OVH Community, your new community space.

Les Attaques


Myatu
19-06-2010, 19:57
I'm noticing that OpenVPN cuts out often lately, and I'm wondering if this is related (as it's high UDP traffic).

RapidSpeeds
14-06-2010, 14:05
Hrmm, this interests me a great deal - I wonder why he thought it wasn't appropriate to us?

Myatu
14-06-2010, 13:18
Odd, generally Oles cross-posts e-mails like these in the forums, but this time he hasn't while I personally think it's a topic of interest:

Original:

Bonjour,
Il y a 2 semaines environ, nous avons mis en place les protections
contre les attaques qui nous donnent enfin beaucoup de satisfaction.
En gros, le DoS de type Smurf et Synflood ont été reduites de
presque 100%. On limite la bande passante sur certains type de packets
sur le trafic entrant par IP et par port. Ce que veut dire qu',à moins
de spoofer chaque packet, une IP donnée ne peut pas balancer d'attaque
qui nous demande d'agir et donc qui met en panne le serveur. Bref, on
a reduit le nombre d'attaque bete. On a aussi reduit par la même
occasion le nombre de scans.

Il reste toutes les attaques sur la couche UDP. Ce week-end nous en
avons eu le nombre "normal" c'est à dire 5-6. Il s'agit des attaques
qui sont tellement fortes que l'astreinte d'Ovh est declanché pour
proteger l'infra. Genre 3Gbps par ici, 800Mbps par là, 1.2Gbps encore
là etc etc. Lorsqu'on analyse ces attaques, il s'agit dans 99 cas
sur 100, d'un DoS sur l'UDP à partir de 2-3 serveurs dans les autres
hosters. Nous avons dû par exemple bloquer une /16 d'un hosteur qui
ne repondait pas à nos multiples emails alors qu'on avait des attaques
multiples à partir de plein d'IP durant 3 semaines en continue
http://travaux.ovh.net/?do=details&id=4264

Les protections qu'on prepare vont resoudre ces problemes là. Il restera
de attaques super pro mais au moins on va reduire les attaques betes.

Sur la couche UDP, j'ai plusieurs questions:
- au niveau de jeux (les port 26XXX), quel trafic genere chaque joueur ?
- les tunnels, est-ce que vous pouvez me donner les IP que vous utilisez
pour faire les tunnels UDP entre Ovh et exterieur du monde ? les ports
qui sont utilisés ?
- au niveau de NFS, est-ce que vous l'utilisez entre 1 serveur chez
Ovh et un serveur hors Ovh (normalement c'est tellement fou que
personne ne devrait le faire, ultra insecure aussi). si oui merci
de me donner les IP pourque je regarde
- au niveau du DNS (le port 53) il me reste les simulations à faire
un gros serveur DNS peut envoyer 3-5Mbps vers tout internet. quels
sont les gros DNS exterieur que notre reseau utilise et combien de
trafic ça fait ? voilà la question
- NTP/SYSLOG aucun probleme

En gros, ce qu'on a prevu mettre en place:
- par défaut une protection "normale", je veux arriver à un reseau
100% protegé
- si vous avez besoins spécifique et moins de protection contre les
attaques, vous pouvez passer à "non protection".

Une fois qu'on aura fini avec tout ceci, vous allez pouvoir passer
à la protection "importante" qui étant couplé avec un firewall type
ASA permet d'eliminer 100% des attaques sur la couche 3/4. Il reste
que les attaques sur la couche 7, les vrais requetes alias DoS de
trop de visiteurs.

Amicalement
Octave
Machine translated:

Hello

There are about two weeks, we have put in place protections against attacks that finally gives us great satisfaction. Basically, the type of DoS Smurf Synflood and were reduced by almost 100%. We limit the bandwidth on certain types of packets on the incoming traffic by IP and port. What means that, unless each packet to spoof an IP data can not swing attack that requires us to act and then putting down the server. In short, ona reduced the number of attack beast. It has also reduced at the same time the number of scans.

It is all the attacks on the UDP layer. This weekend we had all the "normal" ie 5-6. These attacks are so strong that the penalty of OVH is triggered to protect the infrastructure. Gender 3Gbps here, thereby 800Mbps, 1.2Gbps still there etc etc. When analyzing such attacks, it is in 99 out of 100, a UDP DoS from 2-3 servers in other hosters. We had such a lock /16 of a hosteur which did not satisfy our many mails, so we had to attack from full multi-PI in three weeks continuously http://travaux.ovh.net/?do=details&id=4264

The protections that are prepared to solve these problems here. He will attack the super pro but at least it will reduce attacks beasts.

The UDP layer, I have several questions:
- At games (the port 26XXX), which traffic generated each player?
- Tunnels, is that you can give me the IP that you use to make UDP tunnels between OVH and outside of the world? ports that are used?
- At NFS, do you use between a server and a server at OVH OVH off (normally it's so crazy that no one should, as ultra insecure). if so thank you for giving me the IP I look pourque
- The level of the DNS (port 53) I still have the simulations to make a big DNS server can send to any 3-5Mbps Internet. What are the big external DNS that uses our network and how much traffic does it matter? That is the Question
- NTP / SYSLOG no problem

Basically, what has been provided for setting up:
- Default protection "normal", I want to get to a network 100% secure
- If you have specific needs and less protection against attacks, you can switch to "no protection".

Once we have finished with all this, you will be able to go to protect "important" which is coupled with a standard ASA firewall can eliminate 100% of attacks on the layer 3 / 4. Nevertheless, the attacks on the layer 7, the real applications aka DoS too many visitors.