Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[minux1]

Ajourd'hui Facebook a apparemment été la cible d'une grosse attaque depuis
les serveurs OVH.
http://travaux.ovh.net/?do=detailsid=6459

Octave avant Facebook, on reprend les mêmes propos, on change
l'interlocuteur :
et les attaques ? bahh ils continuent toujours à partir
de notre reseau comme avant. les hackeurs vont pas changer
les habitudes.
Ca on est d'accord. OVH est un vivier potentiel pour les hackeurs vu
les possibilités offertes par des box hacké ou non.

 J'ai pas de probleme avec ça mais achete toi des equipements
pour gerer ces attaques.
Ils ont du se marrer chez Facebook :)

 question: comment je peux moi faire de sort que mon reseau
 ne fasse plus jamais les attaques sur ton reseau de maniere
 sûr ?
Je crois que Facebook a su trouver les arguments pour le faire réfléchir.

 blackhole. c'est ça que j'ai mis en place. j'ai mis en
place exactement ce que j'aurais demandé à mes transits
de faire si je recevais une attaque. ce sont les outils
standard. rien d'extraordinaire. okey, c'est pas très
fin, mais ça marche. le monsieur en face il peut nous
insulter de tous les noms mais ne me dira plus qu'il
recoit les attaques de notre reseau. donc le resultat
est là.
Aïe, un mensonge.

car ce n'est pas à moi de gerer les attaques pour les
autres.
Aïe, encore un, et le fou rire reprend de plus belle chez Facebook.

 QoS ? il n'est pas possible de garantir une limitation
de bande passante vers exterieur lors d'une attaque
vers une destination sur un reseau distribué comme le
notre.
Ah ? même sur travaux, on trouve des mensonges.

Apparemment, Facebook dispose de moyens nettement plus persuasif. Pas de
Blackhole cette fois mais une réponse plus intelligente et adaptée.

C'est un vrai pied c'job :)
Certains peuvent tirer du plaisir à travailler sous la pression de plus
gros que soit.

Finalement, tout est pour le mieux, Octave concilie ses tords et avoue à
demi-mots que le plaidant à l'origine avait raison à la base.
C'est dommage, si Octave avait été plus réceptif et prompt a engagé des
moyens tout de suite, il n'aurait même pas eu à vivre ce
petit désagrément avec Facebook.

Comme quoi, quand on s'appelle Facebook, on peut même commander Dieu.


PS: ce n'est pas Vendredi mais attendre aurait été hors actualité :)

--
Greg

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[minux1]

Soupir ou non, le clivage gros/petit est bien là.
On se bouge le cul quand on attaque Facebook et on se fait tout petit. Mais
quand on attaque quatre ou cinq petits hébergeur, on les traite comme des
mal propres et tans pis pour eux. Pourtant toute proportion gardée, les
attaques sont de même grandeur.

En ce sens, je comprends votre soupir. Gageons que ces mesures profitent
aussi aux petits par la même occasion.

Greg

Le 6 mars 2012 20:01, Thomas Mangin thomas.man...@exa-networks.co.uk a
écrit :

 Soupir, ce coup la je passe.

 Thomas

 On 6 Mar 2012, at 18:56, minux1 wrote:

  Ajourd'hui Facebook a apparemment été la cible d'une grosse attaque
 depuis
  les serveurs OVH.
  http://travaux.ovh.net/?do=detailsid=6459
 
  Octave avant Facebook, on reprend les mêmes propos, on change
  l'interlocuteur :
  et les attaques ? bahh ils continuent toujours à partir
  de notre reseau comme avant. les hackeurs vont pas changer
  les habitudes.
  Ca on est d'accord. OVH est un vivier potentiel pour les hackeurs vu
  les possibilités offertes par des box hacké ou non.
 
  J'ai pas de probleme avec ça mais achete toi des equipements
  pour gerer ces attaques.
  Ils ont du se marrer chez Facebook :)
 
  question: comment je peux moi faire de sort que mon reseau
  ne fasse plus jamais les attaques sur ton reseau de maniere
  sûr ?
  Je crois que Facebook a su trouver les arguments pour le faire réfléchir.
 
  blackhole. c'est ça que j'ai mis en place. j'ai mis en
  place exactement ce que j'aurais demandé à mes transits
  de faire si je recevais une attaque. ce sont les outils
  standard. rien d'extraordinaire. okey, c'est pas très
  fin, mais ça marche. le monsieur en face il peut nous
  insulter de tous les noms mais ne me dira plus qu'il
  recoit les attaques de notre reseau. donc le resultat
  est là.
  Aïe, un mensonge.
 
  car ce n'est pas à moi de gerer les attaques pour les
  autres.
  Aïe, encore un, et le fou rire reprend de plus belle chez Facebook.
 
  QoS ? il n'est pas possible de garantir une limitation
  de bande passante vers exterieur lors d'une attaque
  vers une destination sur un reseau distribué comme le
  notre.
  Ah ? même sur travaux, on trouve des mensonges.
 
  Apparemment, Facebook dispose de moyens nettement plus persuasif. Pas de
  Blackhole cette fois mais une réponse plus intelligente et adaptée.
 
  C'est un vrai pied c'job :)
  Certains peuvent tirer du plaisir à travailler sous la pression de plus
  gros que soit.
 
  Finalement, tout est pour le mieux, Octave concilie ses tords et avoue à
  demi-mots que le plaidant à l'origine avait raison à la base.
  C'est dommage, si Octave avait été plus réceptif et prompt a engagé des
  moyens tout de suite, il n'aurait même pas eu à vivre ce
  petit désagrément avec Facebook.
 
  Comme quoi, quand on s'appelle Facebook, on peut même commander Dieu.
 
 
  PS: ce n'est pas Vendredi mais attendre aurait été hors actualité :)
 
  --
  Greg
 
  ---
  Liste de diffusion du FRnOG
  http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Sylvain Vallerot]

On 14/02/2012 12:06, Rémi Bouhl wrote:


Le 14/02/2012 01:04, Jérôme Nicolle a écrit :

Attention au principe de subsidiarité entériné par la LCEN. Les
transitaires par exemples ne sont pas responsables, et l'hébergeur ne
l'est que s'il ne permet pas l'identification du fauteur de trouble.


Ça c'est justement le point que je n'arrive pas à comprendre.
Finalement, le méchant fouteur de merde qui devrait se faire tirer les
oreilles, c'est pas l'opérateur X ou Y : c'est l'individu qui loue un
serveur dédié chez OVH et s'en sert pour faire une attaque (D)DOS. C'est
lui qui devrait se retrouver au tribunal.


Je ne vois pas où est le problème, puisque l'IP source est identifiée,
soit elle est renseignée dans le Whois comme gérée par OVH et à ce moment
là OVH est responsable (et éventuellement se retournera contre son client),
soit le client est identifié dans le Whois et c'est contre lui qu'il faut
agir directement.

Dans le premier cas si OVH ne fait rien (abuse a-réactif contrairement
à ce qu'on appellerait les usages de la profession ou l'état de l'art)
il risque de se voir reprocher d'avoir été complice de son client et être
reconnu coupable d'une partie du préjudice subi, AMHA.



L'incompétent qui devrait payer les pots cassés, c'est l'administrateur
qui prend un serveur dédié et le laisser relayer du spam ou se faire
véroler bêtement (parce que jamais mis à jour, parce que mot de passe en
carton).. C'est lui qui devrait payer la facture.


Probablement, comme le type qui prend le volant sans permis. Cela dit le
propriétaire de la voiture qui lui a donné les clefs est-il exempt de
toute responsabilité ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Pierre Chapuis]

On 2012-03-06 21:21, Thomas Mangin wrote:

Slippery slope ...
http://en.wikipedia.org/wiki/Slippery_slope

Si quelqu'un a l'expression française similaire SVP ... aidez moi a
parler le bon France :D


http://fr.wikipedia.org/wiki/Pente_savonneuse


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Michel Py]

 Michel Py a écrit:
 No shirt no shoes no service. A l'Assemblée Nationale faut
 porter une cravate.

 Jérôme Nicolle a écrit:
 Non, manches longues, mais pas de cravate. Et encore, tu rentres
 avec le pull, tu fais ce que tu veux dans les gradins tant que tu
 déranges personne.

 Julien Rabier a écrit:
 On y rentre même avec un gros sweat à capuche BSD et la
 capillarité d'un Gandalf.

Ben dis donc ça a bien changé. La dernière fois que j'y suis allé (dans les 
années 80) ils te prêtaient la cravate si tu n'en avais pas, ceci dit.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Greg VILLAIN]

On Feb 13, 2012, at 7:14 AM, Jean Barbezat wrote:

 ca depend de quel font, j'aime beaucoup Comic SANS pour mes mails a abuse.
 -Jean

Tres cher Jean. 
J'aime beaucoup ce que vous faites. 
Cependant: http://www.bancomicsans.com
Cordialitudes,
--
Greg


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Emmanuel Thierry]

Le 16 févr. 2012 à 20:17, Gurvan Rottier-Ripoche a écrit :

 
 Globalement, on peut en tirer les conclusions suivantes :
 
 1 - Un petit hébergeur n’a pas forcément les moyens immédiatement de se
 payer plusieurs fibres, plusieurs opérateurs et plusieurs Gbits de capacité
 pour supporter les gros opérateurs qui ouvrent du 1Gbits pour 60 euros.
 
 2 - N’importe qui doit/devrait démarrer sur internet avec au moins 2-3
 Gbits de capa (voir plus) sous prétexte que les gros opérateurs ne filtre
 rien ou souscrire un service de protection très cher.
 
 3 - La loi n’impose pas aux AS de filtrer le trafic sortant (ni entrant
 d’ailleurs).
 
 4 - Pour venir sur « internet », il faut un gros tuyau pour survivre et
 virer les clients à risques.

Tu en oublies une, importante:

5 - Quand tu te fais attaquer, en France, par un serveur situé sur le 
territoire français, tu as la loi avec toi. Tu as un recours possible, non 
contre le fournisseur, mais contre le client qui a perpétré les attaques. Comme 
il a été dit précédemment, l'une des plaies (pas la principale mais c'en est 
une) est que des gens croient que l'on peut lancer une attaque, sans se cacher, 
en toute impunité.

Cordialement.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Elodie BOSSIER]

Bonjour Octave et la liste,

Je viens de me faire DDOS un serveur présent chez Online via 
principalement des adresses IP au WHOIS d'OVH depuis 17h54 avec 1010932 
packets/sec, Online a réagit à ma demande à 18h06 pour null router mon 
adresse IP attaquée.


A 18h32, le DDOS a commencé à diminuer mais Online et moi même attendons 
que la vague soit passée pour réactiver l'IP.


Une fois que j'aurai accès aux logs complets (car actuellement j'ai 
accès au serveur qu'en KVM), je pourrai vous communiquer les adresses IP 
d'OVH qui m'ont attaquées mais c'est principalement du 178.32.*, je 
pourai vous en dire d'avantage plus tard.


Online a vu l'attaque mais est ce que OVH l'a vu ?

Cordialement,
Elodie de FranceServ Hébergement


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Gurvan Rottier-Ripoche]

Le 14 février 2012 10:44, Salim Gasmi sa...@sdv.fr a écrit :


La vraie question me semble plutôt être : Est ce plus à vous ou à OVH de
protéger VOS clients ?.

Il me semble pour ma part évident que c'est tout d'abord à l’hébergeur
qui est payé par ses clients de fournir un

hébergement de qualité.

Un hébergement de qualité aujourd’hui sous entend un certain nombre de
points dont la protection contre les

DDOS/flood fait aussi partie.

C'est une réalité technique que personne ne peut plus ignorer.



Je conçois parfaitement que les attaques, (comme l’indique Octave sur le
forum OVH et travaux), c’est le quotidien d’un hébergeur et que c’est à
l’hébergeur de se protéger et protéger ses clients.

Après dans le cas ou 90% des attaques proviennent d’un seul opérateur, d’un
seul réseau, j’ai du mal à le concevoir.

(OVH a beau avoir 110K serveurs, il suffit d’additionner 11, Gandi,
Ikoula, Online et on doit arriver à la même chose).

Néanmoins, il semble que c’est « la règle ». Et si c’est vraiment le cas,
cette règle n’est pas très logique...




Ne pas se protéger soi même ses clients est un choix qu'il faut assumer,
je peux comprendre qu'on fasse l'impasse

sur ces protections pour des raisons économiques, par contre je comprend
moins quand ensuite on demande aux

autres de le faire à sa place.

En l'absence de législation forçant les AS à nettoyer leur trafic
sortant, il me semble logique que ce soit fait chez

les hébergeurs en entrée (qui sont payés par des clients).

Donc, je ne vois pas pourquoi OVH devrait nettoyer son trafic sortant
pour vous (alors que vous ne le faites pas

vous même en entrée).



En soit j’assume totalement. Nos équipements sont dimensionnés pour
résister.

Quand ils ont pris 850 000 packets par seconde au lieu des 10/15K habituels
pendant 5h, ou qu’ils se prennent des pics à 800/900/1000Mbits, rien n’a
flanché.

Seulement actuellement 1Gbits, c’est notre capa maximum. Capa qu’on peut
atteindre (de quelques minutes à plusieurs heures) pour une cinquantaine
d’euros. (Et je ne parle pas que d’OVH).



Donc pourquoi les gros hébergeurs devraient filtrer plus « agressivement »
le trafic illégitime ?

Parce que tout simplement, un petit client mécontent (ou fâché avec un
autre client) peut facilement couler un petit hébergeur en prenant un
serveur à bas prix chez un gros hébergeur.



Pour ce qui est du filtrage entre vos deux réseaux, c'est effectivement
une mesure technique qui me semble

démesurée de la part d'OVH, je vous invite à essayer de discuter avec eux
pour trouver un compromis plutôt que

de lancer des polémiques publiques qui n'apaiseront pas le débat.

Mais encore une fois, si vous aviez eu ce qu'il fallait pour vous
protéger (ou travailler avec des upstreams en ayant

la capacité) vous ne seriez pas dans cette situation, s'acharner
publiquement sur OVH (qui du fait de sa position

sur le marché sera souvent une source d'attaques) ne me parait pas la
bonne approche technique ni commerciale.





La polémique n’était pas de casser du sucre sur Octave ou OVH mais bien de
faire réagir sur le control qu’ont les gros opérateurs sur tous ceux qui en
sont plus ou moins dépendant.

Et qu’en cas de besoin, ils peuvent abuser de leur position « dominante »
pour mettre à mal une petite, (voir infime dans mon cas), partie d’internet
et une société pour au final, « des broutilles » entre deux personnes ?

Cela aurait pu arriver à n’importe qui et ça aurait très bien pu ne pas
être OVH.





Mon mail sur cette ML attaquant effectivement un peu trop OVH était
peut-être un peu maladroit, je le reconnais.

Néanmoins il a apporté un long flot de réponses diverses et variés, merci
aux participants (et aux vilains trolls).

Globalement, on peut en tirer les conclusions suivantes :



1 - Un petit hébergeur n’a pas forcément les moyens immédiatement de se
payer plusieurs fibres, plusieurs opérateurs et plusieurs Gbits de capacité
pour supporter les gros opérateurs qui ouvrent du 1Gbits pour 60 euros.



2 - N’importe qui doit/devrait démarrer sur internet avec au moins 2-3
Gbits de capa (voir plus) sous prétexte que les gros opérateurs ne filtre
rien ou souscrire un service de protection très cher.



3 - La loi n’impose pas aux AS de filtrer le trafic sortant (ni entrant
d’ailleurs).



4 - Pour venir sur « internet », il faut un gros tuyau pour survivre et
virer les clients à risques.



Et bien de mon point de vu, je trouve cela totalement anormal et aberrant.
Pour moi, l'opérateur/fournisseur/prestataire ne prend pas
ses responsabilités.

Je l’ai bien noté et je vais m’y adapter du mieux possible.



De votre point de vu, c’est plus facile, vous pouvez presque tous encaisser
plusieurs Gbits d’attaques, filtrer vos clients, les mettent dehors si
besoin etc…

Quand j’en serais la et que quelqu’un viendra se plaindre d’un flood à
1Gbits, je sourirais surement.

Mais peut-être qu’après je penserais également à mes débuts difficiles.





Gurvan.

Le 14 février 2012 10:44, Salim Gasmi 

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Guillaume Barrot]

1/ l'hebergement a depuis 15 ans bien evolué, et est passé du stade de
l'atelier à celui des usines. On se rapproche de ce qu'a vécu le monde de
l'automobile dans les années 60.
2/ il y a une place pour les petits hébergeurs, mais sur des marchés de
niche : comprendre, ces hébergeurs doivent amener autre chose que juste une
présence sur le marché. Ils doivent être innovants, ou spécialisés.
3/ le monde de l'hébergement, c'est pas le pays des Bisounours. Le marché
de la sécurité Informatique le prouve, il faut savoir se protéger des
risques quand on se connecte à Internet

Tout ça pour dire que cette attaque via des serveurs chez OVH, où tu
critiques la réaction d'OVH avec comme argument massue que tu es un petit
hébergeur et OVH un gros est totalement dénué de logique.
J'ai envie de dire Ok et alors ?
Donc :
- oui tu dois savoir te protéger de n'importe quelle patern d'attaque, ou
savoir y réagir rapidement, si tu veux pouvoir exister sur le marché de
l'hébergement
- ne t'attends pas à ce que les autres le fasse pour toi
- si tu es un petit hébergeur, spécialise toi sur un marché de niche, ou
innove. Sinon en face de toi, tu auras des monstres capacitifs à renverser.

De plus ton argument taille des tuyaux est moyen : si tu as 1G pour
quelques dizaines d'euros, et ben stack les liens 1G pour monter à plus de
débit ou achète des mécanismes de protection chez ton transitaire, et
refacture ça à tes clients, mais ne reste pas les bras croisés en attendant
qu'OVH (ou demain Iliad, Orange, etc.) sauve ton infra.
Imagine que demain tu sois attaqué par des serveurs lowcost d'un hébergeur
à Hong Kong ? Tu vas twitter le PDG ? La logique veut qu'on soit bien mieux
servi par soi même !

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Gurvan Rottier-Ripoche]

Le 13 février 2012 22:33, o...@ovh.net a écrit :


Je tiens également à préciser qu’entre l’annonce publique de faits réels
qu’il soit apprécié ou non, une pique sur le ton de l’humour pour détendre
et le ton très sérieux de ta phrase sur la possibilité que je roule en
Porsche, il y a un pas vers la diffamation que je ne fais pas.
Je ne parle pas d’ailleurs de ton sympathique tweet.
https://twitter.com/#!/olesovhcom/status/168760259979116544



Je ne me permettrais pas, par exemple, de justifier la mise en place de
prise électrique 16A sur des baies 20A par la volonté d’être mieux rémunéré
 si tant est que boucher les trous béants d’arrivée de clim par des bouts
de carton et du scotch pour optimiser les flux d’air ne permettent plus de
dégager suffisamment de marge.


Sur la qualité du matériel, je ne me souviens pas avoir dit quoique ce soit
de publique. Mais effectivement, tomber un datacenter redondant avec à
priori des attaques classiques à la vue des commentaires, type d'attaque
qui n'a aucun effet ailleurs, ne dénote pas d'une grande qualité des moyens
techniques en place.




Maintenant que les choses soient claires, en housing, c’était le réseau OVH
et il avait donc la position en tant que gestionnaire du réseau qu’il
m’attribue aujourd’hui. Et pourtant, les protections réseaux (entrant comme
sortant) sont inexistantes en housing. (Que ce soit depuis le réseau OVH ou
depuis d'autres réseaux).

J'ajoute qu'à cette époque, j'avais également proposé de voir se mettre en
place le même type de protection que sur le reste du réseau OVH, et ce,
moyennant finance. Mais ça n'a jamais abouti. On est loin du fantasme du
papa protecteur philanthrope.



Sur l'éthique, je préfère mille fois avoir des clients qui malheureusement
sont à risque, ca, ça ne peut pas s’éviter à chaque fois, que d'avoir des
clients qui floodent ou qui sous-loue des boites à flood.

Car la réalité est la, 3/4 des attaques ne proviennent pas de machines
hackés.
Sur des IP solitaires, je ne peux pas l’affirmer. Sur des IP avec des
netname en VPS, c’est assez simple.
OVH n'est pas le seul au monde à vendre des serveurs pas cher avec une
grosse capa.


La remise en cause peut se faire des deux côtés, et aurait pu être
constructive.




Limiter le traffic sortant et le débrider à la demande, je sais faire et ça
me coute rien.
J’aurais pu admettre qu’avec la taille du réseau OVH, cela ne soit pas ou
plus possible et l’expliquer clairement aurait été plus simple. A la base,
je ne fais pas le même métier, j’apprends un peu sur le tas, je n’étais pas
en housing pour rien.

Quand on se retrouve avec des équipes support ou commerciale qui sont
incapables de nous venir en aide ou de nous expliquer la situation parce
que c’est Octave qui a agi, qu’on ne sait rien, après de nombreuses
relances, oui parfois il n’y a plus que twitter qui fonctionne. A qui la
faute ?


Le redflag, c’est de faire croire que le réseau d’OVH est invulnérable sur
les forums et travaux et qu’en venant chez OVH on est tranquille. Pour sûr,
tous les clients à risques sont éjectés manu militari. C’est sûr qu’il ne
doit pas rester beaucoup de clients mécontents à ce niveau-là.



S’il ne voulait ou ne pouvait pas assumer les attaques à destination de ces
clients, il aurait fallu l’indiquer clairement dans le contrat et ne pas
trouver une excuse « bidon » pour invoquer une clause résolutoire et
m’éjecter du housing.



Pour finir avant Vendredi, je tiens à vous rassurer publiquement, je n’ai
les moyens d’acheter une Porsche et dans l’état actuel des choses, je
gagnerais mieux ma vie en étant équipier à MacDo.



A titre d'information, la situation s'est débloquée le 14 Février vers 4h00
du matin.

A priori, un système d'alerte de ou de filtrage plus agressif a été mit
en place par OVH. (CF travaux).


Je ne sais pas comment clôturer ce long débat/troll/plainte/complainte.
(Rayer les mentions inutiles).

Alors merci à ceux qui m'ont contacté en privé pour me donner des conseils
(que ce soit sur du matériel ou des questions réseaux) ou des contacts et
merci pour ce long échange qui bien qu'avec quelques vagues houleuses, il
en ressort toutes les réponses auxquelles j'avais (et peut-être d'autres)
besoin.


Gurvan.

Le 13 février 2012 22:33, o...@ovh.net a écrit :

 Bonjour,

  Mais pourquoi est à la cible de se protéger

 C'est quand meme fou de lire ça, surtout quand on sait
 que ça fait des années que tes infra se font attaquer
 parce que tu acceptes les clients qui sont border line.
 et même avec tout ce qu'il t'arrive dans ta vie, tu
 n'arrives pas à apprendre et se remettre en question
 puis evoluer/changer ?

 si tu ne sais pas pourquoi encore aujourd'hui bahh
 change de metier. car dans ce metier là uniquement
 ceux qui sont paranos survivent. les autres meurent.

 historiquement, tu as été chez ovh housing. 2009 ? 2010 ?
 et tu avais les attaques qui venait de partout dans le monde.
 1 à 2 par mois un email est ce que tu peux me proteger
 contre cette attaque. combien de 

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Thomas Mangin]

On 16 Feb 2012, at 22:50, Gurvan Rottier-Ripoche wrote:

 
 A titre d'information, la situation s'est débloquée le 14 Février vers 4h00
 du matin.
 

Bonne nouvelle :)

Thomas


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Gurvan Rottier-Ripoche]

Le 17 février 2012 00:56, Thomas Mangin thomas.man...@exa-networks.co.uk a
écrit :

Bonne nouvelle :)

Très :).


Le 16 février 2012 23:42, Guillaume Barrot guillaume.bar...@gmail.com a
écrit :

 De plus ton argument taille des tuyaux est moyen : si tu as 1G pour
quelques dizaines d'euros, et ben stack les liens 1G pour monter à plus de
débit ou achète des mécanismes de protection chez ton transitaire, et
refacture ça à tes clients, mais ne reste pas les bras croisés en attendant
qu'OVH (ou demain Iliad, Orange, etc.) sauve ton infra.

Tu as 1G pour quelques dizaines d'euros sur de la location de serveurs
dédiés.
Sinon je crois qu'on serait tous à plusieurs dizaines de Gbits de capa et
j'aurais stack depuis très longtemps :).


Tout ça pour dire que cette attaque via des serveurs chez OVH, où tu
critiques la réaction d'OVH avec comme argument massue que tu es un petit
hébergeur et OVH un gros est totalement dénué de logique.

L'argument massue, c'est pourquoi 90% des attaques proviennent d'OVH malgré
le fait qu'ils aient 110K de serveurs ?
Trouvez-vous cela logique de sortir 1Gbits pour 60 euros par mois ?
On m'a répondu en détail, j'ai compris, je vais gérer.

J'ai envie de dire Ok et alors ?

Et alors moi je trouve cela aberrant. Maintenant, si c'est la règle, si
c'est comme ça, j'ai également compris et je vais faire en sorte que cela
se passe mieux.

Imagine que demain tu sois attaqué par des serveurs lowcost d'un hébergeur
à Hong Kong ? Tu vas twitter le PDG ?

C'est jamais arrivé car il est plus difficile et compliqué d'avoir un haut
débit via seulement une ou deux IP depuis ce genre de pays :). (Et je parle
pas d'un botnet).

La logique veut qu'on soit bien mieux servi par soi même !

Quand on a l'argent, c'est effectivement pas un problème. On va investir
plus :).

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Michael Hallgren]

Le jeudi 16 février 2012 à 23:50 +0100, Gurvan Rottier-Ripoche a écrit :
 Le 13 février 2012 22:33, o...@ovh.net a écrit :
 
 
 Je tiens également à préciser qu’entre l’annonce publique de faits réels
 qu’il soit apprécié ou non, une pique sur le ton de l’humour pour détendre
 et le ton très sérieux de ta phrase sur la possibilité que je roule en
 Porsche, il y a un pas vers la diffamation que je ne fais pas.
 Je ne parle pas d’ailleurs de ton sympathique tweet.
 https://twitter.com/#!/olesovhcom/status/168760259979116544


Les amis, un suédois innocent bien sur, se demande si nous ne sommes pas
passés un peu hors le cadre prévu de cette liste même en mode
[MISC]... ? ;) Restons dans des discours de principes ! Il y en a à dire
ces jours d'HADOPIx, LOPPSI++ et al... (Pour les autres cas il reste les
tribunaux.. ou bien le bagarre devant le bistrot... selon choix :))

Right? ;)

Cheers,

mh

 
 
 
 Je ne me permettrais pas, par exemple, de justifier la mise en place de
 prise électrique 16A sur des baies 20A par la volonté d’être mieux rémunéré
  si tant est que boucher les trous béants d’arrivée de clim par des bouts
 de carton et du scotch pour optimiser les flux d’air ne permettent plus de
 dégager suffisamment de marge.
 
 
 Sur la qualité du matériel, je ne me souviens pas avoir dit quoique ce soit
 de publique. Mais effectivement, tomber un datacenter redondant avec à
 priori des attaques classiques à la vue des commentaires, type d'attaque
 qui n'a aucun effet ailleurs, ne dénote pas d'une grande qualité des moyens
 techniques en place.
 
 
 
 
 Maintenant que les choses soient claires, en housing, c’était le réseau OVH
 et il avait donc la position en tant que gestionnaire du réseau qu’il
 m’attribue aujourd’hui. Et pourtant, les protections réseaux (entrant comme
 sortant) sont inexistantes en housing. (Que ce soit depuis le réseau OVH ou
 depuis d'autres réseaux).
 
 J'ajoute qu'à cette époque, j'avais également proposé de voir se mettre en
 place le même type de protection que sur le reste du réseau OVH, et ce,
 moyennant finance. Mais ça n'a jamais abouti. On est loin du fantasme du
 papa protecteur philanthrope.
 
 
 
 Sur l'éthique, je préfère mille fois avoir des clients qui malheureusement
 sont à risque, ca, ça ne peut pas s’éviter à chaque fois, que d'avoir des
 clients qui floodent ou qui sous-loue des boites à flood.
 
 Car la réalité est la, 3/4 des attaques ne proviennent pas de machines
 hackés.
 Sur des IP solitaires, je ne peux pas l’affirmer. Sur des IP avec des
 netname en VPS, c’est assez simple.
 OVH n'est pas le seul au monde à vendre des serveurs pas cher avec une
 grosse capa.
 
 
 La remise en cause peut se faire des deux côtés, et aurait pu être
 constructive.
 
 
 
 
 Limiter le traffic sortant et le débrider à la demande, je sais faire et ça
 me coute rien.
 J’aurais pu admettre qu’avec la taille du réseau OVH, cela ne soit pas ou
 plus possible et l’expliquer clairement aurait été plus simple. A la base,
 je ne fais pas le même métier, j’apprends un peu sur le tas, je n’étais pas
 en housing pour rien.
 
 Quand on se retrouve avec des équipes support ou commerciale qui sont
 incapables de nous venir en aide ou de nous expliquer la situation parce
 que c’est Octave qui a agi, qu’on ne sait rien, après de nombreuses
 relances, oui parfois il n’y a plus que twitter qui fonctionne. A qui la
 faute ?
 
 
 Le redflag, c’est de faire croire que le réseau d’OVH est invulnérable sur
 les forums et travaux et qu’en venant chez OVH on est tranquille. Pour sûr,
 tous les clients à risques sont éjectés manu militari. C’est sûr qu’il ne
 doit pas rester beaucoup de clients mécontents à ce niveau-là.
 
 
 
 S’il ne voulait ou ne pouvait pas assumer les attaques à destination de ces
 clients, il aurait fallu l’indiquer clairement dans le contrat et ne pas
 trouver une excuse « bidon » pour invoquer une clause résolutoire et
 m’éjecter du housing.
 
 
 
 Pour finir avant Vendredi, je tiens à vous rassurer publiquement, je n’ai
 les moyens d’acheter une Porsche et dans l’état actuel des choses, je
 gagnerais mieux ma vie en étant équipier à MacDo.
 
 
 
 A titre d'information, la situation s'est débloquée le 14 Février vers 4h00
 du matin.
 
 A priori, un système d'alerte de ou de filtrage plus agressif a été mit
 en place par OVH. (CF travaux).
 
 
 Je ne sais pas comment clôturer ce long débat/troll/plainte/complainte.
 (Rayer les mentions inutiles).
 
 Alors merci à ceux qui m'ont contacté en privé pour me donner des conseils
 (que ce soit sur du matériel ou des questions réseaux) ou des contacts et
 merci pour ce long échange qui bien qu'avec quelques vagues houleuses, il
 en ressort toutes les réponses auxquelles j'avais (et peut-être d'autres)
 besoin.
 
 
 Gurvan.
 
 Le 13 février 2012 22:33, o...@ovh.net a écrit :
 
  Bonjour,
 
   Mais pourquoi est à la cible de se protéger
 
  C'est quand meme fou de lire ça, surtout quand on sait
  que ça fait des années que tes infra se font 

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Tristan Mahé]

Bonsoir tout le monde,

je n'interviens vraiment pas souvent sur FrnoG, beaucoup peuvent en 
témoigner...


Peace les gars ! On es pas la pour se taper dessus mais pour trouver des 
solutions !


Signé le pôv op' dans son coin qui préfererait voir plus de posts [TECH] 
sur frnog que de posts [WAR] mais ça deviens rare ( oui je fais des 
rimes mais il est tard )... Ceci évidemment étant un message subliminal 
( vendredi oblige ! )...


Le 17/02/2012 01:03, Gurvan Rottier-Ripoche a écrit :

Le 17 février 2012 00:56, Thomas Manginthomas.man...@exa-networks.co.uk  a
écrit :


Bonne nouvelle :)

Très :).


Le 16 février 2012 23:42, Guillaume Barrotguillaume.bar...@gmail.com  a
écrit :


De plus ton argument taille des tuyaux est moyen : si tu as 1G pour

quelques dizaines d'euros, et ben stack les liens 1G pour monter à plus de
débit ou achète des mécanismes de protection chez ton transitaire, et
refacture ça à tes clients, mais ne reste pas les bras croisés en attendant
qu'OVH (ou demain Iliad, Orange, etc.) sauve ton infra.

Tu as 1G pour quelques dizaines d'euros sur de la location de serveurs
dédiés.
Sinon je crois qu'on serait tous à plusieurs dizaines de Gbits de capa et
j'aurais stack depuis très longtemps :).



Tout ça pour dire que cette attaque via des serveurs chez OVH, où tu

critiques la réaction d'OVH avec comme argument massue que tu es un petit
hébergeur et OVH un gros est totalement dénué de logique.

L'argument massue, c'est pourquoi 90% des attaques proviennent d'OVH malgré
le fait qu'ils aient 110K de serveurs ?
Trouvez-vous cela logique de sortir 1Gbits pour 60 euros par mois ?
On m'a répondu en détail, j'ai compris, je vais gérer.


J'ai envie de dire Ok et alors ?

Et alors moi je trouve cela aberrant. Maintenant, si c'est la règle, si
c'est comme ça, j'ai également compris et je vais faire en sorte que cela
se passe mieux.


Imagine que demain tu sois attaqué par des serveurs lowcost d'un hébergeur

à Hong Kong ? Tu vas twitter le PDG ?

C'est jamais arrivé car il est plus difficile et compliqué d'avoir un haut
débit via seulement une ou deux IP depuis ce genre de pays :). (Et je parle
pas d'un botnet).


La logique veut qu'on soit bien mieux servi par soi même !

Quand on a l'argent, c'est effectivement pas un problème. On va investir
plus :).

---
Liste de diffusion du FRnOG
http://www.frnog.org/



--
Tristan Mahé
BC
08.25.59.50.59


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Michel Py]

Comme souvent, j'ai bien aimé le billet de Guillaume:

 Guillaume Barrot a écrit:
 2/ il y a une place pour les petits hébergeurs, mais sur des
 marchés de niche : comprendre, ces hébergeurs doivent amener autre
 chose que juste une présence sur le marché. Ils doivent être
 innovants, ou spécialisés.

+1


 3/ le monde de l'hébergement, c'est pas le pays des Bisounours.

D'ailleurs, si tu connais une partie de l'Internet qui fait encore partie du 
pays des Bisounours, merci de me le faire savoir en privé ;-) une planque bien 
peinarde pour la pré-retraire ça commence à avoir de l'allure :P


 Le marché de la sécurité Informatique le prouve, il faut savoir
 se protéger des risques quand on se connecte à Internet

Surtout quand on s'obstine à vouloir garder des clients qui sont des 
paratonnerres à emmerdements.


 Gurvan Rottier-Ripoche a écrit:
 4 - Pour venir sur « internet », il faut un gros tuyau pour
 survivre et virer les clients à risques.
 Et bien de mon point de vu, je trouve cela totalement anormal
 et aberrant.

Toi tu veux le beurre, l'argent du beurre, et le cul de la crémière.

Que ça te plaise ou pas, les geeks de la liste du FRnOG ne gouvernent ni le 
monde ni l'Internet, qui tous les deux continuent à tourner plus ou moins rond 
entraînés par les deux moteurs qui marchent depuis la nuit des temps: le cul et 
le pognon.

Les clients qui attirent les DDOS comme la merde attire les mouches, il faut 
avoir les moyens de se les offrir. Moi, je ne les ais pas, donc je les dégage.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Benjamin BILLON]

3/ le monde de l'hébergement, c'est pas le pays des Bisounours.

D'ailleurs, si tu connais une partie de l'Internet qui fait encore partie du 
pays des Bisounours, merci de me le faire savoir en privé ;-) une planque bien 
peinarde pour la pré-retraire ça commence à avoir de l'allure :P

Bababiz point com, voyons.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Guillaume Mellier]

* Par ailleurs, je serais très très curieux de connaitre l'avis de l'ARCEP
à ce sujet, c'est quand même un conflit qui entre dans les compétences de
l'autorité. *



Pour répondre de manière factuelle :



1°) Sur la forme :

 - un tel sujet rentre a priori dans les compétences de l'ARCEP de
règlement des différends relatifs à des questions d'interconnexion entre
deux opérateurs (à supposer que les acteurs soient des opérateurs), ou
entre un opérateur et un fournisseur de services en ligne (compétence plus
récente, pour laquelle les premiers cas pourront être l'occasion de
dégrossir son contour exact) ;

 - une des parties peut donc saisir l'Autorité, qui tranchera le différend
en équité, au terme d'une instruction contradictoire, sous un délai de
quatre mois (ou de qques jours si il y a atteinte grave et immédiate et que
des mesures conservatoires sont nécessaires, notamment pour *assurer la
continuité du fonctionnement des réseaux*, ce qui semble être un des
sujets discutés ici) ;

 - un préalable à la saisine de l'ARCEP est cependant qu'il y ait eu
négociation entre les deux parties et que celles-ci aient échoué, ce qui ne
semble pas totalement clair ici ;

 - enfin, c'est bien aux acteurs de faire la démarche de saisir l'ARCEP
s'ils estiment que la situation le nécessite (et non pas à l'ARCEP de
s'autosaisir, dès lors que le sujet ne porte pas strictement sur le respect
d'obligations légales ou réglementaires).



2°) Sur le fond :

 - l'ARCEP a pu indiquer dans des recommandations récentes que les
pratiques de gestion du trafic devraient respecter 5 critères : pertinence
(légitimité des motifs, ici la sécurité), efficacité, proportionnalité (qui
semble être le cœur du débat ici), non discrimination et transparence ;

 - il s'agit d'une recommandation, non impérative, mais qui indique
notamment quel serait a priori le raisonnement de l'Autorité si elle était
amenée à devoir trancher un différend relatif à ces questions ;

 - de manière générale, l'Autorité n'a à ma connaissance jamais été
destinataire de remontées significatives concernant des difficultés sur la
mise en œuvre de mesures de protection des réseaux (type blocage de DDoS) ;

 - il ne saurait être question de se prononcer davantage sur le fond en
l'absence d'éléments contradictoires, notamment en l'absence d'expression
de l'opérateur mis en cause (qui s'est néanmoins exprimé depuis), et en
l'absence de saisine.



3°) Une réaction à un élément vu plus loin dans la discussion : ANSSI ou
ARCEP : c'est une bonne question ; il peut exister des procédures d'avis
croisé entre autorités ; saisie d'un différend relatif à la
proportionnalité de mesures anti DDoS, l'ARCEP pourrait utilement demander
un avis de l'ANSSI dans la procédure ; je connais moins bien l'ANSSI mais
je ne suis pas certain qu'elle ait la capacité d'arbitrer des litiges.



A votre disposition pour toute discussion,



Guillaume Mellier

ARCEP


2012/2/13 Jérémy Martin li...@freeheberg.com

 Bonjour,

 J'aurais un avis bien tranché sur la question mais je vais me modérer
 grandement dans mes paroles car nous sommes sur un lieu public.

 Avant toute chose, je considère que dans les échanges entre opérateurs, il
 doit y avoir du respect. On peut respecter OVH par rapport à ce qu'ils sont
 devenu, on peut aussi respecter Gurvan pour ce qu'il construit petit à
 petit. Malheureusement, le respect a disparu des échanges avec Octave
 depuis bien longtemps, et c'est vraiment malheureux.

 Concernant le point de vue technique, nous sommes également victime des
 problématiques d'attaques DOS UDP provenant du réseau d'OVH mais aussi
 d'Online (je suis déjà venu pleurer ici pour cette raison d'ailleurs).

 Le fait est que dans notre monde de réseau giga, il est impératif de
 placer des limites déontologique sur nos réseaux, et d'éviter les coupures
 unilatérales qui bafoue la neutralité du net tel qu'on le voit dans le null
 routage que fait Octave sur son réseau. Nous aussi nous avons notre réseau
 et notre facturation qui explose à chaque fois. Et à chaque fois, le
 service Abuse met 3 heures à bloquer le serveur en face.

 Par ailleurs, je serais très très curieux de connaitre l'avis de l'ARCEP à
 ce sujet, c'est quand même un conflit qui entre dans les compétences de
 l'autorité.

 Pour la suite, la seule solution que nous avons trouvé est de mettre en
 place une community Blackhole avec nos transitaires, mais clairement, ce
 n'est pas une solution parfaitement adapté. Un shapper en sortie du réseau
 d'OVH ou d'Online pour bloquer les flux UDP au delà d'un certain nombre de
 pk/s ou de mb/s serait tellement mieux. Mais les capacités en jeu sont
 tellement élevé qu'OVH ou Online ne feront jamais les investissements pour
 obtenir les équipements permettant de le faire.

 Comme d'habitude, le gros poissons nage tranquillement pendant que le
 petit crève dans les sillons du premier...

 Cordialement,
 Jérémy Martin
 Directeur Technique FirstHeberg.com

 Contacts téléphoniques (Lun-Ven / 

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Alexandre Archambault]

Le 14 févr. 2012 à 09:12, Guillaume Mellier a écrit :

 je connais moins bien l'ANSSI mais je ne suis pas certain qu'elle ait la 
 capacité d'arbitrer des litiges.

Disons que dès lors qu'un acteur est soumis aux dispositions des articles 
L.1332-1 et suivants du Code de la Défense, les préconisations ANSSI peuvent 
primer sur les arbitrages ARCEP.


--
Alec,




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Radu-Adrian Feurdean]

On Tue, 14 Feb 2012 01:02:43 +0100, Jérôme Nicolle jer...@ceriz.fr
said:

 Oui, tu peux leur demander un arbitrage sur un différend commercial,
 dans l'optique d'une résolution amiable. Mais sur une procédure en
 justice, que ce soit commercial, civil ou pénal, il ne me semble pas
 qu'ils soient référents.

Le but n'est il pas precisement d'eviter d'aller en justice ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[gael le borgne]

Moi le seul truc qui m'a un peu, beaucoup choqué :
c'est qui défini, pour dire,   tu héberges des projets limites
juste comme cela au passage :

frontnational.com
 Is Hosted by OVH SAS
 Hosting: OVH SAS host the domain frontnational.com
IP Address: 213.186.33.18 Name Servers: ns.ovh.net, dns.ovh.net

Ce sont  de gens si bien, qui se reclament de la France profonde,.. :) que
je trouve presque en dehors des limites... Octave fait attention a ce que
tu dis parfois avant de donner des jugement, tu manges aussi de ce pain la.
Et moi ma mère elle vendait de pain, ni beurre...;(
Ps : j'ai pris celui car c'est le plus soft ...
Amicalement Gael





2012/2/14 Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net


 On Tue, 14 Feb 2012 01:02:43 +0100, Jérôme Nicolle jer...@ceriz.fr
 said:

  Oui, tu peux leur demander un arbitrage sur un différend commercial,
  dans l'optique d'une résolution amiable. Mais sur une procédure en
  justice, que ce soit commercial, civil ou pénal, il ne me semble pas
  qu'ils soient référents.

 Le but n'est il pas precisement d'eviter d'aller en justice ?


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/




-- 
Solution Open Source Group4
Gaël Le Borgne

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Thomas Mangin]

 Dire qu'il est jugé coupable, c'est un manque de discernement

Je ne suis toujours pas d'accord, et les commentaires sur la liste me font 
penser que j'ai toujours raison mais je n'ai pas envi de trop débattre ce point
je suis mieux luné ce matin :D et ce n'est pas ce qui est important.

Il semble que la situation soit le résultat de plusieurs d'année de problèmes.
Le mail d'Octave n'était pas ce que je m'attendais a voir mais au moins nous 
avons les deux cotés de l'histoire.
( mon argument sur le fonD et la forme .. mais je vais d'abord chercher cette 
poutre).

 Certes, travaux.ovh.com est un élément tout à son honneur, il se trouve
 que ça ne reflète plus la complexité de l'exploitation de son réseau, et
 donc que ce n'est plus suffisamment recevable comme élément de
 transparence. Ca reste louable, mais pas suffisant vu la dépendance
 qu'il crée pour ses très nombreux (au sens compliment) clients.

Pas mon argument, je laisse qui de droit répondre.

 Donc je serais ravi qu'Octave intervienne en me disant que j'ai tord. Ca
 pourrait être fondé, cette fois. Mais d'ici à ce qu'il le fasse, et
 qu'il réponde d'une atteinte grave au fonctionnement du réseau vis à vis
 de ses pairs, tu me pardonnera le raccourci, mais c'est lui qui est en
 tort. Et pas qu'un peu. Tant pour le manque de transparence que pour
 l'atteinte initiale.

Il est clair que comme je l'avais supposé, l'aspect humain est la raison pour 
la solution radicale, pour paraphraser 'j'en ai marre de gérer tes problèmes, 
je ne veux plus te voir' 
Je pense qu'Octave a perdu toute bonne volonté. J'espere seulement qui décidera 
au moins de suivre les conseils de Gurvan et limitera la blackhole aux plages 
de serveurs et pas a tout son réseau.

Thomas


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Thomas Mangin]

On 14 Feb 2012, at 00:02, Jérôme Nicolle wrote:

 Le 13/02/2012 15:48, Thomas Mangin a écrit :
 En Angleterre, l' ISPA a un code de conduite pour la resolution des disputes 
 entre FAI, n'y a-t-il pas la meme chose de ce cote de la Manche ?
 
 Oui, tu peux leur demander un arbitrage sur un différend commercial,
 dans l'optique d'une résolution amiable. Mais sur une procédure en
 justice, que ce soit commercial, civil ou pénal, il ne me semble pas
 qu'ils soient référents.

La plupart des problèmes aboutissant a l'utilisation de la justice peuvent être 
résolus avec l'utilisation d'un médiateur. C'est moins cher, moins lourd, plus 
rapide. 
A ce que dit Guillaume Mellier, l'ARCEP veut aussi que cette communication / 
médiation ai eu lieu.

Tu peux voir cette procédure comme une médiation forcée. Cela suffit a 
débloquer le problème, dans mon cas, juste le menace d'avoir mon problème de 
backhole passe a la mediation a suffit.
Cela permet aussi de collecter les faits, et a les re-disséminer. 

IMHO - dans ce cas, nous sommes un peu plus loin dans la rupture de 
communication mais pas bien loin.

Thomas



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Damien Fleuriot]

On 2/13/12 4:48 PM, Guillaume Esnault wrote:
 Bonjour à tous,
 
 Nous aussi (Digicube) sommes régulièrement la cible de diverses
 tentatives de déni de service. Nous accueillons d'ailleurs pas mal de
 réfugiés d'hébergeurs qui préfères couper le service de leurs clients
 attaqués plutôt que de gérer le problème. Cela nous a couté beaucoup
 d'investissements et nous coute encore en surveillance développement
 mitigation etc...
 
 OVH en est la principale source car c'est simplement le plus gros
 hébergeur d'Europe avec plus de 100K serveurs hébergé. 
 
 La solution la plus simple ne serait elle pas de limiter le nombre de
 pps par serveur ? Sachant que, par exemple, un serveur connecté à 100
 Mbps ou même à 1G ne devrait pas dépasser les 30 Kpps. 
 
 Il n'est pas si difficile non plus d'aller plus loin et de surveiller et
 de faire des statistiques sur l'état des flux. Ex: plus de 3000
 connexions simultanées d'un serveur sur une cible en attente de réponses
 est à coup sûr une tentative de déni de service.
 

Le problème avec ce genre de pratique basée sur de l'analyse
discriminatoire, c'est les faux positifs...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re : [FRnOG] [MISC] L'internet libre et neutre selon OVH

[djo reller]

j'attire votre attention sur la loi citée par Mr Fleuriot qui ne concerne que 
les consommateurs et exclut donc les professionnels utilisant un serveur pour 
des buts commerciaux. La notion de professionnels étant facilement (dans ce 
cas) qualifiable (enfin à mon sens).


j'en profite : késako le pps d'un serveur ? (enfin plus précisément,  que 
signifie cet acronyme? )


J.



 De : Damien Fleuriot m...@my.gd
À : frnog@frnog.org 
Envoyé le : Mardi 14 février 2012 10h30
Objet : Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
 
On 2/13/12 4:48 PM, Guillaume Esnault wrote:
 Bonjour à tous,
 
 Nous aussi (Digicube) sommes régulièrement la cible de diverses
 tentatives de déni de service. Nous accueillons d'ailleurs pas mal de
 réfugiés d'hébergeurs qui préfères couper le service de leurs clients
 attaqués plutôt que de gérer le problème. Cela nous a couté beaucoup
 d'investissements et nous coute encore en surveillance développement
 mitigation etc...
 
 OVH en est la principale source car c'est simplement le plus gros
 hébergeur d'Europe avec plus de 100K serveurs hébergé. 
 
 La solution la plus simple ne serait elle pas de limiter le nombre de
 pps par serveur ? Sachant que, par exemple, un serveur connecté à 100
 Mbps ou même à 1G ne devrait pas dépasser les 30 Kpps. 
 
 Il n'est pas si difficile non plus d'aller plus loin et de surveiller et
 de faire des statistiques sur l'état des flux. Ex: plus de 3000
 connexions simultanées d'un serveur sur une cible en attente de réponses
 est à coup sûr une tentative de déni de service.
 

Le problème avec ce genre de pratique basée sur de l'analyse
discriminatoire, c'est les faux positifs...


---
Liste de diffusion du FRnOG
http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Salim Gasmi]

Bonjour Gurvan,

La vraie question me semble plutôt être : Est ce plus à vous ou à OVH 
de protéger VOS clients ?.


Il me semble pour ma part évident que c'est tout d'abord à l’hébergeur 
qui est payé par ses clients de fournir un hébergement de qualité.
Un hébergement de qualité aujourd’hui sous entend un certain nombre de 
points dont la protection contre les DDOS/flood fait aussi partie.

C'est une réalité technique que personne ne peut plus ignorer.

Il existe aujourd’hui pas mal de solutions techniques plus ou moins 
dispendieuses pour essayer de s'en protéger.
La plupart ont étés déjà présentées ici (flowspec,communautés BGP, 
système de mitigation (Arbor,Corero,...), clean pipe payant,..).
ici à SdV, le budget dédié à la protection DDOS est conséquent (Arbor 
TMS+Peakflow), on aurait préféré utiliser cet argent pour autre chose, 
mais ainsi va la vie, il en va de notre survie.


Ne pas se protéger soi même ses clients est un choix qu'il faut assumer, 
je peux comprendre qu'on fasse l'impasse sur ces protections pour des 
raisons économiques, par contre je comprend moins quand ensuite on 
demande aux autres de le faire à sa place.


En l'absence de législation forçant les AS à nettoyer leur trafic 
sortant, il me semble logique que ce soit fait chez les hébergeurs en 
entrée (qui sont payés par des clients).
Donc, je ne vois pas pourquoi OVH devrait nettoyer son trafic sortant 
pour vous (alors que vous ne le faites pas vous même en entrée).


Pour ce qui est du filtrage entre vos deux réseaux, c'est effectivement 
une mesure technique qui me semble démesurée de la part d'OVH, je vous 
invite à essayer de discuter avec eux pour trouver un compromis plutôt 
que de lancer des polémiques publiques qui n'apaiseront pas le débat.


Mais encore une fois, si vous aviez eu ce qu'il fallait pour vous 
protéger (ou travailler avec des upstreams en ayant la capacité) vous ne 
seriez pas dans cette situation, s'acharner publiquement sur OVH (qui du 
fait de sa position sur le marché sera souvent une source d'attaques) ne 
me parait pas la bonne approche technique ni commerciale.


Cordialement,

Salim


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Thomas Mangin]

 Si un client va dans son cafe local et a chaque fois, se bat et casse une 
 chaise tu crois qu'il sera toujours le bienvenu ?
 
 
 Dans le cas présent, le client se fait tabasser par des skinheads, ça
 va quand même pas être sa faute ?

On sort du sujet. Débattre des analogies n'est pas très constructifs. Tu as 
compris mon point.

Thomas

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Damien Fleuriot]

On 2/14/12 11:11 AM, Thomas Mangin wrote:
 Si un client va dans son cafe local et a chaque fois, se bat et casse une 
 chaise tu crois qu'il sera toujours le bienvenu ?


 Dans le cas présent, le client se fait tabasser par des skinheads, ça
 va quand même pas être sa faute ?
 
 On sort du sujet. Débattre des analogies n'est pas très constructifs. Tu as 
 compris mon point.
 
 Thomas

Nan mais justement, ici encore une fois on pose la victime en coupable,
il se prend une attaque donc:
1/ il l'a bien cherché
2/ bien fait pour sa gueule
3/ on coupe

C'est l'approche standard des hébergeurs.

Encore heureux que ça se passe pas comme ça dans la vraie vie !


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Rémi Bouhl]

Bonjour,

Le 14/02/2012 01:04, Jérôme Nicolle a écrit :

 Le 13/02/2012 17:35, Damien Fleuriot a écrit :
 Dans le cas présent c'est le réseau d'OVH qui véhicule l'attaque alors
 c'est discutable.
 
 Attention au principe de subsidiarité entériné par la LCEN. Les
 transitaires par exemples ne sont pas responsables, et l'hébergeur ne
 l'est que s'il ne permet pas l'identification du fauteur de trouble.


Ça c'est justement le point que je n'arrive pas à comprendre.
Finalement, le méchant fouteur de merde qui devrait se faire tirer les
oreilles, c'est pas l'opérateur X ou Y : c'est l'individu qui loue un
serveur dédié chez OVH et s'en sert pour faire une attaque (D)DOS. C'est
lui qui devrait se retrouver au tribunal.

L'incompétent qui devrait payer les pots cassés, c'est l'administrateur
qui prend un serveur dédié et le laisser relayer du spam ou se faire
véroler bêtement (parce que jamais mis à jour, parce que mot de passe en
carton).. C'est lui qui devrait payer la facture.

Je suis sincèrement étonné que cette approche n'ait pas été évoquée dès
le début sur la liste. Au lieu de chercher des responsables là où il n'y
en a pas.

La neutralité d'Internet, si souvent évoquée, c'est une liberté, qui va
avec la responsabilité. On ne peut pas avoir l'un sans l'autre.

Dit autrement : soit on traite les clients des FAI et hébergeurs comme
des enfants, en leur imposant des règles arbitraires pas neutres et en
s'engueulant sur FRnOG pour savoir si c'est toi ou moi qui embête mes
clients, soit on les traite comme des adultes.

Pour reprendre les analogies déjà évoquées, un adulte qui tue quelqu'un
avec un arc, ou avec une voiture, il a des gros ennuis. Si on veut
laisser tranquille les vendeurs d'arcs et de voitures, il va falloir se
décider à taper sur le vrai responsable.

Le problème, c'est le manque de volonté politique pour responsabiliser
les internautes. C'est peut-être aux opérateurs/hébergeurs de réclamer
une législation lisible, claire, simple, ne changeant pas tous les 6
mois, ne prévoyant pas 36 000 cas particuliers (pour les jeux en ligne,
pour le pédoporno, pour les contrefaçons), et qui leur permette de se
concentrer sur leur boulot et de laisser la justice taper sur les
fouteurs de merde. Garder des logs, garder les coordonnées de qui loue
quoi, fermer un service quand la justice dit de le fermer, point final.

Le jour où le Kevin qui décide de louer un dédié OVH pour embêter du
monde se retrouve avec les gendarmes devant la porte, pas parce que
c'est OVH qui les envoie, mais parce que c'est la Loi, je suis certain
que les attaques se calmeront. On vit dans un état de droit, ou pas ?

Rémi.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Rémi Bouhl]

Bonjour,

Le 13/02/2012 22:33, o...@ovh.net a écrit :


 
 C'est quand meme fou de lire ça, surtout quand on sait
 que ça fait des années que tes infra se font attaquer
 parce que tu acceptes les clients qui sont border line.


[snip]

 en plus le twitter et tout le 
 tralala. de plus, tu commences tranquilement dire que je 
 suis derrier tout ça et que je te cite il est complice
 de ces attaques:
 https://twitter.com/#!/Inulogic_FreeH/status/167757684899188736
 pour quelques heures/jours apres de menaces juridiques.
 https://twitter.com/#!/Inulogic_FreeH/status/168720856623751168


J'avoue ne pas comprendre ce double standard: l'hébergeur est
responsable si ses clients ont une activité qui déplaît à d'autres
internautes, mais n'est pas responsable si ses clients font des Go
d'attaques DDOS ?

Pourtant il me semble qu'un volume de trafic réseau disproportionné est
davantage du ressort de l'hébergeur, que la question de savoir si un
site est border line (Ça veut dire quoi ? Qu'il déplaît à au moins une
personne ?)

Rémi.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Christophe Baegert]

Le 14/02/2012 12:06, Rémi Bouhl a écrit :

 L'incompétent qui devrait payer les pots cassés, c'est l'administrateur
 qui prend un serveur dédié et le laisser relayer du spam ou se faire
 véroler bêtement (parce que jamais mis à jour, parce que mot de passe en
 carton).. C'est lui qui devrait payer la facture.

Il faut dire qu'on a fait croire (pour vendre) qu'un serveur dédié était
administrable par tout le monde. On divise le prix par 2 pour viser les
particuliers, on oublie l'infogérance, on met des robots à la hotline,
coût divisé par 10. Ventes multipliées par 100. Patron riche et content,
mais client incompétent !

Comment s'étonner que le client tombe dans le panneau ? Est-il vraiment
responsable ?

Pour conduire une voiture il faut un permis, pourtant c'est bien plus
simple que gérer un serveur !!!

Cordialement,

Christophe Baegert


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Raphaël Durand]

Le 14/02/2012 12:37, Christophe Baegert a écrit :
 Il faut dire qu'on a fait croire (pour vendre) qu'un serveur dédié était
 administrable par tout le monde. On divise le prix par 2 pour viser les
 particuliers, on oublie l'infogérance, on met des robots à la hotline,
 coût divisé par 10. Ventes multipliées par 100. Patron riche et content,
 mais client incompétent !

 Comment s'étonner que le client tombe dans le panneau ? Est-il vraiment
 responsable ?
A defaut d'un permis, un disclaimer résumé avec des grosses lignes à
valider serait un minimum.
Ou alors un questionnaire sur les connaissances du client comme pour
l'épargne en bourse. Eh oui, même avec son argent on ne fait pas ce
qu'on veut.

Le pire étant quand le locataire d'un serveur se retrouve au poste de
police parce que son serveur piraté a été utilisé pour du DDoS ou du
phishing.
C'est déjà arrivé, ça arrivera encore.

Cordialement.
Raphaël Durand.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Emmanuel Thierry]

Le 14 févr. 2012 à 12:37, Christophe Baegert a écrit :

 Le 14/02/2012 12:06, Rémi Bouhl a écrit :
 
 L'incompétent qui devrait payer les pots cassés, c'est l'administrateur
 qui prend un serveur dédié et le laisser relayer du spam ou se faire
 véroler bêtement (parce que jamais mis à jour, parce que mot de passe en
 carton).. C'est lui qui devrait payer la facture.
 
 Il faut dire qu'on a fait croire (pour vendre) qu'un serveur dédié était
 administrable par tout le monde. On divise le prix par 2 pour viser les
 particuliers, on oublie l'infogérance, on met des robots à la hotline,
 coût divisé par 10. Ventes multipliées par 100. Patron riche et content,
 mais client incompétent !

Tu oublies: L'interface Plesk ou consors qui peut t'administrer toute seule le 
serveur sans que tu ne comprennes à aucun moment ce qu'elle est en train de 
faire...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Jérémy Martin]

Tient, un peu de changement chez OVH :
http://travaux.ovh.net/?do=detailsid=6378

DétailsWe have updated abuse detection filters for some UDP aberrant 
traffic.


Cordialement,
Jérémy Martin


Le 13/02/2012 22:33, o...@ovh.net a écrit :

Bonjour,


Mais pourquoi est à la cible de se protéger

C'est quand meme fou de lire ça, surtout quand on sait
que ça fait des années que tes infra se font attaquer
parce que tu acceptes les clients qui sont border line.
et même avec tout ce qu'il t'arrive dans ta vie, tu
n'arrives pas à apprendre et se remettre en question
puis evoluer/changer ?

si tu ne sais pas pourquoi encore aujourd'hui bahh
change de metier. car dans ce metier là uniquement
ceux qui sont paranos survivent. les autres meurent.

historiquement, tu as été chez ovh housing. 2009 ? 2010 ?
et tu avais les attaques qui venait de partout dans le monde.
1 à 2 par mois un email est ce que tu peux me proteger
contre cette attaque. combien de fois ? je compte pas.
à chaque fois meme pas un merci.

courant 2010/2011, tu as profité de protections contre les
attaques que j'ai mis en place et ça s'est un peu
arreté. debut 2011 c'était quand même bien tranquille.

dans ton cas, les petits rigolos qui n'aiment pas tes
clients qui n'aiment pas les petits rigolos ont decouvert
qu'en hackant un serveur chez ovh, ils peuvent attaquer
à nouveau tes VPS. et depuis sep 2011 ça a repris de plus
beau car en interne je ne gere pas les attaques via le QoS
mais via la mise en rescue du serveur.

fin 2011, les attaques continue et tu commences tranquilement
nous insulter qu'on a de routeurs de merde qui ne tiennent
même pas les attaques et tout ça est gravement scandaleux
que porter plainte, et finir devant le juge etc. ok. je suis
sympa mais quand on me menace, red flag. on te resilie et
tu pars ailleurs. 3 prefix: un avec cogent et 2 avec dedibox.
meme pas de lien direct avec nous. nous cogent on le voit
via dtag via frankfurt ..

et les attaques ? bahh ils continuent toujours à partir
de notre reseau comme avant. les hackeurs vont pas changer
les habitudes. et tu te prends quelques Mbps quelques fois
par mois car tu veux continuer à héberger des projets
border line.

J'ai pas de probleme avec ça mais achete toi des equipements
pour gerer ces attaques. tu as de la chance que le mec qui
gere le reseau qui t'attaque peut regler ton probleme. hier
tu envoies les emails sur abuse@, je regle le probleme et
derriere je voie quoi ? en plus le twitter et tout le
tralala. de plus, tu commences tranquilement dire que je
suis derrier tout ça et que je te cite il est complice
de ces attaques:
https://twitter.com/#!/Inulogic_FreeH/status/167757684899188736
pour quelques heures/jours apres de menaces juridiques.
https://twitter.com/#!/Inulogic_FreeH/status/168720856623751168

moi: red flag !

question: comment je peux moi faire de sort que mon reseau
ne fasse plus jamais les attaques sur ton reseau de maniere
sûr ?

blackhole. c'est ça que j'ai mis en place. j'ai mis en
place exactement ce que j'aurais demandé à mes transits
de faire si je recevais une attaque. ce sont les outils
standard. rien d'extraordinaire. okey, c'est pas très
fin, mais ça marche. le monsieur en face il peut nous
insulter de tous les noms mais ne me dira plus qu'il
recoit les attaques de notre reseau. donc le resultat
est là.

pourquoi sur tout le reseau ? car j'ai aucune information
sur la destination de l'attaque ni pourquoi ni si ça
change ni si c'est la meme IP etc. le monsieur nous
insulte et va partout pour casser du sucre mais jamais
il ne va avoir de demarche constructif pour affiner
ou trouver l'origine du probleme. dans tous les cas il
connait l'origine du probleme mais comme ça lui rapporte
un max alors il n'est pas prêt de changer. pire il va
demander aux autres d'investir dans le matos pour faire
la securité pour lui.

j'ai donc protegé son reseau avec les regles et les
outils que tout le monde utilise sur l'internet. et
avec les moyens que je dispose. c'est brutal, facile,
pas cher mais surtout ça fonctionne. pas d'attaque.

et ? et j'attends que le monsieur en face me dise
c'est bon, j'ai mis ce qu'il faut pour gerer maintenant
les attaques moi meme.

car ce n'est pas à moi de gerer les attaques pour les
autres. on a des outils qui nous permettent de detecter
les attaques. de grosses attaques, pas de petites. je
veux dire 80-90Mbps, pas moins, car moins ça aurait
été de faux positive avec pas mal d'activité de nos
clients. on a aussi les infra qui evoluent. on a par
exemple reçu derrnierement les nouvelles cartes 24x10G
et le netflow ne fonctionne pas super bien. on ne voit
pas tout. peut etre ça va s'améliorer, peut etre pas.

en tout cas, il n'est pas possible de se baser sur sa
propre securité sur les autres reseaux et encore moins
avec de gens qu'on insulte 1 fois par semaine et qu'on
les accuse très facilement de tout et de rien. je veux
bien aider mais si c'est de cette maniere c'est non.

QoS ? il n'est pas possible de garantir une limitation
de 

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Raphael MAUNIER]

Hello,

Vous le savez TOUS que les DDOS peuvent arriver, pourquoi faire l'impasse
sur cette partie, alors que vous savez que cela va vous impacter ? J'ai
vraiment du mal à comprendre.


Tu es obligé d'avoir une infrastructure qui dès le départ est capable de
palier le manque de réactivité de fournisseurs tiers, si tu veux maitriser
ton backbone et tes couts.

Lorsque l'on est passé d'un réseau AS6461 vers AS8218 avec zero meg, nous
avions pensé le réseau avec les contraintes du passage d'un tier-1 vers
un Tier-2 ( capacité vers certains peers et beaucoup de transit au départ )

Nous n'avions pas fait l'impasse sur les éléments d'infrastructure, et
nous avons fais en sorte d'être directement indépendant sur la gestion de
notre trafic. La protection active de notre backbone est un élément que
nous avons mis de coté, et avions décidé dans un premier temps de pouvoir
supporter un gros volume en IN et d'utiliser la fonction blackhole de nos
transitaires de l'époque.

Si tu as une PI, si tu as un AS et si tu es capable d'avoir 2 serveurs
pour faire tes routeurs, je t'invite à immédiatement prendre 2 ports de
transits ( même avec une route par défaut ) , un peu de peering avec en
gros 20k routes pour un petit qui commence (  10k routes sur le RS du
FranceIX). Pour te protéger, tu pourras utiliser la communauté blackhole (
oui ta machine ne sera plus joignable ) de tes opérateurs, filtrer sur le
port en IN de l'IX si tu peer avec le réseau en question ( un gros flood
UDP, c'est assez simple à filtrer même sur un PC )

Lorsque tu te fera attaquer, tu pourra donc contenir les attaques et si tu
as un opérateur qui a des communautés dynamique tu pourra également
utiliser DNA:BADGUY le temps du DOS.

Les protections D/DOS que tu peux souscrire sont principalement utilisées
pour des sites/services que l'on pourrait qualifier de sensible. Ensuite
tu as des mécanismes sur certains routeurs ( des vrais routeurs hein ) qui
te permettent de bloquer les attaques volumétrique non-intelligente,
mais il te faut quoiqu'il en soit la capacité en IN.

Ensuite, la protection D/DOS, Il faut le voir comme une assurance. Si pour
ta voiture / maison , tu n'a rien pendant des années, tu es bien content
lorsque tu as un pb d'avoir ton assurance qui prend tout en charge pour
toi.

Bref, tu veux fournir un service qualité, tu dois malheureusement faire
avec la jungle qui t'entoure. Plus ton infrastructure est autonome, et
plus tu seras pris au sérieux par les gros. C'est malheureux, mais c'est
comme ça.

Ce qui est pénible/dommage , c'est que ton mail a été utilisé pour
alimenter la lutte des classes trop présente sur cette liste.


--
Raphaël Maunier
NEO TELECOMS
CTO / Directeur Ingénierie
AS8218





On 2/13/12 1:49 PM, Gurvan Rottier-Ripoche inulo...@gmail.com wrote:

Bonjour Raphaël,

Oui on a tous de plus en plus de soucis de type DOS ou DDOS.
Mais pourquoi est à la cible de se protéger, de faire en sorte de ne pas
payer le trafic ?
L'attaquant paye son 1G 60/100 euros et la cible 1000/3000 euros.
Forcément la cible n'est pas contente.

Si on reprend ta première étape, il faut arriver à sauter de la location
ou
du housing basique à une solution chère et élaborée.
C'est pas toujours facile.
Prendre un service de protection, c'est bien gentil et surement efficace.
C'est 6 à 15 euros le mbits.
Quand je me mange 900Mbits, je reçois que mes 50/60Mbits de trafic
légitime
mais je paye les 900Mbits.

Il faut devenir indépendant des infrastructures de l'ensemble de vos
opérateurs afin de ne pas être dans ce genre de situation et être bloqué.
La plupart des bon opérateurs gardent leurs clients sur leur capacité de
suivre et conseiller leurs clients, non pas en leur mettant des menottes
au radiateur ...

En effet. Mais il faut aussi que les opérateurs prennent leurs
responsabilités.
Quand tu send 8 abuses en Janvier, 9 abuses en Février, que c'est silence
radio permanent, qu'on te répond en public que tu gères mal ton réseau,
que
tu es un hackeur, que tes équipements encaissent rien, que c'est TA FAUTE,
au bout d'un moment, tu n'en peux plus.

Pour ton exemple avec Softlayer, tu dis te prendre 3 à 4Gbits de flood et
que effectivement, ce n'est pas grand chose pour toi.
Tu rééquilibres si besoin tes liens, tu send un abuse et tu attends que ça
passe.
Tes clients ne sont pas touchés, le réseau tient, tout va bien.
Maintenant, si tu avais que 3 à 4Gbits de capa globale, ça n'irait pas.

J'aurais surement la même pensée si j'avais 2 à 3Gbits, 2 opérateurs etc.
Seulement, pour le moment, ce n'est pas le cas. Mon installation est très
récente, (-2 mois), et une série d¹évènements ont fait que le déménagement
devait se passer en urgence.
On va avoir une seconde fibre, un second opérateur, un routeur potable.
Mais pas avant quelques mois.
En attendant j'encaisse et je paye en silence ?

Pour moi ce n'est pas acceptable et la solution qui a été mise en place
pour solutionner mon problème encore moins.
Je n'ai le problème qu'avec un seul réseau.


Je te 

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Radu-Adrian Feurdean]

On Mon, 13 Feb 2012 21:01:26 +0100, Guillaume Barrot
guillaume.bar...@gmail.com said:

 Michel, tu viens de trouver les agences de notations de l'hebergement ! 
 Nce !

Cote hebergement (web) ca se fait probablement moins, mais cote SMTP, ca
se fait depuis un bail. Je ne parle pas des black-lists, je parle
des boites qui donnent des reputations aux IPs et reseaux


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[oles]

Bonjour,

 Mais pourquoi est à la cible de se protéger

C'est quand meme fou de lire ça, surtout quand on sait
que ça fait des années que tes infra se font attaquer
parce que tu acceptes les clients qui sont border line.
et même avec tout ce qu'il t'arrive dans ta vie, tu
n'arrives pas à apprendre et se remettre en question
puis evoluer/changer ? 

si tu ne sais pas pourquoi encore aujourd'hui bahh 
change de metier. car dans ce metier là uniquement
ceux qui sont paranos survivent. les autres meurent.

historiquement, tu as été chez ovh housing. 2009 ? 2010 ? 
et tu avais les attaques qui venait de partout dans le monde. 
1 à 2 par mois un email est ce que tu peux me proteger 
contre cette attaque. combien de fois ? je compte pas.
à chaque fois meme pas un merci. 

courant 2010/2011, tu as profité de protections contre les
attaques que j'ai mis en place et ça s'est un peu 
arreté. debut 2011 c'était quand même bien tranquille.

dans ton cas, les petits rigolos qui n'aiment pas tes 
clients qui n'aiment pas les petits rigolos ont decouvert 
qu'en hackant un serveur chez ovh, ils peuvent attaquer
à nouveau tes VPS. et depuis sep 2011 ça a repris de plus 
beau car en interne je ne gere pas les attaques via le QoS
mais via la mise en rescue du serveur. 

fin 2011, les attaques continue et tu commences tranquilement
nous insulter qu'on a de routeurs de merde qui ne tiennent 
même pas les attaques et tout ça est gravement scandaleux
que porter plainte, et finir devant le juge etc. ok. je suis
sympa mais quand on me menace, red flag. on te resilie et 
tu pars ailleurs. 3 prefix: un avec cogent et 2 avec dedibox.
meme pas de lien direct avec nous. nous cogent on le voit
via dtag via frankfurt ..

et les attaques ? bahh ils continuent toujours à partir 
de notre reseau comme avant. les hackeurs vont pas changer
les habitudes. et tu te prends quelques Mbps quelques fois
par mois car tu veux continuer à héberger des projets 
border line. 

J'ai pas de probleme avec ça mais achete toi des equipements
pour gerer ces attaques. tu as de la chance que le mec qui 
gere le reseau qui t'attaque peut regler ton probleme. hier
tu envoies les emails sur abuse@, je regle le probleme et
derriere je voie quoi ? en plus le twitter et tout le 
tralala. de plus, tu commences tranquilement dire que je 
suis derrier tout ça et que je te cite il est complice
de ces attaques:
https://twitter.com/#!/Inulogic_FreeH/status/167757684899188736
pour quelques heures/jours apres de menaces juridiques.
https://twitter.com/#!/Inulogic_FreeH/status/168720856623751168

moi: red flag ! 

question: comment je peux moi faire de sort que mon reseau 
ne fasse plus jamais les attaques sur ton reseau de maniere 
sûr ? 

blackhole. c'est ça que j'ai mis en place. j'ai mis en 
place exactement ce que j'aurais demandé à mes transits
de faire si je recevais une attaque. ce sont les outils
standard. rien d'extraordinaire. okey, c'est pas très
fin, mais ça marche. le monsieur en face il peut nous
insulter de tous les noms mais ne me dira plus qu'il
recoit les attaques de notre reseau. donc le resultat
est là. 

pourquoi sur tout le reseau ? car j'ai aucune information 
sur la destination de l'attaque ni pourquoi ni si ça 
change ni si c'est la meme IP etc. le monsieur nous 
insulte et va partout pour casser du sucre mais jamais
il ne va avoir de demarche constructif pour affiner 
ou trouver l'origine du probleme. dans tous les cas il
connait l'origine du probleme mais comme ça lui rapporte
un max alors il n'est pas prêt de changer. pire il va
demander aux autres d'investir dans le matos pour faire
la securité pour lui. 

j'ai donc protegé son reseau avec les regles et les
outils que tout le monde utilise sur l'internet. et
avec les moyens que je dispose. c'est brutal, facile,
pas cher mais surtout ça fonctionne. pas d'attaque.

et ? et j'attends que le monsieur en face me dise
c'est bon, j'ai mis ce qu'il faut pour gerer maintenant
les attaques moi meme. 

car ce n'est pas à moi de gerer les attaques pour les
autres. on a des outils qui nous permettent de detecter
les attaques. de grosses attaques, pas de petites. je
veux dire 80-90Mbps, pas moins, car moins ça aurait
été de faux positive avec pas mal d'activité de nos
clients. on a aussi les infra qui evoluent. on a par
exemple reçu derrnierement les nouvelles cartes 24x10G
et le netflow ne fonctionne pas super bien. on ne voit
pas tout. peut etre ça va s'améliorer, peut etre pas.

en tout cas, il n'est pas possible de se baser sur sa
propre securité sur les autres reseaux et encore moins
avec de gens qu'on insulte 1 fois par semaine et qu'on
les accuse très facilement de tout et de rien. je veux
bien aider mais si c'est de cette maniere c'est non.

QoS ? il n'est pas possible de garantir une limitation
de bande passante vers exterieur lors d'une attaque
vers une destination sur un reseau distribué comme le
notre. et les routeurs ne peuvent pas prendre l'internet
entier dans ses access-list pour faire de trucs 

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Guillaume Barrot]

 Vous le savez TOUS que les DDOS peuvent arriver, pourquoi faire l'impasse
 sur cette partie, alors que vous savez que cela va vous impacter ? J'ai
 vraiment du mal à comprendre.


As always, le poids du meeeuh non, ca peut pas nous arriver a nous, et
quand ca arrive le fameux ah les salops, mon beau reseau tout casse,
le (rayez la mention inutile) fournisseur / partenaire / client m'a menti.
Bon de la part d'un petit hébergeur, encore, j'arrive a le comprendre
(meme si c'est quand meme pas bien).
Mais je connais aussi des gros opérateurs qui fonctionnent de la sorte, et
la pour le coup, au dela de l'acceptable, c'est juste dangereux. Un contrat
n'a jamais protege une infra, une ACL/Firewall/route-map/devnullage si.

Pour en revenir au mecanisme de protection, il me semble qu'au dernier
FRnog, NeoTelecom a presente FlowSpec, qui est tout designe pour repondre a
ce genre de besoin.
La encore, oui c'est a la cible de declencher son mecanisme de defense, et
oui il s'agit de demander a son transitaire / FAI / peer de mettre en place
du filtrage precis lors d'une attaque. Ca soigne le symptome, pas la
maladie, pour ca y abuse@xxx.

Question sur Flowspec (tant qu'on y est) : qui a part Neo a deploye ca ?
Est-ce supporte par d'autres constructeurs que Juniper et ALU ?

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Thomas Mangin]

 Pour en revenir au mecanisme de protection, il me semble qu'au dernier
 FRnog, NeoTelecom a presente FlowSpec, qui est tout designe pour repondre a
 ce genre de besoin.

Problème : C'est seulement supporte chez Juniper et Alcatel.
Je crois que c'est prevu chez cisco ... pour Brocade pas d'idee.

Donc tout le monde ne peux pas s'en servir, mais oui j'aime :D

Thomas


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Jérôme Nicolle]

Le 13/02/2012 16:17, Thomas Mangin a écrit :
 Si étais lui, je ne le ferais pas, il est déjà jugé coupable.

Si tatave vient expliquer que ceux d'en face sont totalement
irresponsable et on mis son infrastructure en péril sans répondre aux
abuse@ ou équivalent, c'est recevable. Même s'il vient plaider le
malentendu.

Ce qui n'est pas recevable, c'est le blackhole arbitraire (jusqu'à
preuve du contraire).

Dire qu'il est jugé coupable, c'est un manque de discernement : il est
parmi les personnes du réseau, en France, avec lesquelles il est le plus
difficile de travailler, pour des raisons purement humaines. Ca n'est
pas pour autant qu'il n'a pas son mot à dire, ça ne remet pas en cause
son talent ou sa réussite, et ça ne suppose en rien qu'il ne sera pas
entendu, puisque c'est précisément son manque de communication eu égard
à son importance sur le marché de l'hosting qui est à l'origine de
toutes critiques ou malentendu.

Certes, travaux.ovh.com est un élément tout à son honneur, il se trouve
que ça ne reflète plus la complexité de l'exploitation de son réseau, et
donc que ce n'est plus suffisamment recevable comme élément de
transparence. Ca reste louable, mais pas suffisant vu la dépendance
qu'il crée pour ses très nombreux (au sens compliment) clients.

Donc je serais ravi qu'Octave intervienne en me disant que j'ai tord. Ca
pourrait être fondé, cette fois. Mais d'ici à ce qu'il le fasse, et
qu'il réponde d'une atteinte grave au fonctionnement du réseau vis à vis
de ses pairs, tu me pardonnera le raccourci, mais c'est lui qui est en
tort. Et pas qu'un peu. Tant pour le manque de transparence que pour
l'atteinte initiale.

Bref toute explication est bonne à entendre, et toute erreur (ou
presque) peut être pardonnée, tant qu'il ne s'enferme pas dans un
silence assourdissant ou seuls les trolls seront entendus.

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Jérôme Nicolle]

Le 13/02/2012 15:48, Thomas Mangin a écrit :
 En Angleterre, l' ISPA a un code de conduite pour la resolution des disputes 
 entre FAI, n'y a-t-il pas la meme chose de ce cote de la Manche ?

Oui, tu peux leur demander un arbitrage sur un différend commercial,
dans l'optique d'une résolution amiable. Mais sur une procédure en
justice, que ce soit commercial, civil ou pénal, il ne me semble pas
qu'ils soient référents.

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Jérôme Nicolle]

Le 13/02/2012 17:35, Damien Fleuriot a écrit :
 Dans le cas présent c'est le réseau d'OVH qui véhicule l'attaque alors
 c'est discutable.

Attention au principe de subsidiarité entériné par la LCEN. Les
transitaires par exemples ne sont pas responsables, et l'hébergeur ne
l'est que s'il ne permet pas l'identification du fauteur de trouble.

Ca, c'est pour la partie attaque? Pas pour la partie blakhole, qui dans
ce cas est du fait d'OVH et pas de son client.

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Michel Py]

 Guillaume Barrot a écrit:
 Michel, tu viens de trouver les agences de notations
 de l'hebergement ! Nce !

 Radu-Adrian Feurdean a écrit:
 Cote hebergement (web) ca se fait probablement moins, mais
 cote SMTP, ca se fait depuis un bail. Je ne parle pas des
 black-lists, je parle des boites qui donnent des reputations
 aux IPs et reseaux

En fait je considère Spamhaus comme une blacklist. Ca fait 10 ans que je m'en 
sers et je n'ai jamais eu de faux positif; j'ai eu plusieurs clients qui ont 
été blacklistés, et chaque fois on a trouvé un merdiciel ou un problème.

Je ne suis pas d'accord avec Guillaume que c'est du bullshit. Je considère 
Spamhaus comme un outil, et je faisais simplement remarquer que, dans une boite 
de taille conséquente, si on ne s'occupe pas des incidents qui y sont listés, 
et vu que dans ce business il y a rarement de la fumée sans feu, les gens vont 
se poser des questions.

La vérité dans la pub: j'ai ouvert un des incidents listés:
http://www.spamhaus.org/sbl/sbl.lasso?query=SBL128991
Et je viens de tester, ça marche, open relay.
Ce n'est pas à l'hébergeur de fixer les machines des clients, par contre ce que 
j'attendrais c'est que une fois le problème connu et confirmé, quelque chose se 
passe pour bloquer. Dans ce cas là, blocage du port 25 en sortie serait la 
chose à faire, en attendant que le client apprenne à configurer un serveur. Et 
non, il n'y a pas besoin d'attendre qu'on ait parlé au client.
Je n'essaie pas de pourrir OVH (je suis pas parfait non plus), mais je redis: 
pour une boite de cette taille, peut mieux faire.


En ce qui concerne la relation entre spam et hébergement, on ne peut pas la 
nier. Le spam va pointer sur une page qui doit être hébergée, et on a affaire 
aux mêmes équipes de margoulins donc même si l'origine du spam est une armée de 
botnets, détecter l'infrastructure sous-jacente est important.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Benjamin BILLON]

Radu-Adrian Feurdean a écrit:
Cote hebergement (web) ca se fait probablement moins, mais
cote SMTP, ca se fait depuis un bail. Je ne parle pas des
black-lists, je parle des boites qui donnent des reputations
aux IPs et reseaux

En fait je considère Spamhaus comme une blacklist.
C'est en effet une blacklist. Plusieurs blacklists, en fait. Après tu 
utilises cette blacklist comme tu le souhaites (rejet immédiat, 
pondération ...), certes.


Radu parlait de systèmes de réputations dont la base est je te connais 
pas, donc tu es suspect. Après un certain temps à envoyer des emails 
avec des taux de hardbounces et de plaintes faibles, la réputation 
commence à apparaitre (en bien) et à s'améliorer. Cette bonne 
réputation permet d'envoyer plus d'emails par jour, plus rapidement, et 
en arrivant mieux en inbox. Parfois même d'afficher les images 
automatiquement quand ce n'est pas le cas par défaut.
C'est aujourd'hui principalement basé sur la réputation de l'adresse IP 
émettrice, ça sera à terme basé sur le domaine de signature DKIM (a 
priori pas encore pour cette année).



Ca fait 10 ans que je m'en sers et je n'ai jamais eu de faux positif; j'ai eu 
plusieurs clients qui ont été blacklistés, et chaque fois on a trouvé un 
merdiciel ou un problème.
Derrière Spamhaus il y a des gens très humains, très bons dans leur 
domaine, très incorruptibles, et très têtus. Conserver une attitude de 
c'est eux les cons n'arrangera jamais l'affaire, mais ils sont 
toujours prêts à discuter.

Et surtout, une fois le problème résolu, ils délistent aussi sec.

Spamhaus, c'est bon, mangez-en.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Jérémy Martin]

Bonjour,

J'aurais un avis bien tranché sur la question mais je vais me modérer 
grandement dans mes paroles car nous sommes sur un lieu public.


Avant toute chose, je considère que dans les échanges entre opérateurs, 
il doit y avoir du respect. On peut respecter OVH par rapport à ce 
qu'ils sont devenu, on peut aussi respecter Gurvan pour ce qu'il 
construit petit à petit. Malheureusement, le respect a disparu des 
échanges avec Octave depuis bien longtemps, et c'est vraiment malheureux.


Concernant le point de vue technique, nous sommes également victime des 
problématiques d'attaques DOS UDP provenant du réseau d'OVH mais aussi 
d'Online (je suis déjà venu pleurer ici pour cette raison d'ailleurs).


Le fait est que dans notre monde de réseau giga, il est impératif de 
placer des limites déontologique sur nos réseaux, et d'éviter les 
coupures unilatérales qui bafoue la neutralité du net tel qu'on le voit 
dans le null routage que fait Octave sur son réseau. Nous aussi nous 
avons notre réseau et notre facturation qui explose à chaque fois. Et à 
chaque fois, le service Abuse met 3 heures à bloquer le serveur en face.


Par ailleurs, je serais très très curieux de connaitre l'avis de l'ARCEP 
à ce sujet, c'est quand même un conflit qui entre dans les compétences 
de l'autorité.


Pour la suite, la seule solution que nous avons trouvé est de mettre en 
place une community Blackhole avec nos transitaires, mais clairement, ce 
n'est pas une solution parfaitement adapté. Un shapper en sortie du 
réseau d'OVH ou d'Online pour bloquer les flux UDP au delà d'un certain 
nombre de pk/s ou de mb/s serait tellement mieux. Mais les capacités en 
jeu sont tellement élevé qu'OVH ou Online ne feront jamais les 
investissements pour obtenir les équipements permettant de le faire.


Comme d'habitude, le gros poissons nage tranquillement pendant que le 
petit crève dans les sillons du premier...


Cordialement,
Jérémy Martin
Directeur Technique FirstHeberg.com

Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30)
Standard : 09 72 125 539 (tarif local)
Ligne directe : 03 66 72 03 42
Mail : j.martin AT freeheberg.com
Web : http://www.firstheberg.com


Le 12/02/2012 23:07, Gurvan Rottier-Ripoche a écrit :

Bonjour,

Ceci n'est pas un mail pour venir pleurer/troller sur OVH mais plutôt pour
prendre des conseils et chercher à comprendre.


Notre réseau est régulièrement la cible d'attaques depuis des machines OVH.
Indifféremment depuis des serveurs hackés participant dans des botnets que
depuis des serveurs clients légitimes qui réalisent des attaques ciblés
notamment via des offres low-cost jetables.
Je fais de nombreux report à leur service abuse qui intervient dans des
délais raisonnables.

La période des vacances a démarré et très souvent, c'est une
grande effervescence de ce type d'attaques.
Nous avons reçu plusieurs attaques ce Dimanche 12 Février 2012 allant
jusqu'a 900Mbits depuis 9 serveurs OVH. (A relativiser avec notre 95
percentile de 100Mbits).
J'ai twitté Octave pour lui faire part de mon mécontentement du fait du
nombre important d'attaques en une journée.

A chaque fois ses réponses sont virulentes (très proches de la diffamation)
et fermés à la discussion :
C'est pas mon problème.
Tu as une activité de hackeur.
C'est à toi de gérer ton réseau.

Alors que je suis la cible dans cette histoire et que je ne vois pas
comment agir...
De notre côté, nous appliquons des restrictions entrantes et sortantes mais
ces nombreuses attaques ont des répercussions sur le coût du trafic entrant
en amont de notre réseau.
Notre fournisseur de transit nous fait payer malgré tout le coût de
l'attaque et c'est logique.
Ces attaques dépassent parfois de beaucoup (pratiquement x10) l'usage
normal de notre bande passante.


Ce que je ne comprend pas, c'est qu'OVH disposent bien de mécanismes de
protections mais uniquement sur son trafic entrant.
Par contre, ils n'appliquent pas les mêmes mécaniques en sens inverse pour
éviter ou limiter les attaques sortantes de leur réseau.

Comme seule solution, aujourd'hui suite à mes reports, Octave impose un
blocage total entre nos deux réseaux.
Cela gène nombre de mes clients qui ne peuvent plus opérer de redondance,
simplement communiquer envers les deux réseaux (plus de DNS, SQL etc...) et
moi-même qui ne peut plus du tout accéder aux services d'OVH que j'utilise
également. (Ne serait-ce que le site OVH.COM...).
J'imagine également que les clients ADSL d'OVH ne peuvent plus accéder à
l'ensemble de mes services.

Qu'en pensez-vous ?
Un fournisseur d'accès a-t-il le droit de bloquer comme cela une partie du
trafic internet, portant atteinte à la neutralité d'internet et aux
recommandations de l'ARCEP sur la transparence et la non-discrimination des
flux.
Les mesures prises me semblent disproportionnées.
Quelles sont les solutions que vous appliquez sur vos réseaux ?
Avez-vous déjà eu ce type de problème ?

Cordialement, Gurvan.

---
Liste de diffusion du 

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Raphael MAUNIER]

Bonjour,


Vous voyez tous de plus en plus des soucis de type D/DOS et autres
cochonneries qui pourrissent vos réseaux et je ne vois pas de mesure mise
en place pour palier le manque de réactivité des opérateurs qui sont la
source de vos maux. Il faut se mettre à l'évidence. L'unité de mesure
n'est plus le port FE mais un minimum de 1G. On va me dire que bla bla bla
les gros, les petits bla bla, mais bon c'est un fait, il va falloir penser
à upgrader un peu.

Dans le cas présent, c'est une chance que l'attaque provienne d'une seule
source et donc facilement contrôlable. Dans le cas, ou le réseau est une
PI sur un autre AS et donc en ayant qu'une latitude très mince sur
l'influence du routage, il ne faut pas s'attendre à mieux.

Pour ne pas citer Softlayer, on se prend régulièrement des DOS de plus de
3/4Gig en provenance de leur réseau et ils doivent répondre environ 1 fois
sur 10. Bon d'accord, pour nous 3/4G ce n'est pas grand chose, mais c'est
tout de même pénible quand ça vous balance tout ça sur un seul point
d'échange ou vous frôlez la capacité maximale du port juste pour du bruit.

Première étape, mise en place de routeurs permettant d'avoir plusieurs
transitaires, des routeurs capable de filtrer une partie. Trouver une
méthode avec OVH pour ne pas avoir à payer le surplus de transit ( mise en
place d'une session de peering sur X ou Y ), acheter des boitiers qui
savent filtrer ( attention ça coute un peu de pognon ), prendre un service
de protection chez un opérateur X ou Y, choisir un opérateur avec des
communautés digne de ce nom. Sur la place, il y en a des dizaines qui
savent le faire. Alors franchement pourquoi s'en priver.

Il faut devenir indépendant des infrastructures de l'ensemble de vos
opérateurs afin de ne pas être dans ce genre de situation et être bloqué.
La plupart des bon opérateurs gardent leurs clients sur leur capacité de
suivre et conseiller leurs clients, non pas en leur mettant des menottes
au radiateur ...

C'est la nouvelle tendance pour 2012, il serait fort regrettable de ne pas
s'y pencher afin de ne pas s'essouffler à ne combattre que des moulins à
vent. Je ne cherche pas à défendre les gros, mais juste à montrer qu'il
faut avant tout se préparer pour pouvoir survivre. Internet ce n'est pas
un monde de bisounours.


--
Raphaël Maunier
NEO TELECOMS
CTO / Directeur Ingénierie
AS8218






On 2/13/12 9:32 AM, Jérémy Martin li...@freeheberg.com wrote:

Bonjour,

J'aurais un avis bien tranché sur la question mais je vais me modérer
grandement dans mes paroles car nous sommes sur un lieu public.

Avant toute chose, je considère que dans les échanges entre opérateurs,
il doit y avoir du respect. On peut respecter OVH par rapport à ce
qu'ils sont devenu, on peut aussi respecter Gurvan pour ce qu'il
construit petit à petit. Malheureusement, le respect a disparu des
échanges avec Octave depuis bien longtemps, et c'est vraiment malheureux.

Concernant le point de vue technique, nous sommes également victime des
problématiques d'attaques DOS UDP provenant du réseau d'OVH mais aussi
d'Online (je suis déjà venu pleurer ici pour cette raison d'ailleurs).

Le fait est que dans notre monde de réseau giga, il est impératif de
placer des limites déontologique sur nos réseaux, et d'éviter les
coupures unilatérales qui bafoue la neutralité du net tel qu'on le voit
dans le null routage que fait Octave sur son réseau. Nous aussi nous
avons notre réseau et notre facturation qui explose à chaque fois. Et à
chaque fois, le service Abuse met 3 heures à bloquer le serveur en face.

Par ailleurs, je serais très très curieux de connaitre l'avis de l'ARCEP
à ce sujet, c'est quand même un conflit qui entre dans les compétences
de l'autorité.

Pour la suite, la seule solution que nous avons trouvé est de mettre en
place une community Blackhole avec nos transitaires, mais clairement, ce
n'est pas une solution parfaitement adapté. Un shapper en sortie du
réseau d'OVH ou d'Online pour bloquer les flux UDP au delà d'un certain
nombre de pk/s ou de mb/s serait tellement mieux. Mais les capacités en
jeu sont tellement élevé qu'OVH ou Online ne feront jamais les
investissements pour obtenir les équipements permettant de le faire.

Comme d'habitude, le gros poissons nage tranquillement pendant que le
petit crève dans les sillons du premier...

Cordialement,
Jérémy Martin
Directeur Technique FirstHeberg.com

Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30)
Standard : 09 72 125 539 (tarif local)
Ligne directe : 03 66 72 03 42
Mail : j.martin AT freeheberg.com
Web : http://www.firstheberg.com


Le 12/02/2012 23:07, Gurvan Rottier-Ripoche a écrit :
 Bonjour,

 Ceci n'est pas un mail pour venir pleurer/troller sur OVH mais plutôt
pour
 prendre des conseils et chercher à comprendre.


 Notre réseau est régulièrement la cible d'attaques depuis des machines
OVH.
 Indifféremment depuis des serveurs hackés participant dans des botnets
que
 depuis des serveurs clients légitimes qui réalisent des attaques ciblés

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Thomas Mangin]

 3) Pourquoi devrais-je demander à souscrire une option qui coûte 2 à 5 fois
 le prix normal de mon transit pour me protéger du principal hébergeur
 français ?

OVH ou pas n'est pas la question. Avoir des DDOS de manière régulière est le 
problème.
Si le client est une destination de DDOS, il doit être prêt a payer (un peu 
plus) pour que son service reste en ligne. Ce n'est pas idéal mais un fait.
Soit tu vires tes clients qui sont la source de tes problèmes de DDOS, soit ils 
ont une valeur financière pour toi et tu achetes de la capa pour eux.

 6) Octave est réactif sur son twitter et il le dit lui-même.

Il n'est plus coopératif avec toi, donc tu lui casse du sucre sur le dos sur un 
ML publique.
Je ne suis pas sur que demain il va vouloir t'aider plus.

 Quand un botnet d'une centaines d'ip attaque un serveur web avec 1500 sites
 sur le port search-agent, j'ai du mal à comprend qui est visé.

1500 site sur une IP. C'est RIPE qui doit être content :D

 Cet opérateur ne joue pas le jeu de la neutralité, c'est tout à fait le
 problème.

soupir, encore la neutralite !

 A la rigueur, bloquer mes 3 ranges vers les ranges de ses dédiés, pourquoi
 pas.
 Bloquer sur la backbone, c'est démesuré.

Bon point mais pas le bon endroit pour le faire IMHO.

 Je gère une partie de mes produits (plus de 2000) via l'api d'OVH. Mon
 serveur de gestion n'y a plus accès.

Il te faut donc un proxy avec CONNECT quelque part. :D
Tu nous liste les conséquences du blocage - je compatis.

 Elle est ou la neutralité que vante OVH ?
 Elle est ou la recommandation de l'ARCEP ?

Je suis content de voir que L'ARCEP est aussi la. Citer la neutralité du net 
sans l'ARCEP dans le même mail c'est  incomplet.

 Ce problème dépasse de loin mes quelques perturbations que je peux avoir.
 Il démontre qu'un gros opérateur peut sans problème, sans discussion,
 censurer et bloquer des petits à la suite d'un désaccord.

Oui. Je me reserve le droit de le faire aussi. C'est dans mon contrat avec mes 
clients.
Si mes clients n'aiment pas mes choix, ils peuvent partir.

 Je n'ai pas fait ce mail pour que Octave débloque mes pools (je crains que
 la situation n’évolue pas avant quelques temps),

Nous sommes bien d'accord.

 mais pour avoir des avis
 et attirer l'attention sur des problématiques que n'importe quel petit
 hébergeur pourrait avoir.

Tu as le mien - désolé, si je ne brosse pas dans le sens du poil :)

Thomas

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Jérôme Nicolle]

Le 13/02/2012 05:49, Yann Dufour a écrit :
 a) O** c'est quand même ± 530Gbps en upstream vers Internet. Supposons
 qu'ils ont un ratio 1/4, et donc qu'ils ont ± 130Gbps en downstream
 depuis Internet. Mettre en œuvre des règles anti DDOS pour 130Gbps, c'est
 déjà assez conséquent en terme de ressources machines. Je vous laisse
 imaginer pour 660Gbps !

Gros réseau, gros problèmes. C'est pas une excuse pour depeerer des
concurrents par flemme.

En droit commercial, ça relève de l'abus de position dominante et de la
concurrence déloyale.

On pourrait d'ailleurs argumenter que ne pas filtrer les attaques en
sortie, alors qu'il n'y a pas d'impossibilité technique (suffit de
filtrer en amont sur le réseau), c'est déjà en soi un comportement
irresponsable...



-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Jérôme Nicolle]

Le 13/02/2012 12:45, Thomas Mangin a écrit :
 Il n'est plus coopératif avec toi, donc tu lui casse du sucre sur le dos sur 
 un ML publique.
 Je ne suis pas sur que demain il va vouloir t'aider plus.

Tu trouves normal que la santé du réseau et le business d'un hébergeur
dépende de la bonne volonté et des hormones d'Octave ? Tu crois qu'il
réagirait comment si on depeerait le nid à merde qu'est devenu AS16276 ?


-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Jérémy Martin]

J'hallucine quand je te lis Thomas.
T'es mal luné ou quoi ? T'a jamais été petit un jour ?

Et en plus tu dirige un IX ? Bah bravo ! Belle mentalité d'échange et 
d'entraide !


Cordialement,
Jérémy Martin
Directeur Technique FirstHeberg.com

Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30)
Standard : 09 72 125 539 (tarif local)
Ligne directe : 03 66 72 03 42
Mail : j.martin AT freeheberg.com
Web : http://www.firstheberg.com

Le 13/02/2012 13:01, Thomas Mangin a écrit :

En droit commercial, ça relève de l'abus de position dominante et de la
concurrence déloyale.


soupir.

Thomas


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Sebastien WILLEMIJNS]

On Mon, Feb 13, 2012, at 13:07, Jérémy Martin wrote:
 J'hallucine quand je te lis Thomas.
 T'es mal luné ou quoi ? T'a jamais été petit un jour ?
 
 Et en plus tu dirige un IX ? Bah bravo ! Belle mentalité d'échange et 
 d'entraide !

Réglement de compte à OK FRNOG ? on est même pas dredi...

les hébergeurs n'ont pas de clauses bon père de famille oups bon
admin bienveillant sur des 
ouailles de CPU/mémoire/HD/OS ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Gurvan Rottier-Ripoche]

En fait non.
Il peut s'agir d'un simple message sur un forum, une discussion sur msn
etc...
Bref les batailles des cours de récrés.

J'ai du VPS qui flood parfois oui.
Il y a 2 VM de sécu qui se baladent et nagios qui send un warning à 50Mbits
30Kpps (avec escalade).
Quand on un petit et qu'on paye la BP, on évite que son réseau flood
justement.
On a justement pas mal travaillé l'aspect sécurité et surveillance suite à
quelques tensions avec notre ancien prestataire housing il y a un an.

Comme je disais sur un autre message, je traite personnellement tout les
abuses, je remercie et j'informe de l'action.

pourquoi OVH devrait le faire, alors que techniquement ça ne leur pose pas
de problème de les garder ? 

Parce que techniquement, c'est eux qui attaquent ?
Sous prétexte qu'un de mes clients va sortir sur le forum minecraft d'un
concurrent un coup de : Ton serveur il est nul, vous êtes tous des c... etc.
Et que derrière le serveur de jeu du client se fait allumer par un flood,
ça va être ma faute ? Je dois gérer mon réseau ?
Je dois surveiller l'activité perso de tout mes clients ?

Non. Je surveille mon réseau. J'interviens quand je vois une activité
anormale. Dans le cas ou je ne le vois pas, il y a nagios qui vient se
faire entendre. Si quelque chose passe les filtres, un abuse, on traite, on
répond.
J'ai peut-être que 30 serveurs mais 600 VPS.
600 VPS qui ne dépassent pas 50Mbits en heure de pointe.

Dans le cas d'ovh, il est compréhensible qu'ils ne peuvent pas surveiller
tout les serveurs. (Enfin, ils fournissent à chaque serveur des graphs
MRTG...).
Mais quand on s'en plaint sur twitter de s'être mangé 3 attaques depuis 9
serveurs OVH en 4H, plutôt que de nullroute le réseau de la victime sans
raison, un simple échange de mail est possible je pense.
Comme justification, on a Gère ton réseau et après on se reparle.
Je le gère justement mon réseau :).

Stephane Bortzmeyer bortzme...@nic.fr

Le terme diffamation a un sens précis en droit et ne s'applique que
lorsque c'est public (et je ne trouve pas ces messages sur le flux
Twitter d'@olesovhnet donc je suppose qu'ils étaient privés)..

Ils sont publics justement et accessible si on regarde les conversations de
olesovhcom.
C'est d'autant plus désagréable de ne pas avoir de discussion possible.

Bienvenue dans le capitalisme démocratique. Je le résume en deux
mots : le gros a tous les droits (capitalisme), le petit ne peut que
se plaindre sur Frnog (démocratie).

Oui mais le gros indique être respectueux, neutre, fait des grands discours
avec Wikileaks et blabla.
Il y a contradiction pour moi.

Là, je prends des pincettes car les problèmes mettant en jeu la
sécurité du réseau sont justement l'un des cas où même un fervent
défenseur de la neutralité (moi, par exemple) admet qu'il faut bien
prendre des mesures.

Ce n'est pas une mesure justement.
Réseau OVH attaque réseau XXX. Alors réseau OVH nullroute réseau XXX.
Aujourd'hui c'est moi XXX. Demain c'est qui XXX ?

Julien Richer jul...@ywigo.fr via frnog.org

Donc sur ce type d'activité, il faut soit avoir les moyens (rajout de
CISCO ASA en amont par exemple, mais impossible chez dedibox), soit
s'abstenir.
Au niveau d'un client dedibox ce n'est pas déjà drôle, mais au niveau
d'un petit hébergeur ça doit être encore plus frustrant

Ce n'est pas le problème. L'attaque de plus de 900 mbits n'a pas impacté
nos clients.
Le monitoring interne (nagios) et externe (abo pingdom) n'a relevé aucune
perte.
Ça a impacté mon 95 percentile de manière significative.

Ce n'est pas parce que mes équipements ont absorbés les attaques qu'on doit
courber l'échine en attendant que l'orage passe. Car l'orage il peut
revenir très souvent si on ne fait rien.
Je peux mettre un firewall ou dire au frontal de drop tout le trafic
UDP. Ça va protéger le reste oui, mais je vais payer la bande passante.

On vous fait peut-être rigoler avec nos débits minimes mais le trafic a un
coût non négligeable pour les petits.
Le problème revient plusieurs fois par mois, et toujours le même...


Le 13 février 2012 02:16, Benjamin BILLON bbil...@splio.fr a écrit :


  Une partie de mes clients sont des jeunes qui semble jouer parfois à
 la gueguerre.

 Autrement dit, tes clients attaquent des machines, notamment chez OVH.
 Détectes-tu les flood et scan initiés depuis ton réseau ? Les
 filtres/bloques-tu ?
 Si non, c'est un juste retour de bâton que tu te prends. Tes clients ne
 respectant pas les conditions d'utilisation de ton réseau (je m'avance un
 peu en supposant que le piratage n'est pas autorisé) s'attaquent à un
 réseau plus gros et plus fort que le tient, et mettent en danger la
 fiabilité du service fournit à tes clients respectueux.
 Si tu ne veux pas les virer pour des questions d'argent (un client est un
 client), pourquoi OVH devrait le faire, alors que techniquement ça ne leur
 pose pas de problème de les garder ?

 Je n'encense pas OVH, et j'ai même tendance à dire qu'ils proposent
 certains services par dessous la jambe 

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Jérôme Nicolle]

Thomas,

Le 13/02/2012 13:13, Thomas Mangin a écrit :
 Salut Jerome,
 
 Il n'existe aucune loi qui oblige une connexion (peering/transit) entre deux 
 réseaux privés.
 Tu es libre de depeerer AS16276 pour forcer le traffic via transit. Tu peux 
 même acheter ton transit la ou cela leur fera mal a porte feuille.

Abus de langage de ma part, je pensais blackholing total, pas juste
depeering en fait.

Par contre, bloquer les préfixes d'un concurrent en dehors du cas très
spécifique de préservation du réseau face à un danger ponctuel, c'est au
mieux une agression commerciale

 Si ton model commercial depend de la bonne volonté d'OVH, bon courage, mais 
 si tu as un problème avec eux il ne faut pas te plaindre sur FRnOG.
 (Il en va de meme pour tout autre réseau).

OVH donne les moyens à n'importe qui de lancer des attaques stupides et
massives. Leur responsabilité est à minima d'y mettre un terme
rapidement quand on leur signale un problème. Je parle de préservation
du réseau, pas d'une procédure à la cease and desist, trop longue pour
les problèmes d'exploit réseau. C'est juste le boulot de abuse@.

Mais on parle pas juste d'une attaque par un client d'OVH là, on parle
bien d'OVH qui décide de blakholer tout un réseau en continu. C'est une
décision prise, soit de façon irresponsable sans en mesurer les
conséquences, soit en pleine connaissance de cause pour tuer le gêneur.

C'est juste ce point là qui me pose un problème : cet incident montre
qu'OVH est soit un dangereux monopoliste et est prêt à tuer toute
concurrence sur son chemin, dans quel cas on est tous la cible
potentielle de son courroux, ou alors c'est juste un abruti
irresponsable qui as la main sur un réseau trop important pour lui.

 Comme il n'y a aucune chance pour que nous trouvions un terrain d'entente sur 
 ce sujet, je vais simplement me retirer de cette discussion.

Comme tu veux, mais c'est quand même grave, la situation qui est
décrite, je pense qu'il vaut mieux suivre le déroulé.

Notes bien, pour l'instant on a qu'un coté de l'histoire. M'est avis
qu'on aura pas l'autre point de vue ici même, donc il n'y a même pas de
débat possible : si Gurvan a bien relaté les faits, alors on (les
opérateurs) a pas le droit de laisser passer.


-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Thomas Mangin]

Salut Jeremy,

Je suis peut-etre mal luné - c'est bien possible, mais c'est surtout que j'en 
ai un peu marre de voir les gens se plaindre sure FRnOG. 
Les références a la neutralité du net et a l'ARCEP quand les gens n'ont pas ce 
qu'ils veulent m'exaspèrent !

Pour information, je suis toujours petit, pour le trafic je passe 
approximativement 350 Mb en pointe dans la journée. 

Mes intercos ont été des liens GB depuis 2004, quand j'avais bien moins de 100 
Mb de traffic total.
J'avais a l'époque 2x100Mb de commit, car c'était le seul moyen d'avoir une 
connexion GB, et tout ca pour avoir de la capa pour gérer les DDOS. Et en 9 
ans, j'ai eu le droit a deux DDOS - la seconde il y a moins de trois mois avec 
une attaque en PPS vers un de nos clients DSL qui m'a fait assez mal avant que 
nous la bloquions. 

Pour clarification, je ne dirige pas un IX, je suis un des directeur élu de 
deux points d'exchanges et je ne cache pas mes opinions (comme tu peux le voir).
Je n'ai rien contre aider. J'ai bien dis que je compatissais mais dis moi 
comment cette thread va aider qui que soi STP ?

Tout ce qui a ete fait, c'est de casser du sucre sur le dos d'OVH (avec 
lesquels je n'ai aucune relation commerciale)

Je deplore donc l'attitude de la liste en general.

Nous avons seulement la moitié d'une histoire.  Si il y a un effectivement un 
problème avec les gestion des DDOS d'OVH cette conversation n'a rien apporte - 
elle a seulement envenime les choses. OVH ne repondra pas sur cette liste, je 
les comprends, car cela serai pour eux une perte de temps.

Je suis toujours pour un dialogue aboutissant a une amelioration d'un status 
quo, mais nous en sommes loin.

J'espere que ca clarifie ma position.

Thomas

On 13 Feb 2012, at 12:07, Jérémy Martin wrote:

 J'hallucine quand je te lis Thomas.
 T'es mal luné ou quoi ? T'a jamais été petit un jour ?
 
 Et en plus tu dirige un IX ? Bah bravo ! Belle mentalité d'échange et 
 d'entraide !
 
 Cordialement,
 Jérémy Martin
 Directeur Technique FirstHeberg.com
 
 Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30)
 Standard : 09 72 125 539 (tarif local)
 Ligne directe : 03 66 72 03 42
 Mail : j.martin AT freeheberg.com
 Web : http://www.firstheberg.com
 
 Le 13/02/2012 13:01, Thomas Mangin a écrit :
 En droit commercial, ça relève de l'abus de position dominante et de la
 concurrence déloyale.
 
 soupir.
 
 Thomas
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Gurvan Rottier-Ripoche]

Bonjour Raphaël,

Oui on a tous de plus en plus de soucis de type DOS ou DDOS.
Mais pourquoi est à la cible de se protéger, de faire en sorte de ne pas
payer le trafic ?
L'attaquant paye son 1G 60/100 euros et la cible 1000/3000 euros.
Forcément la cible n'est pas contente.

Si on reprend ta première étape, il faut arriver à sauter de la location ou
du housing basique à une solution chère et élaborée.
C'est pas toujours facile.
Prendre un service de protection, c'est bien gentil et surement efficace.
C'est 6 à 15 euros le mbits.
Quand je me mange 900Mbits, je reçois que mes 50/60Mbits de trafic légitime
mais je paye les 900Mbits.

Il faut devenir indépendant des infrastructures de l'ensemble de vos
opérateurs afin de ne pas être dans ce genre de situation et être bloqué.
La plupart des bon opérateurs gardent leurs clients sur leur capacité de
suivre et conseiller leurs clients, non pas en leur mettant des menottes
au radiateur ...

En effet. Mais il faut aussi que les opérateurs prennent leurs
responsabilités.
Quand tu send 8 abuses en Janvier, 9 abuses en Février, que c'est silence
radio permanent, qu'on te répond en public que tu gères mal ton réseau, que
tu es un hackeur, que tes équipements encaissent rien, que c'est TA FAUTE,
au bout d'un moment, tu n'en peux plus.

Pour ton exemple avec Softlayer, tu dis te prendre 3 à 4Gbits de flood et
que effectivement, ce n'est pas grand chose pour toi.
Tu rééquilibres si besoin tes liens, tu send un abuse et tu attends que ça
passe.
Tes clients ne sont pas touchés, le réseau tient, tout va bien.
Maintenant, si tu avais que 3 à 4Gbits de capa globale, ça n'irait pas.

J'aurais surement la même pensée si j'avais 2 à 3Gbits, 2 opérateurs etc.
Seulement, pour le moment, ce n'est pas le cas. Mon installation est très
récente, (-2 mois), et une série d’évènements ont fait que le déménagement
devait se passer en urgence.
On va avoir une seconde fibre, un second opérateur, un routeur potable.
Mais pas avant quelques mois.
En attendant j'encaisse et je paye en silence ?

Pour moi ce n'est pas acceptable et la solution qui a été mise en place
pour solutionner mon problème encore moins.
Je n'ai le problème qu'avec un seul réseau.


Je te remercie de tes réponses et de ton avis particulièrement détaillé.

Gurvan.


Le 13 février 2012 09:54, Raphael MAUNIER rmaun...@neotelecoms.com a
écrit :

 Bonjour,


 Vous voyez tous de plus en plus des soucis de type D/DOS et autres
 cochonneries qui pourrissent vos réseaux et je ne vois pas de mesure mise
 en place pour palier le manque de réactivité des opérateurs qui sont la
 source de vos maux. Il faut se mettre à l'évidence. L'unité de mesure
 n'est plus le port FE mais un minimum de 1G. On va me dire que bla bla bla
 les gros, les petits bla bla, mais bon c'est un fait, il va falloir penser
 à upgrader un peu.

 Dans le cas présent, c'est une chance que l'attaque provienne d'une seule
 source et donc facilement contrôlable. Dans le cas, ou le réseau est une
 PI sur un autre AS et donc en ayant qu'une latitude très mince sur
 l'influence du routage, il ne faut pas s'attendre à mieux.

 Pour ne pas citer Softlayer, on se prend régulièrement des DOS de plus de
 3/4Gig en provenance de leur réseau et ils doivent répondre environ 1 fois
 sur 10. Bon d'accord, pour nous 3/4G ce n'est pas grand chose, mais c'est
 tout de même pénible quand ça vous balance tout ça sur un seul point
 d'échange ou vous frôlez la capacité maximale du port juste pour du bruit.

 Première étape, mise en place de routeurs permettant d'avoir plusieurs
 transitaires, des routeurs capable de filtrer une partie. Trouver une
 méthode avec OVH pour ne pas avoir à payer le surplus de transit ( mise en
 place d'une session de peering sur X ou Y ), acheter des boitiers qui
 savent filtrer ( attention ça coute un peu de pognon ), prendre un service
 de protection chez un opérateur X ou Y, choisir un opérateur avec des
 communautés digne de ce nom. Sur la place, il y en a des dizaines qui
 savent le faire. Alors franchement pourquoi s'en priver.

 Il faut devenir indépendant des infrastructures de l'ensemble de vos
 opérateurs afin de ne pas être dans ce genre de situation et être bloqué.
 La plupart des bon opérateurs gardent leurs clients sur leur capacité de
 suivre et conseiller leurs clients, non pas en leur mettant des menottes
 au radiateur ...

 C'est la nouvelle tendance pour 2012, il serait fort regrettable de ne pas
 s'y pencher afin de ne pas s'essouffler à ne combattre que des moulins à
 vent. Je ne cherche pas à défendre les gros, mais juste à montrer qu'il
 faut avant tout se préparer pour pouvoir survivre. Internet ce n'est pas
 un monde de bisounours.


 --
 Raphaël Maunier
 NEO TELECOMS
 CTO / Directeur Ingénierie
 AS8218






 On 2/13/12 9:32 AM, Jérémy Martin li...@freeheberg.com wrote:

 Bonjour,
 
 J'aurais un avis bien tranché sur la question mais je vais me modérer
 grandement dans mes paroles car nous sommes sur un lieu public.
 
 Avant toute 

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Thomas Mangin]

 Abus de langage de ma part, je pensais blackholing total, pas juste
 depeering en fait.
 
 Par contre, bloquer les préfixes d'un concurrent en dehors du cas très
 spécifique de préservation du réseau face à un danger ponctuel, c'est au
 mieux une agression commerciale

Je ne suis pas sur ce cela soit une agression commerciale, mais a moins de 
mettre le cas devant un juge, il est dur de se prononcer, et que cela serait 
plutôt du cas par cas.
Je vais donc passer.

 Si ton model commercial depend de la bonne volonté d'OVH, bon courage, mais 
 si tu as un problème avec eux il ne faut pas te plaindre sur FRnOG.
 (Il en va de meme pour tout autre réseau).
 
 OVH donne les moyens à n'importe qui de lancer des attaques stupides et
 massives. Leur responsabilité est à minima d'y mettre un terme
 rapidement quand on leur signale un problème. Je parle de préservation
 du réseau, pas d'une procédure à la cease and desist, trop longue pour
 les problèmes d'exploit réseau. C'est juste le boulot de abuse@.

Pas de désaccord en principe en pratique ce n'est pas toujours aussi simple.

 Mais on parle pas juste d'une attaque par un client d'OVH là, on parle
 bien d'OVH qui décide de blakholer tout un réseau en continu. C'est une
 décision prise, soit de façon irresponsable sans en mesurer les
 conséquences, soit en pleine connaissance de cause pour tuer le gêneur.

Oui, c'est une grosse mesure, ce que me fait penser qu'elle n'a pas été prise a 
la légère et que nous n'avons pas tout les fait.

 C'est juste ce point là qui me pose un problème : cet incident montre
 qu'OVH est soit un dangereux monopoliste et est prêt à tuer toute
 concurrence sur son chemin, dans quel cas on est tous la cible
 potentielle de son courroux, ou alors c'est juste un abruti
 irresponsable qui as la main sur un réseau trop important pour lui.

Je pense surtout que le sociétés sont gérés pas des humains avec des réactions 
humaines.
Je ne sais pas pourquoi cette décision a été prise donc je passe encore.

 Comme il n'y a aucune chance pour que nous trouvions un terrain d'entente 
 sur ce sujet, je vais simplement me retirer de cette discussion.

DOH !

 Comme tu veux, mais c'est quand même grave, la situation qui est
 décrite, je pense qu'il vaut mieux suivre le déroulé.

Je suis d'accord que c'est un cas a déplorer.

 Notes bien, pour l'instant on a qu'un coté de l'histoire. M'est avis
 qu'on aura pas l'autre point de vue ici même, donc il n'y a même pas de
 débat possible : si Gurvan a bien relaté les faits, alors on (les
 opérateurs) a pas le droit de laisser passer.

C'est mon problème, des conclusions sont tirées, OVH est pendu publiquement, 
sans tous les fait.

Thomas


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Radu-Adrian Feurdean]

On Mon, 13 Feb 2012 12:59:07 +0100, Jérôme Nicolle jer...@ceriz.fr
said:

 Tu crois qu'il réagirait comment si on depeerait le nid à merde qu'est devenu 
 AS16276 ?

Avec un grand HA HA HA ?
Il faut beaucoup plus que ca pour un reseau de la taille d'OVH.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Damien Fleuriot]

On 2/13/12 1:49 PM, Gurvan Rottier-Ripoche wrote:
 J'aurais surement la même pensée si j'avais 2 à 3Gbits, 2 opérateurs etc.
 Seulement, pour le moment, ce n'est pas le cas. Mon installation est très
 récente, (-2 mois), et une série d’évènements ont fait que le déménagement
 devait se passer en urgence.
 On va avoir une seconde fibre, un second opérateur, un routeur potable.
 Mais pas avant quelques mois.
 En attendant j'encaisse et je paye en silence ?
 
 Pour moi ce n'est pas acceptable et la solution qui a été mise en place
 pour solutionner mon problème encore moins.
 Je n'ai le problème qu'avec un seul réseau.



En droit français, auquel OVH est soumis, celui qui cause un tort à un
tiers lui doit réparation.

Attendu qu'OVH t'occasionne une surfacturation importante de transit, tu
serais en mesure de les assigner au tribunal pour qu'ils payent le surplus.

Tu pourrais, de plus, obtenir la suppression du filtre qui a été mis en
place, au motif que ça nuit fortement à ton activité.



Te positionnant en tant que plaignant, tu aurais la charge de la preuve.

Pour le transit c'est assez facile à prouver pour peu que ton
fournisseur de transit joue le jeu et te fournisse les graphs qui vont bien:
- graph de trafic en temps normal
- graph correspondant à une attaque
- tu fais le delta entre les 2 et tu obtiens la dépense que tu as dû
supporter à cause d'OVH

Pour le blocage pur, simple et abusif, c'est plus difficile de prouver
que ça impacte ton activité, et chiffrer les dommages.



Dans tous les cas, il s'agit de batailles juridiques longues, coûteuses,
mais également potentiellement risquées.




Alternativement tu peux essayer de contacter l'ARCEP et leur demander
leurs recommendations.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Gurvan Rottier-Ripoche]

@ Thomas Mangin thomas.man...@exa-networks.co.uk

On est pas vendredi et pour moi, c'est un sujet très sérieux.

Quand la destination du flood c'est un serveur web, le port search-agent
(1234), le port 22, l'ip de gestion d'un esxi, je vais dire à l'ensemble de
mes clients :
Va falloir payer plus car on se fait attaquer depuis le réseau XXX et qu'il
faut qu'on se protège.

Si les attaques étaient équilibrés en terme de
opérateur/fournisseur/presta différent, pas de problème.
Comme tu dis, ce n'est pas idéal mais on ferait avec.
Quand c'est du 90% (voir 95), un seul et unique réseau, c'est un problème.

 6) Octave est réactif sur son twitter et il le dit lui-même.

Je lui casse pas du sucre sur le dos. (Enfin en un sens, on peut le voir
comme ça il est vrai mais ce n'est pas le but).
Je lui reproche la manière de fonctionner sur certains types de problèmes.
Notamment les attaques étant donné qu'il est en charge, au niveau le plus
haut, de tout le réseau.
Comme le dit Jeremy Martin, Octave a battit un super truc, c'est grand,
c'est beau, bien fait et félicitation à lui. Je le respecte, je lui ai
jamais mal parlé même si ça chauffe.

Mais écraser des petits sous des prétextes obscurs (car je ne vois aucune
justification dans les twit envoyés), ce n''est pas bien.

 Bon point mais pas le bon endroit pour le faire IMHO.
Tout ce qui a ete fait, c'est de casser du sucre sur le dos d'OVH

C'est ce que toi tu penses.

Je n'ai pas posté ce mail pour le faire réagir (il ne lira ni le mail, ni
vos réponses), j'ai posté ce mail pour comprendre, avoir des avis et faire
bouger les choses ? (Pas forcément que pour moi).
Je présente les faits, ma problématique et mon incompréhension.

Demain Free bloque le réseau XXX pour un désaccord, je serais le premier à
venir dire que c'est pas normal.

Je suis toujours pour un dialogue aboutissant a une amelioration d'un
status quo, mais nous en sommes loin.

Donc en résumé, je n'aurais jamais du poster ici et je faisais quoi ?
Je me créé tout un système de proxy pour outrepasser ce blocage ?
Je me tais et courbe le dos devant un géant sous prétexte que je n'ai ni
les qualifications pour m'en sortir seul, ni les
moyens financiers d'engager une armée de juriste ?

C'est mon problème, des conclusions sont tirées, OVH est pendu
publiquement, sans tous les fait.

Je n'ai pas tiré de conclusion. On sait tous que Octave est un sang-chaud
et que la politique de discussion avec lui est loin d'être toujours ouverte.
OVH c'est pas Octave Klaba et stop.
Libre à lui d'envoyer quelqu'un pour discuter si il n'est pas disponible.

---
@ Damien Fleuriot m...@my.gd via frnog.org


Pour le fait d'aller jusqu'au tribunal, j'espère tout de même que j'y suis
encore loin, voir très loin :).

Gurvan.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Thomas Mangin]

On 13 Feb 2012, at 14:28, Damien Fleuriot wrote:

 En droit français, auquel OVH est soumis, celui qui cause un tort à un
 tiers lui doit réparation.

Absolument, le client d'OVH, la personne qui commence ces DDOS est responsable 
pour un surcout de bande passante par son acte (criminel ?).

 Attendu qu'OVH t'occasionne une surfacturation importante de transit, tu
 serais en mesure de les assigner au tribunal pour qu'ils payent le surplus.

Ca, j'en doute fortement mais IMNAL.

 Tu pourrais, de plus, obtenir la suppression du filtre qui a été mis en
 place, au motif que ça nuit fortement à ton activité.

Ca surement.

 Te positionnant en tant que plaignant, tu aurais la charge de la preuve.
 
 Pour le transit c'est assez facile à prouver pour peu que ton
 fournisseur de transit joue le jeu et te fournisse les graphs qui vont bien:
 - graph de trafic en temps normal
 - graph correspondant à une attaque
 - tu fais le delta entre les 2 et tu obtiens la dépense que tu as dû
 supporter à cause d'OVH

Mais je ne suis pas d'accord pour les mêmes raisons, mais si ta suggestion 
marche je vais facturer Daily Motion.
Ses serveurs attaquent mes clients tous les jours :D :D

Encore une fois, ce n'est pas OVH qui attaque..

 Pour le blocage pur, simple et abusif, c'est plus difficile de prouver
 que ça impacte ton activité, et chiffrer les dommages.

Je ne vois pas pourquoi.

 Dans tous les cas, il s'agit de batailles juridiques longues, coûteuses,
 mais également potentiellement risquées.

+1

 Alternativement tu peux essayer de contacter l'ARCEP et leur demander
 leurs recommendations.

En Angleterre, l' ISPA a un code de conduite pour la resolution des disputes 
entre FAI, n'y a-t-il pas la meme chose de ce cote de la Manche ?

Thomas


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Antoine Drochon]

Hello,

On 2/13/12 3:28 PM, Damien Fleuriot m...@my.gd wrote:

Alternativement tu peux essayer de contacter l'ARCEP et leur demander
leurs recommendations.

AMHA, ça serait plus adapté de frapper aux portes de l'ANSSI ?

Antoine



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Raphaël Durand]

Bonjour à tous.

C'est un sujet sérieux, sorte de cas d'école, qui peut intéresser
beaucoup de monde. Ne prenons pas ça à la légère comme une simple
complainte.

Qu'un IDS ou qu'un applicatif bloque un host selon des règles
automatiques et pour une raison sérieuse, cela se passe à chaque instant
sur le réseau et cela est accepté par tout le monde.

Mais qu'un opérateur se permette de bloquer sur son backbone deux /23
sans raison suffisante, c'est beaucoup moins anodin.


Le 13/02/2012 13:57, Thomas Mangin a écrit :
 Oui, c'est une grosse mesure, ce que me fait penser qu'elle n'a pas
 été prise a la légère et que nous n'avons pas tout les fait.
Octave étant présent sur cette liste, rien ne l'empêche de donner sa
version des faits.

 C'est mon problème, des conclusions sont tirées, OVH est pendu publiquement, 
 sans tous les fait.
Première conséquence : Ovh se vantait, à raison jusque là, de fournir un
aspect respectueux de la neutralité du Net. Ce n'est plus le cas.
Deuxième conséquence, la perte de confiance, indispensable dans une
relation commerciale.
Comment travailler avec un opérateur qui peut vous blackholer à tout
instant et sans autre forme de procès ?
Au delà de l'aspect juridique, OVH doit rendre des comptes à ses
clients. Personnellement je me suis fait un avis.

 Je pense surtout que le sociétés sont gérés pas des humains avec des 
 réactions humaines.
 Je ne sais pas pourquoi cette décision a été prise donc je passe encore.
Non, les sociétés sont soumises au lois et aux usages impartiaux pour
éviter qu'une réaction humaine ne vienne causer un trop grand trouble.
Evoluer dans un réseau implique de travailler avec des pairs plus ou
moins gros et d'obtenir un respect mutuel entre chacun d'entre eux.

Si vous préférez que ça reste le Far West, ne vous étonnez pas de voir
le croque mort venir prendre vos mesures.

Cordialement
Raphaël Durand


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Thomas Mangin]

On 13 Feb 2012, at 14:40, Gurvan Rottier-Ripoche wrote:

 Quand la destination du flood c'est un serveur web, le port search-agent
 (1234), le port 22, l'ip de gestion d'un esxi, je vais dire à l'ensemble de
 mes clients :
 Va falloir payer plus car on se fait attaquer depuis le réseau XXX et qu'il
 faut qu'on se protège.

Oui.

 Si les attaques étaient équilibrés en terme de
 opérateur/fournisseur/presta différent, pas de problème.

A ce que je comprends, OVH a une part tres importante des serveurs francais.
Tu vois une attaques vers ton clients car tes client (Francais) se mettent a 
dos d'autres Francais, qui vont acheter un VPS chez un vendeur Francais, et il 
se trouve qu'OVH a un produit qu'ils utilisent.

 Comme tu dis, ce n'est pas idéal mais on ferait avec.
 Quand c'est du 90% (voir 95), un seul et unique réseau, c'est un problème.

Quel est la part de marche d'OVH sur les serveurs VPS ? 80% ?

 6) Octave est réactif sur son twitter et il le dit lui-même.
 
 Je lui casse pas du sucre sur le dos. (Enfin en un sens, on peut le voir
 comme ça il est vrai mais ce n'est pas le but).

Le font et la forme.. souvent la forme est plus importante (je viens de me 
faire attaquer sur cette liste pour cette raison).

 Je lui reproche la manière de fonctionner sur certains types de problèmes.
 Notamment les attaques étant donné qu'il est en charge, au niveau le plus
 haut, de tout le réseau.

Cependant ce n'est pas son boulot, tu ferais mieux d'essayer de contacter la 
personne en charge d'abuse a OVH et re-essayer d'établir une nouvelle ligne de 
communication.

 Comme le dit Jeremy Martin, Octave a battit un super truc, c'est grand,
 c'est beau, bien fait et félicitation à lui. Je le respecte, je lui ai
 jamais mal parlé même si ça chauffe.

:)

 Mais écraser des petits sous des prétextes obscurs (car je ne vois aucune
 justification dans les twit envoyés), ce n''est pas bien.

Je n'ai pas lu le tweet. Mais 140 chars ca me parait court pour débattre 
quelque chose comme un probleme de DDOS.

  Bon point mais pas le bon endroit pour le faire IMHO.
 Tout ce qui a ete fait, c'est de casser du sucre sur le dos d'OVH
 
 C'est ce que toi tu penses.
 
 Je n'ai pas posté ce mail pour le faire réagir (il ne lira ni le mail, ni
 vos réponses), j'ai posté ce mail pour comprendre, avoir des avis et faire
 bouger les choses ? (Pas forcément que pour moi).
 Je présente les faits, ma problématique et mon incompréhension.

Octave a repondu sur cette liste dans le passe, et je suis sur que quelqu'un a 
OVH (si ce n'est pas lui) lit cette discussion.

 Demain Free bloque le réseau XXX pour un désaccord, je serais le premier à
 venir dire que c'est pas normal.

Ca m'est arrive quand j'ai démarré Exa, nul route de mon reseau avec RTBL,  
j'ai aussi crie tres fort mais pas sur une ML.

 Je suis toujours pour un dialogue aboutissant a une amelioration d'un
 status quo, mais nous en sommes loin.
 
 Donc en résumé, je n'aurais jamais du poster ici et je faisais quoi ?

Prends ton telephone, et essaye d'avoir une conversation avec le NOC / service 
abuse de OVH.

 Je me créé tout un système de proxy pour outrepasser ce blocage ?

clairement pas !

 Je me tais et courbe le dos devant un géant sous prétexte que je n'ai ni
 les qualifications pour m'en sortir seul, ni les
 moyens financiers d'engager une armée de juriste ?

Tu peux foutre dehors les clients que tu as qui te coutent plus cher qu'ils ne 
te rapportent.

 C'est mon problème, des conclusions sont tirées, OVH est pendu
 publiquement, sans tous les fait.
 
 Je n'ai pas tiré de conclusion.

C'est vrai pas toi - d'autre oui.

 On sait tous que Octave est un sang-chaud

soupir ... 

 et que la politique de discussion avec lui est loin d'être toujours ouverte.
 OVH c'est pas Octave Klaba et stop.

x2

 Libre à lui d'envoyer quelqu'un pour discuter si il n'est pas disponible.

Libre a toi d'essayer de trouver un meilleur interlocuteur aussi :)

 ---
 @ Damien Fleuriot m...@my.gd via frnog.org
 
 Pour le fait d'aller jusqu'au tribunal, j'espère tout de même que j'y suis
 encore loin, voir très loin :).

La seule chose que cela va vraiment faire, c'est engraisser les avocats.

Bon courage. J'espere que tu arriveras a une resolution rapidement.

Thomas


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Damien Fleuriot]

On 2/13/12 3:48 PM, Thomas Mangin wrote:
 
 On 13 Feb 2012, at 14:28, Damien Fleuriot wrote:
 
 En droit français, auquel OVH est soumis, celui qui cause un tort à un
 tiers lui doit réparation.
 
 Absolument, le client d'OVH, la personne qui commence ces DDOS est 
 responsable pour un surcout de bande passante par son acte (criminel ?).
 
 Attendu qu'OVH t'occasionne une surfacturation importante de transit, tu
 serais en mesure de les assigner au tribunal pour qu'ils payent le surplus.
 
 Ca, j'en doute fortement mais IMNAL.
 
 Tu pourrais, de plus, obtenir la suppression du filtre qui a été mis en
 place, au motif que ça nuit fortement à ton activité.
 
 Ca surement.
 
 Te positionnant en tant que plaignant, tu aurais la charge de la preuve.

 Pour le transit c'est assez facile à prouver pour peu que ton
 fournisseur de transit joue le jeu et te fournisse les graphs qui vont bien:
 - graph de trafic en temps normal
 - graph correspondant à une attaque
 - tu fais le delta entre les 2 et tu obtiens la dépense que tu as dû
 supporter à cause d'OVH
 
 Mais je ne suis pas d'accord pour les mêmes raisons, mais si ta suggestion 
 marche je vais facturer Daily Motion.
 Ses serveurs attaquent mes clients tous les jours :D :D
 
 Encore une fois, ce n'est pas OVH qui attaque..
 

De mon point de vue, OVH vend un service, et c'est via leur service que
le dommage est occasionné.




 Pour le blocage pur, simple et abusif, c'est plus difficile de prouver
 que ça impacte ton activité, et chiffrer les dommages.
 
 Je ne vois pas pourquoi.
 

Bah c'est jamais trop évident quand même, d'estimer le nombre de clients
d'OVH qui ne peuvent accéder au service de Gurvan, et le dommage
résultant ;)


 Dans tous les cas, il s'agit de batailles juridiques longues, coûteuses,
 mais également potentiellement risquées.
 
 +1
 
 Alternativement tu peux essayer de contacter l'ARCEP et leur demander
 leurs recommendations.
 
 En Angleterre, l' ISPA a un code de conduite pour la resolution des disputes 
 entre FAI, n'y a-t-il pas la meme chose de ce cote de la Manche ?
 
 Thomas
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Damien Fleuriot]

On 2/13/12 3:49 PM, Antoine Drochon wrote:
 Hello,
 
 On 2/13/12 3:28 PM, Damien Fleuriot m...@my.gd wrote:
 
 Alternativement tu peux essayer de contacter l'ARCEP et leur demander
 leurs recommendations.
 
 AMHA, ça serait plus adapté de frapper aux portes de l'ANSSI ?
 
 Antoine
 

Bonne suggestion :)

Dans tous les cas, je me demande si Stéphane ne serait pas + apte à nous
renseigner sur ce genre de point...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[MM]

Le 13 févr. 2012 à 16:34, Damien Fleuriot a écrit :
 Mais je ne suis pas d'accord pour les mêmes raisons, mais si ta suggestion 
 marche je vais facturer Daily Motion.
 Ses serveurs attaquent mes clients tous les jours :D :D
 
 Encore une fois, ce n'est pas OVH qui attaque..
 
 
 De mon point de vue, OVH vend un service, et c'est via leur service que
 le dommage est occasionné.

Et ?
Moi je vends des arcs pour faire du tir à l'arc ... si tu dégommes quelqu'un 
avec, ce n'est pas mon problème (mais bien le tien).


Mathieu

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Damien Fleuriot]

On 2/13/12 4:46 PM, MM wrote:
 Le 13 févr. 2012 à 16:34, Damien Fleuriot a écrit :
 Mais je ne suis pas d'accord pour les mêmes raisons, mais si ta suggestion 
 marche je vais facturer Daily Motion.
 Ses serveurs attaquent mes clients tous les jours :D :D

 Encore une fois, ce n'est pas OVH qui attaque..


 De mon point de vue, OVH vend un service, et c'est via leur service que
 le dommage est occasionné.
 
 Et ?
 Moi je vends des arcs pour faire du tir à l'arc ... si tu dégommes quelqu'un 
 avec, ce n'est pas mon problème (mais bien le tien).
 
 
 Mathieu

Dans le cas présent c'est le réseau d'OVH qui véhicule l'attaque alors
c'est discutable.


Prennons le cas d'une voiture.

1/ tu achètes une voiture, tu crée un accident, tu es responsable.

2/ tu achètes à une société un service de location voiture+chauffeur,
s'ensuit un accident, c'est la société de service qui est responsable.

Dans le cas d'OVH, je pense qu'on se rapproche plus du second cas.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Damien Fleuriot]

On 2/13/12 3:40 PM, Gurvan Rottier-Ripoche wrote:
 ---
 @ Damien Fleuriot m...@my.gd via frnog.org
 
 
 Pour le fait d'aller jusqu'au tribunal, j'espère tout de même que j'y suis
 encore loin, voir très loin :).
 


Go go exposer le problème à maître eolas ;)

Ca pourrait être intéressant d'avoir son avis la dessus.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[alex M]

[FRnOG] [MISC] L'internet libre et neutre selon OVH = Je pensais que
ça parlerais de l'accès ADSL OVH soit disant pas bridé sur les 3
DSLAMs de Roubaix et nulle part ailleurs car passage en collecte
SFR/Orange. Mais non. C'est con mais je vois pas le rapport avec le
titre du post.

Aprés ok Oles t'as répondu à coté et sechement sur Twitter. M'enfin il
est joignable, les russes de sibérie c'est une autre histoire...

2012/2/12 Gurvan Rottier-Ripoche inulo...@gmail.com:
 Bonjour,

 Ceci n'est pas un mail pour venir pleurer/troller sur OVH mais plutôt pour
 prendre des conseils et chercher à comprendre.


 Notre réseau est régulièrement la cible d'attaques depuis des machines OVH.
 Indifféremment depuis des serveurs hackés participant dans des botnets que
 depuis des serveurs clients légitimes qui réalisent des attaques ciblés
 notamment via des offres low-cost jetables.
 Je fais de nombreux report à leur service abuse qui intervient dans des
 délais raisonnables.

 La période des vacances a démarré et très souvent, c'est une
 grande effervescence de ce type d'attaques.
 Nous avons reçu plusieurs attaques ce Dimanche 12 Février 2012 allant
 jusqu'a 900Mbits depuis 9 serveurs OVH. (A relativiser avec notre 95
 percentile de 100Mbits).
 J'ai twitté Octave pour lui faire part de mon mécontentement du fait du
 nombre important d'attaques en une journée.

 A chaque fois ses réponses sont virulentes (très proches de la diffamation)
 et fermés à la discussion :
 C'est pas mon problème.
 Tu as une activité de hackeur.
 C'est à toi de gérer ton réseau.

 Alors que je suis la cible dans cette histoire et que je ne vois pas
 comment agir...
 De notre côté, nous appliquons des restrictions entrantes et sortantes mais
 ces nombreuses attaques ont des répercussions sur le coût du trafic entrant
 en amont de notre réseau.
 Notre fournisseur de transit nous fait payer malgré tout le coût de
 l'attaque et c'est logique.
 Ces attaques dépassent parfois de beaucoup (pratiquement x10) l'usage
 normal de notre bande passante.


 Ce que je ne comprend pas, c'est qu'OVH disposent bien de mécanismes de
 protections mais uniquement sur son trafic entrant.
 Par contre, ils n'appliquent pas les mêmes mécaniques en sens inverse pour
 éviter ou limiter les attaques sortantes de leur réseau.

 Comme seule solution, aujourd'hui suite à mes reports, Octave impose un
 blocage total entre nos deux réseaux.
 Cela gène nombre de mes clients qui ne peuvent plus opérer de redondance,
 simplement communiquer envers les deux réseaux (plus de DNS, SQL etc...) et
 moi-même qui ne peut plus du tout accéder aux services d'OVH que j'utilise
 également. (Ne serait-ce que le site OVH.COM...).
 J'imagine également que les clients ADSL d'OVH ne peuvent plus accéder à
 l'ensemble de mes services.

 Qu'en pensez-vous ?
 Un fournisseur d'accès a-t-il le droit de bloquer comme cela une partie du
 trafic internet, portant atteinte à la neutralité d'internet et aux
 recommandations de l'ARCEP sur la transparence et la non-discrimination des
 flux.
 Les mesures prises me semblent disproportionnées.
 Quelles sont les solutions que vous appliquez sur vos réseaux ?
 Avez-vous déjà eu ce type de problème ?

 Cordialement, Gurvan.

 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Michel Py]

 Thomas Mangin a écrit:
 Tu peux foutre dehors les clients que tu as qui
 te coutent plus cher qu'ils ne te rapportent.

+1


 Raphael MAUNIER a écrit:
 Je ne cherche pas à défendre les gros, mais juste à montrer qu'il
 faut avant tout se préparer pour pouvoir survivre. Internet ce
 n'est pas un monde de bisounours.

+1


Quand on est petit, on ne peut pas faire grand-chose contre ce genre d'attaque. 
Pour survivre, il faut impérativement faire 2 choses:

1. Se débarrasser des clients qui sont des aimants à emmerdes; on pourra dire 
tout ce qu'on voudra, les attaques n'arrivent pas au hasard; à part héberger un 
site politiquement sensible comme récemment le Sénat, on se prend des attaques 
sur la gueule généralement parce qu'on héberge quelqu'un qui a des activités un 
peu olé-olé. Les jeunes qui font la guéguerre, vaut mieux les envoyer bastonner 
dans un autre quartier.


2. Ce qu'on peu aussi faire c'est choisir du transit chez un/des opérateur(s) 
sérieux qui sont prêts à aider dans ce genre de situation: communautés, NOC 
prêt à mettre des access-lists si ça peut aider, etc.


Au bout du compte ce n'est hélas encore qu'une affaire de gros sous; 
l'hébergement bon marché c'est bien, mais quand ça devient tellement bon marché 
que l'on commence à ne plus s'occuper des problèmes ça devient contraire au bon 
fonctionnement du net.

Je l'ai dit bien des fois: non à l'hébergement du dimanche.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Guillaume Barrot]

 http://www.spamhaus.org/statistics/networks.lasso
 Ils sont régulièrement au hit-parade des top attaqueurs et des top spammeurs 
 (pas seulement spamhaus). Même en prenant leur taille en compte, ça fait un 
 peu désordre, quand même.

Arrrf j'ai le bullshitotron dans le rouge la ! C'est pas parce qu'un
truc est mesurable qu'il doit être mesure, et clairement pas une
métrique (pour plagier un camarade posteur sur ce thread).
Ie : OVH étant le premier hébergeur français, c'est moyen étonnant
qu'il soit dans le top 10. Une métrique plus acceptable serait le
ratio nb d'attaque / nb de serveurs hostes* par exemple.

Ne tirons pas sur l'ambulance : combien d’hébergeurs ont un
travaux.xxx.com et sont transparents sur leur pb, leur reseaux, leurs
attaques etc. ?
Tain, moi en interne j'ai moins d'infos sur l'etat de nos infras a
nous que sur celles d'OVH !!!

Mais sinon +1 sur le bienvenu dans le fabuleux monde de l'Internet
commercial (qui coute cher et ou un client est un client) et non
Twitter n'est pas la hotline/abuse des entreprises.

* hostes de calice bien entendu, maintenant qu'il y a un OVH Canada.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Michel Py]

 Michel Py a écrit:
 1. Se débarrasser des clients qui sont des aimants à emmerdes;
 on pourra dire tout ce qu'on voudra, les attaques n'arrivent
 pas au hasard;

 Emile iMil Heitor a écrit:
 Ben voyons. Je vais expliquer au vendeur de meubles hébergé
 chez nous qu'il a essuyé un DDoS de 5GB pendant 3h parce que
 ses designs sont vraiment trop subversifs.

Probablement pas, mais lire plus bas.


 Et, oui, une grosse moitié des 5GB provenaient d'OVH. Au final,
 null-routing de l'IP visée, le client donc, doublement victime.

Il faut rapporter la grosse moitié à la part d'OVH sur ce marché. Est-ce que 
OVH représente une grosse moitié de l'hébergement Français / Européen ? Si oui, 
il n'est que naturel qu'ils représentent une grosse moitié des attaques. Si en 
volume d'hébergement ils représentent moins de la moitié et que leur volume 
d'attaque est plus de la moitié, là il commence à y avoir un problème.

 Les exemples sont légion, mais étrangement, peu sont ceux
 qui en font étalage publiquement.

Ce dont j'ai vu des légions aussi, c'est des fabricants de meubles ou d'autre 
chose qui se font DDOSser parque qu'ils ont une politique de mailing list 
débile. Il y a presque toujours une raison derrière une attaque. Je n'ai pas 
dit une bonne raison, mais une raison.


 Michel Py a écrit:
 http://www.spamhaus.org/statistics/networks.lasso
 Ils sont régulièrement au hit-parade des top attaqueurs et des
 top spammeurs (pas seulement spamhaus). Même en prenant leur
 taille en compte, ça fait un peu désordre, quand même.

 Guillaume Barrot a écrit:
 Arrrf j'ai le bullshitotron dans le rouge la ! C'est pas parce
 qu'un truc est mesurable qu'il doit être mesure, et clairement
 pas une métrique (pour plagier un camarade posteur sur ce thread).
 Ie : OVH étant le premier hébergeur français, c'est moyen étonnant
 qu'il soit dans le top 10. Une métrique plus acceptable serait le
 ratio nb d'attaque / nb de serveurs hostes* par exemple.

Je suis bien d'accord sur la partie ratio, voir plus haut. Avoir 40 ou 50 
merdes sur 110k, ça reste relatif. 

Ceci dit, Spamhaus et autres ne mesurent pas que le nombre d'attaques en cours 
mais aussi la réactivité du département abuse et il y a bien d'autres 
hébergeurs de taille considérable qui ne se voient pas souvent ou jamais au 
hit-parade. Ne pas être dans la liste de Spamhaus, ça serait une priorité 
absolue pour moi si j'avais cette taille.

En plus, c'est intéressant de se plonger dans les détails: si tu regardes 
dreamhost tu verras une vague récente de drive-by-exploit, ce que j'appelle 
l'hébergement du dimanche; une partie que OVH semble mieux maitriser.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Guillaume Barrot]

 On pourrait d'ailleurs argumenter que ne pas filtrer les attaques en
 sortie, alors qu'il n'y a pas d'impossibilité technique (suffit de
 filtrer en amont sur le réseau), c'est déjà en soi un comportement
 irresponsable...


Philosophiquement +1, y a même de la littérature sur le sujet (BCP38 :
http://www.armware.dk/RFC/bcp/bcp38.html, et RFC 3704
http://www.armware.dk/RFC/rfc/rfc3704.html), et le principe est hyper
simple : filtrer a la source est simple, et évite l'effet boule de
neige.

En pratique par contre, quand tu as 100.000 serveurs, c'est pas aussi
évident de gérer une ACL devant chaque host avec le filtrage adéquate.
Et puis ça a ses limites, notamment ça ne protège pas contre un DDOS
ne générant que du trafic légitime mais en grande quantité.
Et enfin, ça a un coût.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Guillaume Barrot]

OK on est d'accord, il vaut mieux ne pas apparaitre dans une liste que
d'y apparaitre.
Tiens c'est marrant c'est comme le Triple AAA, vaut mieux pas
apparaitre dans la liste de ceux qui l'ont plus.

Michel, tu viens de trouver les agences de notations de l'hebergement
! Nce !

Le 13 février 2012 20:56, Michel Py
mic...@arneill-py.sacramento.ca.us a écrit :
 Michel Py a écrit:
 1. Se débarrasser des clients qui sont des aimants à emmerdes;
 on pourra dire tout ce qu'on voudra, les attaques n'arrivent
 pas au hasard;

 Emile iMil Heitor a écrit:
 Ben voyons. Je vais expliquer au vendeur de meubles hébergé
 chez nous qu'il a essuyé un DDoS de 5GB pendant 3h parce que
 ses designs sont vraiment trop subversifs.

 Probablement pas, mais lire plus bas.


 Et, oui, une grosse moitié des 5GB provenaient d'OVH. Au final,
 null-routing de l'IP visée, le client donc, doublement victime.

 Il faut rapporter la grosse moitié à la part d'OVH sur ce marché. Est-ce que 
 OVH représente une grosse moitié de l'hébergement Français / Européen ? Si 
 oui, il n'est que naturel qu'ils représentent une grosse moitié des attaques. 
 Si en volume d'hébergement ils représentent moins de la moitié et que leur 
 volume d'attaque est plus de la moitié, là il commence à y avoir un problème.

 Les exemples sont légion, mais étrangement, peu sont ceux
 qui en font étalage publiquement.

 Ce dont j'ai vu des légions aussi, c'est des fabricants de meubles ou d'autre 
 chose qui se font DDOSser parque qu'ils ont une politique de mailing list 
 débile. Il y a presque toujours une raison derrière une attaque. Je n'ai pas 
 dit une bonne raison, mais une raison.


 Michel Py a écrit:
 http://www.spamhaus.org/statistics/networks.lasso
 Ils sont régulièrement au hit-parade des top attaqueurs et des
 top spammeurs (pas seulement spamhaus). Même en prenant leur
 taille en compte, ça fait un peu désordre, quand même.

 Guillaume Barrot a écrit:
 Arrrf j'ai le bullshitotron dans le rouge la ! C'est pas parce
 qu'un truc est mesurable qu'il doit être mesure, et clairement
 pas une métrique (pour plagier un camarade posteur sur ce thread).
 Ie : OVH étant le premier hébergeur français, c'est moyen étonnant
 qu'il soit dans le top 10. Une métrique plus acceptable serait le
 ratio nb d'attaque / nb de serveurs hostes* par exemple.

 Je suis bien d'accord sur la partie ratio, voir plus haut. Avoir 40 ou 50 
 merdes sur 110k, ça reste relatif.

 Ceci dit, Spamhaus et autres ne mesurent pas que le nombre d'attaques en 
 cours mais aussi la réactivité du département abuse et il y a bien d'autres 
 hébergeurs de taille considérable qui ne se voient pas souvent ou jamais au 
 hit-parade. Ne pas être dans la liste de Spamhaus, ça serait une priorité 
 absolue pour moi si j'avais cette taille.

 En plus, c'est intéressant de se plonger dans les détails: si tu regardes 
 dreamhost tu verras une vague récente de drive-by-exploit, ce que j'appelle 
 l'hébergement du dimanche; une partie que OVH semble mieux maitriser.

 Michel.


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/



-- 
Cordialement,

Guillaume BARROT


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Yann Beulque]

je te confirme que la plage ip 91.234.104.0 - 91.234.107.255 est bien
bloquer en sortie du réseau OVH ADSL !!!


|   Host  -   %  | Sent | Recv | Best
| Avrg | Wrst | Last |
||--|--|--|--|--|--|
| 192.168.0.1 -2 |   99 |   98 |0
|0 |0 |0 |
|  isp-1-6k.fr.eu -0 |  103 |  103 |8
|   13 |  119 |   12 |
| rbx-g2-a9.fr.eu -0 |  103 |  103 |9
|   11 |   30 |   12 |
|  rbx-2-6k.fr.eu -3 |   95 |   93 |8
|   24 |  225 |9 |
|  osp-1-m2.fr.eu -0 |  103 |  103 |7
|9 |   30 |9 |
|   No response from host -  100 |   20 |0 |0
|0 |0 |0 |
|   No response from host -  100 |   20 |0 |0
|0 |0 |0 |

Ton site www.inulogic.com est donc inaccessible et les sites que tu héberges.
Octave vient de réinventé la neutralité du net ! !
Bientôt ovh va bloquer les plage IP de Free car des dedibox attaque des sd ovh ?
Au moins ovh nous montre qu'il est vraiment facile et rapide de bloqué
un site, voir un hébergeur entier, sa va donné des idée a nos
politique !

Pour le problème des attaque depuis ovh, ovh fait pas mal d'effort
pour faire le ménage dans les serveur qui reçoive des attaques, car
cela touche souvent d'autre client, mais pas beaucoup de chose pour
les attaques sortante...
Il est passé ou le bridage UDP à 5 ou 10 mb/s ??


Bon courage Gurvan, tu n'est surement pas le seul dans le même cas...



Le 12 février 2012 23:07, Gurvan Rottier-Ripoche inulo...@gmail.com a écrit :
 Bonjour,

 Ceci n'est pas un mail pour venir pleurer/troller sur OVH mais plutôt pour
 prendre des conseils et chercher à comprendre.


 Notre réseau est régulièrement la cible d'attaques depuis des machines OVH.
 Indifféremment depuis des serveurs hackés participant dans des botnets que
 depuis des serveurs clients légitimes qui réalisent des attaques ciblés
 notamment via des offres low-cost jetables.
 Je fais de nombreux report à leur service abuse qui intervient dans des
 délais raisonnables.

 La période des vacances a démarré et très souvent, c'est une
 grande effervescence de ce type d'attaques.
 Nous avons reçu plusieurs attaques ce Dimanche 12 Février 2012 allant
 jusqu'a 900Mbits depuis 9 serveurs OVH. (A relativiser avec notre 95
 percentile de 100Mbits).
 J'ai twitté Octave pour lui faire part de mon mécontentement du fait du
 nombre important d'attaques en une journée.

 A chaque fois ses réponses sont virulentes (très proches de la diffamation)
 et fermés à la discussion :
 C'est pas mon problème.
 Tu as une activité de hackeur.
 C'est à toi de gérer ton réseau.

 Alors que je suis la cible dans cette histoire et que je ne vois pas
 comment agir...
 De notre côté, nous appliquons des restrictions entrantes et sortantes mais
 ces nombreuses attaques ont des répercussions sur le coût du trafic entrant
 en amont de notre réseau.
 Notre fournisseur de transit nous fait payer malgré tout le coût de
 l'attaque et c'est logique.
 Ces attaques dépassent parfois de beaucoup (pratiquement x10) l'usage
 normal de notre bande passante.


 Ce que je ne comprend pas, c'est qu'OVH disposent bien de mécanismes de
 protections mais uniquement sur son trafic entrant.
 Par contre, ils n'appliquent pas les mêmes mécaniques en sens inverse pour
 éviter ou limiter les attaques sortantes de leur réseau.

 Comme seule solution, aujourd'hui suite à mes reports, Octave impose un
 blocage total entre nos deux réseaux.
 Cela gène nombre de mes clients qui ne peuvent plus opérer de redondance,
 simplement communiquer envers les deux réseaux (plus de DNS, SQL etc...) et
 moi-même qui ne peut plus du tout accéder aux services d'OVH que j'utilise
 également. (Ne serait-ce que le site OVH.COM...).
 J'imagine également que les clients ADSL d'OVH ne peuvent plus accéder à
 l'ensemble de mes services.

 Qu'en pensez-vous ?
 Un fournisseur d'accès a-t-il le droit de bloquer comme cela une partie du
 trafic internet, portant atteinte à la neutralité d'internet et aux
 recommandations de l'ARCEP sur la transparence et la non-discrimination des
 flux.
 Les mesures prises me semblent disproportionnées.
 Quelles sont les solutions que vous appliquez sur vos réseaux ?
 Avez-vous déjà eu ce type de problème ?

 Cordialement, Gurvan.

 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Gilou]

Le 12/02/2012 23:07, Gurvan Rottier-Ripoche a écrit :

Bonjour,

Ceci n'est pas un mail pour venir pleurer/troller sur OVH mais plutôt pour
prendre des conseils et chercher à comprendre.


Notre réseau est régulièrement la cible d'attaques depuis des machines OVH.
Indifféremment depuis des serveurs hackés participant dans des botnets que
depuis des serveurs clients légitimes qui réalisent des attaques ciblés
notamment via des offres low-cost jetables.
Je fais de nombreux report à leur service abuse qui intervient dans des
délais raisonnables.

La période des vacances a démarré et très souvent, c'est une
grande effervescence de ce type d'attaques.
Nous avons reçu plusieurs attaques ce Dimanche 12 Février 2012 allant
jusqu'a 900Mbits depuis 9 serveurs OVH. (A relativiser avec notre 95
percentile de 100Mbits).
J'ai twitté Octave pour lui faire part de mon mécontentement du fait du
nombre important d'attaques en une journée.

A chaque fois ses réponses sont virulentes (très proches de la diffamation)
et fermés à la discussion :
C'est pas mon problème.
Tu as une activité de hackeur.
C'est à toi de gérer ton réseau.


Et bon, on n'est pas vendredi, mais concrètement, tu ne réponds pas à un 
truc intéressant dans ton mail passionnant, mais.. tu fais quoi sur ton 
réseau ?



@+
Gilou


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Gurvan Rottier-Ripoche]

Mon réseau se borne à faire tourner un service d'hébergement de sites
internet et de la vente de serveur à destination du grand public, de
quelques collectivités et de TPE.

Une partie de mes clients sont des jeunes qui semble jouer parfois à
la gueguerre.
Le plus énervant, c'est pas les attaques, c'est le fait que la source soit
à 90% du OVH depuis que les mécanismes de détection anti flood/anti scan
d'OVH sont stoppés en sortie.
OVH fait comme si de rien n'était et reporte la faute sur la victime.

Gurvan.

Le 13 février 2012 00:54, Gilou contact+fr...@gilouweb.com a écrit :

 Le 12/02/2012 23:07, Gurvan Rottier-Ripoche a écrit :

 Bonjour,


 Ceci n'est pas un mail pour venir pleurer/troller sur OVH mais plutôt pour
 prendre des conseils et chercher à comprendre.


 Notre réseau est régulièrement la cible d'attaques depuis des machines
 OVH.
 Indifféremment depuis des serveurs hackés participant dans des botnets que
 depuis des serveurs clients légitimes qui réalisent des attaques ciblés
 notamment via des offres low-cost jetables.
 Je fais de nombreux report à leur service abuse qui intervient dans des
 délais raisonnables.

 La période des vacances a démarré et très souvent, c'est une
 grande effervescence de ce type d'attaques.
 Nous avons reçu plusieurs attaques ce Dimanche 12 Février 2012 allant
 jusqu'a 900Mbits depuis 9 serveurs OVH. (A relativiser avec notre 95
 percentile de 100Mbits).
 J'ai twitté Octave pour lui faire part de mon mécontentement du fait du
 nombre important d'attaques en une journée.

 A chaque fois ses réponses sont virulentes (très proches de la
 diffamation)
 et fermés à la discussion :
 C'est pas mon problème.
 Tu as une activité de hackeur.
 C'est à toi de gérer ton réseau.


 Et bon, on n'est pas vendredi, mais concrètement, tu ne réponds pas à un
 truc intéressant dans ton mail passionnant, mais.. tu fais quoi sur ton
 réseau ?


 @+
 Gilou


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Yann Beulque]

Si demain il y a un désaccord au niveau du pering entre ovh et free,
ovh me bloque less freebox et dedibox depuis mon ADSl OVH ??? !!

Chez OVH, pas de bridage ni de restriction vis-à-vis des sites
populaires fortement fréquentés et des contenus multimédia (vidéo,
streaming, etc). Nous délivrons le maximum de bande passante, partout
et à toute heure.

Vraiment déçu par ovh sur le coup, leur internet neutre n'est pas
mieux que les lois absurde que nos politique nous prépare



Le 13 février 2012 01:14, Gurvan Rottier-Ripoche inulo...@gmail.com a écrit :
 Mon réseau se borne à faire tourner un service d'hébergement de sites
 internet et de la vente de serveur à destination du grand public, de
 quelques collectivités et de TPE.

 Une partie de mes clients sont des jeunes qui semble jouer parfois à
 la gueguerre.
 Le plus énervant, c'est pas les attaques, c'est le fait que la source soit
 à 90% du OVH depuis que les mécanismes de détection anti flood/anti scan
 d'OVH sont stoppés en sortie.
 OVH fait comme si de rien n'était et reporte la faute sur la victime.

 Gurvan.

 Le 13 février 2012 00:54, Gilou contact+fr...@gilouweb.com a écrit :

 Le 12/02/2012 23:07, Gurvan Rottier-Ripoche a écrit :

 Bonjour,


 Ceci n'est pas un mail pour venir pleurer/troller sur OVH mais plutôt pour
 prendre des conseils et chercher à comprendre.


 Notre réseau est régulièrement la cible d'attaques depuis des machines
 OVH.
 Indifféremment depuis des serveurs hackés participant dans des botnets que
 depuis des serveurs clients légitimes qui réalisent des attaques ciblés
 notamment via des offres low-cost jetables.
 Je fais de nombreux report à leur service abuse qui intervient dans des
 délais raisonnables.

 La période des vacances a démarré et très souvent, c'est une
 grande effervescence de ce type d'attaques.
 Nous avons reçu plusieurs attaques ce Dimanche 12 Février 2012 allant
 jusqu'a 900Mbits depuis 9 serveurs OVH. (A relativiser avec notre 95
 percentile de 100Mbits).
 J'ai twitté Octave pour lui faire part de mon mécontentement du fait du
 nombre important d'attaques en une journée.

 A chaque fois ses réponses sont virulentes (très proches de la
 diffamation)
 et fermés à la discussion :
 C'est pas mon problème.
 Tu as une activité de hackeur.
 C'est à toi de gérer ton réseau.


 Et bon, on n'est pas vendredi, mais concrètement, tu ne réponds pas à un
 truc intéressant dans ton mail passionnant, mais.. tu fais quoi sur ton
 réseau ?


 @+
 Gilou


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Benjamin BILLON]

Une partie de mes clients sont des jeunes qui semble jouer parfois à
la gueguerre.

Autrement dit, tes clients attaquent des machines, notamment chez OVH.
Détectes-tu les flood et scan initiés depuis ton réseau ? Les 
filtres/bloques-tu ?
Si non, c'est un juste retour de bâton que tu te prends. Tes clients ne 
respectant pas les conditions d'utilisation de ton réseau (je m'avance 
un peu en supposant que le piratage n'est pas autorisé) s'attaquent à un 
réseau plus gros et plus fort que le tient, et mettent en danger la 
fiabilité du service fournit à tes clients respectueux.
Si tu ne veux pas les virer pour des questions d'argent (un client est 
un client), pourquoi OVH devrait le faire, alors que techniquement ça ne 
leur pose pas de problème de les garder ?


Je n'encense pas OVH, et j'ai même tendance à dire qu'ils proposent 
certains services par dessous la jambe (c'est leur modèle de 
qualité/prix), mais sur ce coup tu as sans doute du ménage à faire 
devant ta porte.


--
Benjamin


Le plus énervant, c'est pas les attaques, c'est le fait que la source soit
à 90% du OVH depuis que les mécanismes de détection anti flood/anti scan
d'OVH sont stoppés en sortie.
OVH fait comme si de rien n'était et reporte la faute sur la victime.

Gurvan.

Le 13 février 2012 00:54, Giloucontact+fr...@gilouweb.com  a écrit :


Le 12/02/2012 23:07, Gurvan Rottier-Ripoche a écrit :


Bonjour,


Ceci n'est pas un mail pour venir pleurer/troller sur OVH mais plutôt pour
prendre des conseils et chercher à comprendre.


Notre réseau est régulièrement la cible d'attaques depuis des machines
OVH.
Indifféremment depuis des serveurs hackés participant dans des botnets que
depuis des serveurs clients légitimes qui réalisent des attaques ciblés
notamment via des offres low-cost jetables.
Je fais de nombreux report à leur service abuse qui intervient dans des
délais raisonnables.

La période des vacances a démarré et très souvent, c'est une
grande effervescence de ce type d'attaques.
Nous avons reçu plusieurs attaques ce Dimanche 12 Février 2012 allant
jusqu'a 900Mbits depuis 9 serveurs OVH. (A relativiser avec notre 95
percentile de 100Mbits).
J'ai twitté Octave pour lui faire part de mon mécontentement du fait du
nombre important d'attaques en une journée.

A chaque fois ses réponses sont virulentes (très proches de la
diffamation)
et fermés à la discussion :
C'est pas mon problème.
Tu as une activité de hackeur.
C'est à toi de gérer ton réseau.


Et bon, on n'est pas vendredi, mais concrètement, tu ne réponds pas à un
truc intéressant dans ton mail passionnant, mais.. tu fais quoi sur ton
réseau ?


@+
Gilou


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Yann Dufour]

Bonsoir,

Si je résume bien :
1/ Vous subissez des attaques de DDOS en provenance d'hôtes appartenant au
réseau du principal hébergeur français.
2/ Vous avez fait part de vos problèmes au service abuse qui a traité les
incidents.
3/ Les DDOS font augmenter votre connectivité de +/- 100Mbps à +/- 900Mbps.
4/ Vous avez poser des restrictions sur votre réseau pour prévenir le DDOS.
5/ Vous ne comprenez pas pourquoi cet hébergeur n'applique pas les mêmes
règles de traitement afin de limiter le DDOS sortant de leur réseau.
6.a/ Vous avez twitter un dirigeant de cette société pour lui faire part de
vos problèmes.
6.b/ Ce dirigeant impose maintenant un blocage total entre votre réseau et
le sien.
6.c/ Vous ne savez pas (plus ?) comment agir face à cette solution radicale.

Alors :-)


1/ Bienvenue dans le monde de l'Internet ! Ce n'est pas vraiment étonnant
que ce réseau soit la source de DDOS. Il représente quand même beaucoup de
clients en tout genre (18M web site, 110K dedicated servers, 50k xDSL, 100k
VoIP (dixit (p**db)).


2/ Limite, c'est peut être une chance que ce soit un réseau avec un support
en France (réactif ? je ne sais pas car je ne l'ai jamais essayé :-)) !
Cela doit grandement faciliter la résolution des incidents dans des délais
raisonnables ;-) Quand on a à faire face à des DDOS provenant d'hébergeurs
exotiques, c'est un peu plus compliqué à gérer... :-/ Et en général, un
Black Hole temporaire est souvent nécessaire !


3/ C'est effectivement fâcheux de faire face à cela... Après si on regarde
chez votre fournisseur de connectivité, il propose dans son offre de
transit ip une option Serveur Black Hole pour combattre les DDOS ! Amha,
il serait judicieux de se rapprocher de lui pour étudier cela (d'un point
de vue technique et économique). Il y a de forte chance que ce soit
efficace pour faire face à des DDOS (pas que pour ceux en provenance de
O**) ;-)


4/ D'après ce que j'ai pu voir, vous avez un assigned PI annoncé par votre
fournisseur sur son AS. Quelques soit les restrictions appliquées sur votre
infrastructure (la plus simple et efficace étant une ACL en entrée qui
discard le trafic en provenant d'hôte malveillant), cela n'empêchera pas
votre fournisseur de forwarder le trafic vers votre infrastructure, et donc
de vous facturer le trafic supplémentaire.


5/ Effectivement cet opérateur n'applique pas une politique identique
concernant le DDOS entrant et sortant. Il peut y avoir plusieurs
explications à cela :

a) O** c'est quand même +/- 530Gbps en upstream vers Internet. Supposons
qu'ils ont un ratio 1/4, et donc qu'ils ont +/- 130Gbps en downstream
depuis Internet. Mettre en œuvre des règles anti DDOS pour 130Gbps, c'est
déjà assez conséquent en terme de ressources machines. Je vous laisse
imaginer pour 660Gbps !

b) Il n'est pas évident/simple d'être pro-actif au niveau du DDOS en
sortie, car on risque d'avoir des faux positifs pouvant bloquer du trafic
client légitime.


6/ Malheureusement, Twitter n'est pas un outil de communication qu'on
utilise pour régler ce genre de problème ! Si un jour vous avez un problème
avec F***, vous allez twitter X* N*** ?

Je pense que votre problème n'est pas la priorité de ce dirigeant... Amha
il a d'autres problèmes beaucoup plus sérieux à traiter comme son CDN
EU/US, son ISP xDSL, ses équipements/fournisseurs parfois capricieux (ses
LNS Redback, ses cœurs de réseau Cisco ASR, ses opérateurs de collecte
rouge ou orange...), le lancement de sa filiale canadienne... Et puis, il a
aussi peut être une vie personnelle le dimanche :-P

Normalement vous auriez du contacter le support de votre fournisseur gérant
votre assigned PI qui :
a) Applique des contres mesures sur son réseau pour réduire les impacts sur
votre prestation
b) Contacte le noc/abuse de l'opérateur source pour que les agissements
illicites cessent
c) Informe son client de l'avancement de son incident


Enfin bref... Effectivement la réaction est un peu disproportionnée... Mais
bon de là à dire sur cette liste que cet opérateur ne joue pas le jeu de la
neutralité (enfin de ce que j'en sais), alors qu'il communique sur cela et
essaye d'être relativement transparent au niveau de la vie de son réseau :^)

Contacter le support de l'hébergeur en expliquant que vous avez eu un DDOS
provenant de leur réseau, et que suite à cela, votre réseau ne peut plus
communiquer avec le leur. Normalement ça devrait se régler ;-)

Et puis comme a dit Benjamin, faire un petit ménage devant votre porte ne
devrait pas faire de mal car il n'y a pas de fumé sans feu !

Cordialement,
Yann

Le 12 février 2012 19:07, Gurvan Rottier-Ripoche inulo...@gmail.com a
écrit :

 Bonjour,

 Ceci n'est pas un mail pour venir pleurer/troller sur OVH mais plutôt pour
 prendre des conseils et chercher à comprendre.


 Notre réseau est régulièrement la cible d'attaques depuis des machines OVH.
 Indifféremment depuis des serveurs hackés participant dans des botnets que
 depuis des serveurs clients légitimes qui réalisent des 

RE: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Michel Py]

 Gurvan Rottier-Ripoche a écrit:
 Une partie de mes clients sont des jeunes qui semble jouer
 parfois à la gueguerre.

 Benjamin BILLON a écrit:
 Autrement dit, tes clients attaquent des machines, notamment chez
 OVH. Détectes-tu les flood et scan initiés depuis ton réseau ? Les
 filtres/bloques-tu ? Si non, c'est un juste retour de bâton que tu
 te prends. Tes clients ne respectant pas les conditions d'utilisation
 de ton réseau (je m'avance un peu en supposant que le piratage n'est
 pas autorisé) s'attaquent à un réseau plus gros et plus fort que le
 tient, et mettent en danger la fiabilité du service fournit à tes
 clients respectueux.
 Si tu ne veux pas les virer pour des questions d'argent (un client
 est un client), pourquoi OVH devrait le faire, alors que techniquement
 ça ne leur pose pas de problème de les garder ?
 Je n'encense pas OVH, et j'ai même tendance à dire qu'ils proposent
 certains services par dessous la jambe (c'est leur modèle de qualité/
 prix), mais sur ce coup tu as sans doute du ménage à faire devant ta
 porte.

+1

Bon ceci étant dit, le ménage chez OVH il y a du progrès à faire aussi:
http://www.spamhaus.org/statistics/networks.lasso
Ils sont régulièrement au hit-parade des top attaqueurs et des top spammeurs 
(pas seulement spamhaus). Même en prenant leur taille en compte, ça fait un peu 
désordre, quand même.

 
Gurvan, fais donc voir des stats de problème par serveur comparé à OVH, qu'on 
rigole.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/