/