oles@ovh.net
06-25-2013, 11:56 AM
Zdravím,
Jako poskytovatel infrastruktury, čelilo OVH vždy DDoS cyber útokům, což poškozovalo jak naši infrastrukturu, tak i služby našich zákazníků. Od afréry Wikileaks v roce 2010 se DDoS útoky stali velmi používanými a s rozšířením povědomí o DNS AMP začátkem tohoto roku, může v podstatě každé malé dítě spustit DDoS útok čítající několik desítek Gb/s a provádět podobné vylomeniny.
Z naší strany jsme vytvořily nástroj na ochranu, který má jednoduchý cíl: anti-DDoS ochranu. Na straně zákazníka je potřeba, aby se tento nástroj defaulně používal.
Po 3-4 měsíce jsme pracovali na novém typu infrastruktury pro ochranu proti DDoS útokům, které jsme pojmenovali "VAC" (od vacuum cleaner což je vysavač). Myšlenka zní tak, že tento VAC odstraní skodlivé pakety a nechá na Váš server dojít jen ty správné, které zůstanou nedotčeny.
VAC1 (v současnosti v ALFA testu), byl nainstalován v Roubaix. Nástroj pracuje dostatečně dobře na to, abychom mohli vysvětlit, co hodlá OVH provést a co nabízí proti DDoS útokům.
Tento týden se chystáme spustit beta verzi. 16. července budeme popisovat VAC na našich stránkách a bude k dispozici i nová smlouva, která se bude tohoto služby týkat. Cílem je být co nejvíce transparentní a poskytnout Vám co největší garance.
Hardware
--------
VAC je jednotka, která umí vyčistit až 160 Gb/s / 160 Gb/s přenosu dat.
Skládá se z 2 routerů: CISCO ASR 9001 a CISCO Nexus 7009. Celkově má VAC 114 10G portů či kapacitu 1,14 Tb/s na switching/routing.
Pro čištění přenášených dat používáme 2 typy HW: 4 Tilera každý po 20 Gb/s (80 Gb/s) a 1 TMS 4000 o 30 Gb/s.
Softwarový vývoj na Tileras je zajištěn našim interním týmem. Spočívá z C/C++ kódu, správy front a algoritmů, které posuzují, zda je paket v pořádku, nebo není. TMS 4000 je balíček s algoritmy z Arbor.
Přenos dat je tedy "vysán" při příchodu do datacentra a posílán dále již vyčištěný na routery jednotlivých místností.
V případě VAC1 je přenos dat "nasátý" na úrovni 2 hlavních routerů v Roubaix, poté je zpracován pomocí 5 fází. Každá fáze rozumně odstraní jeden typ útoku, což významně ovlivní "záběr" celého útoku, nežli se dostanou pakety do další fáze, atd.
Díky těmto 5 fázím, jsme schopni se vypořádat s útoky o velikosti až 160 Gb/s, Zatímce naše konkurence pro toto pořizuje balíček Arbor TMS 4000 s 1x 10G kartou a je tedy schopná filtrovat maximálně 10G, což je téměř nic. Jestliže na Váš server směřuje útok, který toto přesáhne, většinou tím dojde k porušení smlouvy a vy si můžete začít hledat jiného poskytovatele hostingu - to je moment, kdy se do toho zapojujeme my, protože nemáme žádné limity týkající se velikosti útoku, který můžeme zpracovat.
Funkce
------
VAC nám umožňuje nabídnout Vám následující služby:
- síťový firewall
- zmírnění DDoS útoku
- Volba typu zmírnění
- permanentní zmírnění
- detekce útoku a aktivace zmírnění
- podpora v případě útoku
VAC se také postará o vysátí jakéhokoli útoku, který může jít z naší sítě. Někdy jsou našimi zákazníky totiž hackeři a jejich servery jsou k útokům použity. Když tyto útoky zaznamenáme, použijeme na ně VAC a problém tím vyřešíme, nežli přesně zjistíme, který server problém způsobuje a přpneme ho do režimu rescue.
VAC se také zapojuje do boje proti SPAMu. VAC bude vysávat a duplikovat přenos odchozích e-mailů z datacentra (DC), aby takovýto e-mail analyzoval pomocí anti-spam a antivirovými programy. Budeme schopni spočítat statistiky spamu na SRC IP v našich DC a poté blokovat IP SMTP traffic, v případě, že se bude chovat jako spamer.
VAC není úložiště. Jde o analyzér trafficu a díky tomu neukládá e-maily. Jednoduše analyzuje ukázky e-mailů, které odchází z našich DC v reálném čase.
Navíc náš vysavač umí ještě žehlit ..... ne, jen si dělám legraci
Redundance
----------
Redundance VAC je zajištěna jiným VAC. Koncem srpna budeme instalovat 3 zmírňující jednotky VAC ve 3 místech:
- Štrasburk, France (SBG)
- Roubaix, France (RBX)
- Beauharnois, Canada (BHS)
3 VAC budou fungovat paralelně a každý VAC bude nasávat traffic, který je mu nejblíže, aby ho vyčistil. Poté bude traffic vypuštěn do naší interní sítě, kterou máme mezi všemi našimi datacentry. Z BHS půjde přes GRA z RBX například do SBG, kde je oběť DDoS útoku.
Celková kapacita 3 VACů je 3x 160 Gb/s, což je 480 Gb/s / 480 Gb/s. Jde o největší zmírňující infrastrukturu, kterou kdy poskytovatelé infrastruktury nabízí svým zákazníkům.
Následky
-----------
Služba ochrany není limitována co se týče velikosti, délky pronájmu, ani typem útoku. Víme jak se vypořádat s jakýmkoli typem útoku a cílem pro nás je poskytnout Vám službu, která Vás opravdu ochrání, jestliže na Vás nějaký útok půjde.
Otázka tedy nezní "Potřebuji to?", ale spíše "Ochrání mě to, až jednoho dne přijde útok?"
Minulý týden mě urgentně kontaktoval zákazník s tím, že jeho stránka je pod útokem nějakého dítěte. O 3 kliknutí později byl útok nasměrován na VAC1 a stránka www.prestashop.com byla opět online.
Každý den je na naši síť vedeno až 1200 útoků a my ochráníme cca 700 z Vás v průměru. Je to ale každý den jiné...
Služba
-------
Budeme nabízet 3 úrovně služeb:
- Již v základu a v ceně služby. Cílem je ochrana naší infrastruktury a našich zákazníků nejlépe, jak jen dovedeme. Abychom mohli správně chránit infrastrukturu proti útoku, je ale nezbytné vědět, co na serveru běží a díky tomu nastavit správné zmírnění. Bez kontaktu s našim zákazníkem ale můžeme dělat jen něco.
- s profesionálním použitím budete mít možnost si pohrát s přizpůsobením ochrany pomocí Zákaznického prostoru APIv6. V tomto případě Vám nabídneme následující nástroje:
- sítový firewall 480 Gb/s s možností přidání až 100 ACL řádek se vzdálenými IP adresami, což je inovací OVH.
- volba několika desítek typů zmírnění útoků. To zahrnuje web, hry, teamspeek, streaming, atd.
- neustálé zmírnění či detekce útoku pomocí automatické aktivace VAC
- podpora k produktu přes mailing list: ddos@ml.ovh.net
S VIP podporou budete mít k dispozici 24/7 pomoc našich pracovníků s nastavením + Můžete zavolat našemu technikovi, abyste mohli rychle a efektivně čelit právě probíhajícímu útoku. VIP tým zajistí, že je útok monitorován 24/7 a přizpůsobí ochranu v případě, že se útok změní.
Cena
----
Během alfa testu bude ochrana před DDoS útoky zahrnuta v ceně služby serveru, VPS, PCI, dedicated cloud či (dostupné pouze pro francii) ADSL připojení.
Byly jsme velmi překvapeni stále se opakující otázkou: "Kolik to bude stát?"
To nás donutilo se hodně zamyslet.
Po pořádné úvaze jsme došli ke 3 možnostem:
- Dělat to samé jako ostatní společnosti, což je nabízení drahé zmírňující služby a cenu služby odvodit od kapacity. V takovém případě jsou zde ale limity 10 či 20 Gb/s (!!) a je zde navíc i limit týkající se délky útoku (!!). Ve stučnosti jde tedy o předraženou a velmi omezenou službu. Toto je standardní obchodní model všech našich konkurentů a dodavatelů zmírňujících řešení.
- Nabízet něco levného/adekvátního, což znamená investovat do infrastruktury (mluvíme tu zhruba o 75M Kč) a poté nezahrnovat cenu tohoto zmírňujícího řešení do ceny všech služeb - jednoduše tuto službu nabízet, ale nenabízet žádnou podporu či rady z naší strany a doufat, že infrastruktura obstojí při soudném dni.
- Sdílet cenu VAC a podporu našich týmů se všemi existujícími a budoucími zákazníky, které máme na naší infrastruktuře - toto je řešení, které jsme zvolili. V tomto scénáři mluvíme o povinném řešení pro všechny existující dedikované servery, VPS a dedicated cloud. Protože jde o velmi velký počet zákazníků, navýšení ceny je minimální:
- VPS: +12,5 Kč/měsíc
- KS: +25 Kč/měsíc
- SP: +25 Kč/měsíc
- EG: +25 Kč/měsíc
- MG: +25 Kč/měsíc
- HG: +25 Kč/měsíc
- Dedicated Cloud: +125 Kč/měsíc
- Colocation (pouze Francie): +250 Kč/měsíc
Toto navýšení ceny pro všechny naše existující a budoucí zákazníky nám umožní pokračovat v investicích a vylepšení infrastruktury, takže se budeme moci vypořádat s novými útoky.
Cena bude navýšena od září 2013 pro všechny existující servery. Avšak jestliže si server zaplatíte na celý rok, DDoS ochrana bude již zahrnuta v ceně, takže se cena serveru nezmění.
Navýšení je mezi 12,5 Kč a 250 Kč za měsíc. Může se to zdát v porovnání s cenami anti-DDoS služeb u naší konkurence jako málo. Můžete dokonce říct, že za tak málo nebudeme moci poskytnout kvalitní ochranu proti DDoS útoky, ale jestliže se cena takto rozloží na všechny naše zákazníky, rádi se zhostíme tohoto úkolu a staneme se vedoucím hráčem v ochraně proti útokům a odvrácením soudného dne.
S pozdravem,
Octave
Jako poskytovatel infrastruktury, čelilo OVH vždy DDoS cyber útokům, což poškozovalo jak naši infrastrukturu, tak i služby našich zákazníků. Od afréry Wikileaks v roce 2010 se DDoS útoky stali velmi používanými a s rozšířením povědomí o DNS AMP začátkem tohoto roku, může v podstatě každé malé dítě spustit DDoS útok čítající několik desítek Gb/s a provádět podobné vylomeniny.
Z naší strany jsme vytvořily nástroj na ochranu, který má jednoduchý cíl: anti-DDoS ochranu. Na straně zákazníka je potřeba, aby se tento nástroj defaulně používal.
Po 3-4 měsíce jsme pracovali na novém typu infrastruktury pro ochranu proti DDoS útokům, které jsme pojmenovali "VAC" (od vacuum cleaner což je vysavač). Myšlenka zní tak, že tento VAC odstraní skodlivé pakety a nechá na Váš server dojít jen ty správné, které zůstanou nedotčeny.
VAC1 (v současnosti v ALFA testu), byl nainstalován v Roubaix. Nástroj pracuje dostatečně dobře na to, abychom mohli vysvětlit, co hodlá OVH provést a co nabízí proti DDoS útokům.
Tento týden se chystáme spustit beta verzi. 16. července budeme popisovat VAC na našich stránkách a bude k dispozici i nová smlouva, která se bude tohoto služby týkat. Cílem je být co nejvíce transparentní a poskytnout Vám co největší garance.
Hardware
--------
VAC je jednotka, která umí vyčistit až 160 Gb/s / 160 Gb/s přenosu dat.
Skládá se z 2 routerů: CISCO ASR 9001 a CISCO Nexus 7009. Celkově má VAC 114 10G portů či kapacitu 1,14 Tb/s na switching/routing.
Pro čištění přenášených dat používáme 2 typy HW: 4 Tilera každý po 20 Gb/s (80 Gb/s) a 1 TMS 4000 o 30 Gb/s.
Softwarový vývoj na Tileras je zajištěn našim interním týmem. Spočívá z C/C++ kódu, správy front a algoritmů, které posuzují, zda je paket v pořádku, nebo není. TMS 4000 je balíček s algoritmy z Arbor.
Přenos dat je tedy "vysán" při příchodu do datacentra a posílán dále již vyčištěný na routery jednotlivých místností.
V případě VAC1 je přenos dat "nasátý" na úrovni 2 hlavních routerů v Roubaix, poté je zpracován pomocí 5 fází. Každá fáze rozumně odstraní jeden typ útoku, což významně ovlivní "záběr" celého útoku, nežli se dostanou pakety do další fáze, atd.
Díky těmto 5 fázím, jsme schopni se vypořádat s útoky o velikosti až 160 Gb/s, Zatímce naše konkurence pro toto pořizuje balíček Arbor TMS 4000 s 1x 10G kartou a je tedy schopná filtrovat maximálně 10G, což je téměř nic. Jestliže na Váš server směřuje útok, který toto přesáhne, většinou tím dojde k porušení smlouvy a vy si můžete začít hledat jiného poskytovatele hostingu - to je moment, kdy se do toho zapojujeme my, protože nemáme žádné limity týkající se velikosti útoku, který můžeme zpracovat.
Funkce
------
VAC nám umožňuje nabídnout Vám následující služby:
- síťový firewall
- zmírnění DDoS útoku
- Volba typu zmírnění
- permanentní zmírnění
- detekce útoku a aktivace zmírnění
- podpora v případě útoku
VAC se také postará o vysátí jakéhokoli útoku, který může jít z naší sítě. Někdy jsou našimi zákazníky totiž hackeři a jejich servery jsou k útokům použity. Když tyto útoky zaznamenáme, použijeme na ně VAC a problém tím vyřešíme, nežli přesně zjistíme, který server problém způsobuje a přpneme ho do režimu rescue.
VAC se také zapojuje do boje proti SPAMu. VAC bude vysávat a duplikovat přenos odchozích e-mailů z datacentra (DC), aby takovýto e-mail analyzoval pomocí anti-spam a antivirovými programy. Budeme schopni spočítat statistiky spamu na SRC IP v našich DC a poté blokovat IP SMTP traffic, v případě, že se bude chovat jako spamer.
VAC není úložiště. Jde o analyzér trafficu a díky tomu neukládá e-maily. Jednoduše analyzuje ukázky e-mailů, které odchází z našich DC v reálném čase.
Navíc náš vysavač umí ještě žehlit ..... ne, jen si dělám legraci
Redundance
----------
Redundance VAC je zajištěna jiným VAC. Koncem srpna budeme instalovat 3 zmírňující jednotky VAC ve 3 místech:
- Štrasburk, France (SBG)
- Roubaix, France (RBX)
- Beauharnois, Canada (BHS)
3 VAC budou fungovat paralelně a každý VAC bude nasávat traffic, který je mu nejblíže, aby ho vyčistil. Poté bude traffic vypuštěn do naší interní sítě, kterou máme mezi všemi našimi datacentry. Z BHS půjde přes GRA z RBX například do SBG, kde je oběť DDoS útoku.
Celková kapacita 3 VACů je 3x 160 Gb/s, což je 480 Gb/s / 480 Gb/s. Jde o největší zmírňující infrastrukturu, kterou kdy poskytovatelé infrastruktury nabízí svým zákazníkům.
Následky
-----------
Služba ochrany není limitována co se týče velikosti, délky pronájmu, ani typem útoku. Víme jak se vypořádat s jakýmkoli typem útoku a cílem pro nás je poskytnout Vám službu, která Vás opravdu ochrání, jestliže na Vás nějaký útok půjde.
Otázka tedy nezní "Potřebuji to?", ale spíše "Ochrání mě to, až jednoho dne přijde útok?"
Minulý týden mě urgentně kontaktoval zákazník s tím, že jeho stránka je pod útokem nějakého dítěte. O 3 kliknutí později byl útok nasměrován na VAC1 a stránka www.prestashop.com byla opět online.
Každý den je na naši síť vedeno až 1200 útoků a my ochráníme cca 700 z Vás v průměru. Je to ale každý den jiné...
Služba
-------
Budeme nabízet 3 úrovně služeb:
- Již v základu a v ceně služby. Cílem je ochrana naší infrastruktury a našich zákazníků nejlépe, jak jen dovedeme. Abychom mohli správně chránit infrastrukturu proti útoku, je ale nezbytné vědět, co na serveru běží a díky tomu nastavit správné zmírnění. Bez kontaktu s našim zákazníkem ale můžeme dělat jen něco.
- s profesionálním použitím budete mít možnost si pohrát s přizpůsobením ochrany pomocí Zákaznického prostoru APIv6. V tomto případě Vám nabídneme následující nástroje:
- sítový firewall 480 Gb/s s možností přidání až 100 ACL řádek se vzdálenými IP adresami, což je inovací OVH.
- volba několika desítek typů zmírnění útoků. To zahrnuje web, hry, teamspeek, streaming, atd.
- neustálé zmírnění či detekce útoku pomocí automatické aktivace VAC
- podpora k produktu přes mailing list: ddos@ml.ovh.net
S VIP podporou budete mít k dispozici 24/7 pomoc našich pracovníků s nastavením + Můžete zavolat našemu technikovi, abyste mohli rychle a efektivně čelit právě probíhajícímu útoku. VIP tým zajistí, že je útok monitorován 24/7 a přizpůsobí ochranu v případě, že se útok změní.
Cena
----
Během alfa testu bude ochrana před DDoS útoky zahrnuta v ceně služby serveru, VPS, PCI, dedicated cloud či (dostupné pouze pro francii) ADSL připojení.
Byly jsme velmi překvapeni stále se opakující otázkou: "Kolik to bude stát?"
To nás donutilo se hodně zamyslet.
Po pořádné úvaze jsme došli ke 3 možnostem:
- Dělat to samé jako ostatní společnosti, což je nabízení drahé zmírňující služby a cenu služby odvodit od kapacity. V takovém případě jsou zde ale limity 10 či 20 Gb/s (!!) a je zde navíc i limit týkající se délky útoku (!!). Ve stučnosti jde tedy o předraženou a velmi omezenou službu. Toto je standardní obchodní model všech našich konkurentů a dodavatelů zmírňujících řešení.
- Nabízet něco levného/adekvátního, což znamená investovat do infrastruktury (mluvíme tu zhruba o 75M Kč) a poté nezahrnovat cenu tohoto zmírňujícího řešení do ceny všech služeb - jednoduše tuto službu nabízet, ale nenabízet žádnou podporu či rady z naší strany a doufat, že infrastruktura obstojí při soudném dni.
- Sdílet cenu VAC a podporu našich týmů se všemi existujícími a budoucími zákazníky, které máme na naší infrastruktuře - toto je řešení, které jsme zvolili. V tomto scénáři mluvíme o povinném řešení pro všechny existující dedikované servery, VPS a dedicated cloud. Protože jde o velmi velký počet zákazníků, navýšení ceny je minimální:
- VPS: +12,5 Kč/měsíc
- KS: +25 Kč/měsíc
- SP: +25 Kč/měsíc
- EG: +25 Kč/měsíc
- MG: +25 Kč/měsíc
- HG: +25 Kč/měsíc
- Dedicated Cloud: +125 Kč/měsíc
- Colocation (pouze Francie): +250 Kč/měsíc
Toto navýšení ceny pro všechny naše existující a budoucí zákazníky nám umožní pokračovat v investicích a vylepšení infrastruktury, takže se budeme moci vypořádat s novými útoky.
Cena bude navýšena od září 2013 pro všechny existující servery. Avšak jestliže si server zaplatíte na celý rok, DDoS ochrana bude již zahrnuta v ceně, takže se cena serveru nezmění.
Navýšení je mezi 12,5 Kč a 250 Kč za měsíc. Může se to zdát v porovnání s cenami anti-DDoS služeb u naší konkurence jako málo. Můžete dokonce říct, že za tak málo nebudeme moci poskytnout kvalitní ochranu proti DDoS útoky, ale jestliže se cena takto rozloží na všechny naše zákazníky, rádi se zhostíme tohoto úkolu a staneme se vedoucím hráčem v ochraně proti útokům a odvrácením soudného dne.
S pozdravem,
Octave