We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Re: Útoky


oles@ovh.net
05-19-2011, 03:26 PM
http://travaux.ovh.net/?do=details&id=5443

Suite ŕ une attaque en cours sur une IP, nous avons
affiné les reglages et nous avons diminué le burst
autorisé lors d'une attaque de 10000 ŕ 8000.
L'attaque passé de 70Mbps ŕ 10Mbps. Elle continue
mais n'a plus aucun impact sur le serveur.

#sh inter f0/15 | i 30 sec
30 second input rate 2822000 bits/sec, 303 packets/sec
30 second output rate 62419000 bits/sec, 121785 packets/sec
[...]
#sh inter f0/15 | i 30 sec
30 second input rate 5422000 bits/sec, 585 packets/sec
30 second output rate 10334000 bits/sec, 20076 packets/sec

N'hesitez pas nous remonter les problemes s'ils existent.


oles@ovh.net
05-18-2011, 09:36 AM
Ahoj,

Ochrana před útoky nám dělá stále větší a větší radost. Museli jsme zasáhnout pouze jednou za několik minulých dní, zatímco normálně máme několik útoků za den.

Příklad útoku, který začal včera a probíhá již 22 hodin. 4 Gb/s UDP na IP v OVH. http://demo.ovh.net/fr/ba3c2a2c8e7d3...6dcf88ab240d//

Ochrana filtruje tento útok a jedinou evidencí, že tu tento útok je je tento graf, což není zlé.

Měli jsme ale také jiné útoky na webhosting. Infrastruktura nevydržela a byly tu dva pády za 2 dny. Dočasně jsme odebrali AX produkci. Poté jsme vylepšili nastavení pro předcházení takovýmto pádům.

Ve zkratce: útoky jsou součástí každodenního života hosta a je to vlastně součást obchodu. Není to válka, co jsme nyní vyhráli. Jde pouze o zmírnění útoků natolik, aby naši zákazníci nebyli zasaženi a omezeni. Na tomto poli jsme nyní vyhráli bitvu.

Děkuji za Vaše připomínky a nepřestávejte psát jakmile se Vám nebude něco líbit, nebo si všimnete něčeho divného.


S pozdravem,
Octave

oles@ovh.net
05-13-2011, 07:56 AM
Ahoj,

Po úvodu do ochrany před útoky na UDP vrstvu jsme po 24 hodinách
nemuseli ani jendou zasahovat, abychom ochránili infrastrukturu.
Šlo na nás zhruba 10 obvyklých útoků, které nezpůsobili žádné
problémy našim zákazníkům.

Můžete tedy říci, že zabezpečení bylo úspěšné a na místě.
Rychlé provedení.

Ano, doufejme, že je toto naposledy.

Shrnutí:
-nastavili jsme zabezpečení pro přístup do naší sítě:
limit přenosu UDP je nastaven na 50 Mb/s pro jednu IP.
tzn. že jediná IP na Internetu nemůže posílat více jak
50 Mb/s pomocí UDP.

-nastavili jsme ochranu na routery v datacentru:
Limitujeme přenos dat na 50 Mb/s na cílovou IP.
tzn. Jakákoli IP na síti OVH může posílat maximálně
50 Mb/s UDP.

Shrnutí ochrany, která již byla nastavena v minulých 1-2 letech:
- omezili jsme přenos na ICMP a TCP/SYN vrstvě na 32 Kb/s směrem z OVH
(existují i výjimky).

VPS a mC mají nastavenu ochranu:
- 100 Mb/s na IP na TCP
- 5 Mb/s na IP na UDP
- 32 Kb/s na IP na ICMP

Žádné další limity zde již nenáme a neplánujeme.

Po nastavení této ochrany máme dobré odezvy. 1 zákazník nebyl
spokojen a dostali jsme plno pošty s "uuufff". Já si osobně myslím,
že jsme těmito limity udělali dobrou službu a ochraňujeme všechny
naše zákazníky na naší síti. Ať jde o herní server, stránky, či jiné
projekty, vždy je dos útok ze strany konkurence nepříjemný.
Od teď Vás již ale takové útoky trápit nemusí.


S pozdravem,
Octave

oles@ovh.net
05-12-2011, 02:12 PM
http://travaux.ovh.net/?do=details&id=5443

Chystáme se aktivovat ochranu na routery v datacentru:

vrack: hotovo
HG 2010/2011: již hotovo
pCC: hotovo

oles@ovh.net
05-12-2011, 11:02 AM
Ahoj,

Na bráně k páteřní síti jsme právě změnili nastavení.
Odebrali jsme filtr na celou IP vrstvu a ponechali pouze
filtr na UDP.

Díky tomu je každá IP na Internetu limitována na 50 Mb/s UDP
u celé sítě OVH.

Jestliže máte nějaké problémy, dejte nám vědět.
Není to kvůli tomu, že jsme museli řešit naléhavě
tento problém.

Časně po poledni budeme pokračovat v nastavení až na 3
nová finální pravidla:

- limitace na UDP na zdrojové IP u OVH je v současnosti
nastaveno na 50 Mb/s a kolem 14 hodiny půjdeme ještě
níže na 20 Mb/s.

- limitace UDP na cílovou IP adresu u OVH je v současnosti
u HG sítě nastavena na 50 Mb/s. Zatím nevíme, jak je to
účinné a zda budeme podobně nastavovat všechny routery.

- limitace UDP na OVH IP adresách do internetu zatím není
nastavena správně. Cílem je zabránit OVH serverům v posílání
útoků na Internet.

S pozdravem,
Octave

oles@ovh.net
05-12-2011, 12:06 AM
Dobré odpoledne,

S přihlédnutím na množství útoků na naši síť, které
přicházejí každý den, jsme se rozhodli vykopat válečnou
sekeru. Už to tak prostě dál nejde.
Jen za dnešek je zde více jak 30 útoků a zasaženo bylo
5 sítí našich zákazníků s dočasným přerušením služby.

Proto:

Zdrojová IP (na Internetu) nesmí posílat na OVH síť
více jak 50 Mb/s (na celou vrstvu IP). Časem přemýšlíme
o tom, že toto pravidlo nastavíme pouze pro UDP.

Také jsme přidali limitaci na HG síť na cílovou IP na UDP
ze všech IP na 50 Mb/s.

Jestliže máte nějaké problémy, pošlete prosím e-mail na:
oles@ovh.net
či
noc@ovh.net

Více (ve FR) zde:
http://status.ovh.net/?do=details&id=1449

S pozdravem,
Octave