Pour plus d'informations n° indigo (0,118 €/min) 08 203 203 63
À propos
Index des annonces
Les protections actives de serveurs
Bonjour,
Il y a quelques années, nous avons mis en place les protections des serveurs de nos clients contre les attaques venant de l'Internet.
Nous nous sommes concentrés sur les grosses attaques de 500Mbps, 1Gbps ou 4Gbps venant de plusieurs centaines, milliers de serveurs en destination d'un serveur hébergé chez Ovh. Ce genre d'attaque ne posait pas de problème sur les routeurs (nous avons beaucoup de capacité entre Internet et Ovh). Par contre lorsque l'attaque n'était pas correctement filtrée, le problème apparaissait dans la baie du serveur victime et donc sur 40/50 serveurs voisins.
Il y a 2-3 ans, dans 99% de cas, il s'agissait de guerres entre les bandes de hackeurs. L'une des bandes a décidé d'attaquer un serveur dédié qui hébergé le bot IRC d'une autre bande pour récupérer l'accès à un channel IRC et il se trouvait que le bot IRC était hébergé chez Ovh sur un serveur dédié. Et donc lorsqu'une attaque a été reçue sur un serveur dédié, le serveur a été suspendu et le contrat cassé.
Depuis la mise en place de filtrage IRC (avec déblocage manuel par le client dans le manager), et la mise en place de protection INPUT/OUTPUT (http://travaux.ovh.com/?do=details&id=1421), nous avons vécu un temps calme et heureux. Ceci marche très bien, car comme décrit dans le task 1421, nous avons eu une protection par connexion (100Mbps puis au bout de 32Mo, la connexion passe à 10Mbps) sans aucune limitation sur la somme de toutes les connexions. Si quelqu'un attaquait un serveur, son attaque était rapidement limité à 10Mbps. Et 10Mbps dans pas mal de cas, n'est pas un problème.
Aujourd'hui, nous souhaitons gérer les petites attaques de 1Mbps, 10Mbps ou 20Mbps. Ce genre d'attaque sont souvent invisibles pour Ovh puisque notre réseau a une capacité de 400Gbps. On ne voit pas une attaque de 1Mbps. Or ce genre de petites attaques sont très dure à gérer pour nos clients. Souvent malgré le peu de Mbps reçu, le client ne peut plus se connecter sur le serveur et bloquer l'attaque sur le serveur directement. Et même s'il arrive, il suffit d'augmenter l'attaque de 20Mbps à 80Mbps pour que le client perde à nouveau le contrôle du serveur.
Nous avons mis au point 4 types de protections que le client peut ou pas activer pour protéger son serveur. Ces protections doivent maintenant être testés avec certains d'entre vous afin d'affiner les réglages au besoins réels de nos clients.
4 protections:
En attendant, on cherche les bêtas testeurs pour la protection WWW et GAME. N'hésitez pas à m'écrire sur oles@ovh.net en donnant votre identifiant (-OVH) et l'IP de votre serveur. Si vous voyez d'autres types de protections à développer, merci de nous faire part de vos expériences.
Amicalement
Octave
Il y a quelques années, nous avons mis en place les protections des serveurs de nos clients contre les attaques venant de l'Internet.
Nous nous sommes concentrés sur les grosses attaques de 500Mbps, 1Gbps ou 4Gbps venant de plusieurs centaines, milliers de serveurs en destination d'un serveur hébergé chez Ovh. Ce genre d'attaque ne posait pas de problème sur les routeurs (nous avons beaucoup de capacité entre Internet et Ovh). Par contre lorsque l'attaque n'était pas correctement filtrée, le problème apparaissait dans la baie du serveur victime et donc sur 40/50 serveurs voisins.
Il y a 2-3 ans, dans 99% de cas, il s'agissait de guerres entre les bandes de hackeurs. L'une des bandes a décidé d'attaquer un serveur dédié qui hébergé le bot IRC d'une autre bande pour récupérer l'accès à un channel IRC et il se trouvait que le bot IRC était hébergé chez Ovh sur un serveur dédié. Et donc lorsqu'une attaque a été reçue sur un serveur dédié, le serveur a été suspendu et le contrat cassé.
Depuis la mise en place de filtrage IRC (avec déblocage manuel par le client dans le manager), et la mise en place de protection INPUT/OUTPUT (http://travaux.ovh.com/?do=details&id=1421), nous avons vécu un temps calme et heureux. Ceci marche très bien, car comme décrit dans le task 1421, nous avons eu une protection par connexion (100Mbps puis au bout de 32Mo, la connexion passe à 10Mbps) sans aucune limitation sur la somme de toutes les connexions. Si quelqu'un attaquait un serveur, son attaque était rapidement limité à 10Mbps. Et 10Mbps dans pas mal de cas, n'est pas un problème.
Aujourd'hui, nous souhaitons gérer les petites attaques de 1Mbps, 10Mbps ou 20Mbps. Ce genre d'attaque sont souvent invisibles pour Ovh puisque notre réseau a une capacité de 400Gbps. On ne voit pas une attaque de 1Mbps. Or ce genre de petites attaques sont très dure à gérer pour nos clients. Souvent malgré le peu de Mbps reçu, le client ne peut plus se connecter sur le serveur et bloquer l'attaque sur le serveur directement. Et même s'il arrive, il suffit d'augmenter l'attaque de 20Mbps à 80Mbps pour que le client perde à nouveau le contrôle du serveur.
Nous avons mis au point 4 types de protections que le client peut ou pas activer pour protéger son serveur. Ces protections doivent maintenant être testés avec certains d'entre vous afin d'affiner les réglages au besoins réels de nos clients.
4 protections:
- pas de protection du tout:
le client souhaite profiter au maximum de la bande passante qu'Ovh lui propose. Nous avons enlevé la protection du task 1421 (en bêta test). - protection WWW:
Si le client a une activité WWW avec les sites Internet Web 2.0, il peut profiter d'une protection active de son serveur contre les attaques. Il s'agit de limites la bande passante entre Internet et le serveur du client, IP par IP et gérer cette bande passante de chaque IP de l'Internet vers le serveur. Les visiteurs profitent pleinement des sites et il n'y a aucune dégradation du service. Par contre on ne peut pas utiliser le serveur pour les backups ou transfert de gros fichiers de l'Internet vers le serveur. Les routeurs bloquent automatiquement ce genre "d'attaque". Si le client souhaite utiliser le serveur comme le backup, il suffit de prendre une IP fail-over, accrocher sur le serveur et ne pas la protéger contre les attaques. Ainsi, l'activité principale du serveur se basant sur l'IP du serveur est protégé et sur l'IP fail-over, le client peut mettre les activités qui nécessitent beaucoup de bande passante entrante. - protection GAME:
On voit de plus en plus souvent de petites attaques entre les joueurs qui attaquent d'autres joueurs pour les retarder dans le jeux et gagner la partie ... Nous avons mis au point une protection spécialement conçue pour les serveurs de jeux. Mais il faut encore l'affiner. - protection TOTALE:
si un serveur reçoit une attaque importante, nos équipes doivent intervenir sur le réseau et bloquer l'attaque de manière rapide et efficace. Cette protection est uniquement destiné à l'utilisation interne. Une fois la protection mise, le serveur fonctionne correctement et le client a un total contrôle sur le serveur. Par contre, il ne peut rien transférer sur le serveur. Dés qu'il y a trop de packets venant de l'Internet vers le serveur, les routeurs protègent l'infrastructure d'Ovh.
En attendant, on cherche les bêtas testeurs pour la protection WWW et GAME. N'hésitez pas à m'écrire sur oles@ovh.net en donnant votre identifiant (-OVH) et l'IP de votre serveur. Si vous voyez d'autres types de protections à développer, merci de nous faire part de vos expériences.
Amicalement
Octave