ovh et pare feu malekal

[killer malware]

Salut ,

Bonne année à tous !

j'ai vu l'article qui parle du pare feu que malekal a mis entre son serveur dédiée et le routeur je pensai que le réseau ovh était surveillé entre le routeur et le serveur dédiée comment cela ce fait-il que l'on doit mettre nous même un pare-feu ?

Leur routeur n'a pas de fonction de ce genre d'origine ?

j'ai du mal à me mettre en tête la conception de leur réseau pourtant il et surveiller 24 sur 24 ils doivent savoir quel site et attaquer ou non et pouvoir neutraliser l'attaque...

concernant l'attaque dos je n'étais pas au courant que le site avait subit une attaque ... remarque d'un certain côté c'est gratifiant le site gêne certaine personne...

bon boulot pour la présentation de l'interface du cisco et des graphiques

a +

[Malekal_morte]

Salut,

Je pense qu'ils bloquent les attaques quand ça pénalisent leurs réseaux.
Certainement aussi que les attaques, c'est un argument pour faire vendre.

Ca doit être possible d'avoir du matos qui bloque automatiquement, mais peut-être que ça coûte trop cher à mettre en place pour l'ensemble du réseau.
Y a peut-être une option qui permet d'être protégé mais faut payer, à voir.

A mon avis, tu devrais poser la question sur le forum OVH parce que je bosse pas pour eux donc je sais pas plus que toi comment ça fonctionne derrière.

[killer malware]

Salut ,

merci du retour ,

c'est vrai que pour eux l'option de mettre un pare-feu en option et pas bête pour amasser encore de l'argent...

d'après ce que j'ai vu ils font comme tu dis une surveillance grossière en "général" mais après c'est à chaque admin d'un site de s'occuper de son serveur dédiée.

jai vu que d'autres hébergeur font pareil dès q'un site pénalise le réseau il le déplace dans un serveur qui sert de sandbox en avertissant son propriétaire....

A +

[Malekal_morte]

Amasser de la thune et faire en sorte que ce soit au proprio de gérer son attaque.
Quand tu as des milliers de serveurs, c'est pas plus mal surtout pour des "petits DoS".

Le premier DoS, c'était sur une dédibox.
En fait il y avait eu deux DoS, un qui envoyait des requetes sur une page, gérable par iptables.
Le second, quelques jours après, un Syn Flood, là j'ai rien pu faire.

J'avais ouvert un ticket, le support Dedibox m'avait répondu qu'ils ne pouvaient rien faire.

[Garf]

Vu que la conversation est lancée ici:
j'ai subi une attaque de botnet aussi, tant que la bande passante consommée n'est pas trop élevé, ils te gardent.

Dans mon cas on a subit un DDoS de 10Gb/s (du syn flood), Ovh a du null route l'ip de notre serveur, vu que le parfeu matériel bloque le trafic sur ton serveur, mais pas sur leur réseau, donc une perte sèche en bande passante.
Aucun hébergeur français n'a voulu de nous. Il a fallu avoir recours à des hébergement américain spécialisé contre ce types d'attaque.

En gros le problème du DDoS c'est juste une question de bande passante. Même le le meilleur parfeu matériel ne suffira pas a te protéger contre quelqu'un qui a les ressources suffisantes en bande passante.

[killer malware]

salut ,

y sont grave quand même si y te font une mauvaise pub après les hebergeurs c'est pas forcement de notre faute si un jour ou l'autre notre site web est attaqué.

c'est problématique à l'heure d'aujourd'hui les réseaux de botnet qui tape en dos, autant pour le particulier qui est admin d'un site que pour un géant genre microsoft ou apple j'ose même pas imaginer le nombre d'attaque qui essuie par jour quelqu'un aurait des chiffres par curiosité ?

j'me demande ce qu'on va nous pondre en 2013 au niveau virus je pense à des ransomware qui vont crypter sévere ...

a+

[compte-supprime666]

.

[killer malware]

salut ,

c'est vrai que les bases il y a que ça de vrai genre désactiver les requêtes ping (icmp) pour éviter de ce faire scanner. certains grand site l'on déjà fait microsoft par ex. ne répond pas au ping mais bon ça fait pas tout.

un vrai pirate ne va pas lâcher si le site ne répond pas au ping mais pour certain si.

suivant le site qu'on gère à l'heure d'aujourd'hui on peut gêner sur internet il y a de la concurrence aussi certains s'attaque entre eux pour montrer qui est le patron soit des site concurrent qui paye des botnets soit des particulier qui attaque un site semblable au leur... il me semble que ça se fait dans le milieu warez...

à moins que ce soit les ayant droit qui mette leur grain de sel on sais jamais au final ^^


A+

[Malekal_morte]

L'ICMP on s'en fout un peu.
Pour voir si le serveur est UP, suffit de vérifier si un service est tjrs actif (web, ssh etc).

Le but c'est surtout de mettre le serveur www à genoux en le croulant de requêtes pour qu'au final Apache ne puisse plus répondre et délivrer les pages correctement.
Si derrière, tu tapes sur une page qui fait que le serveur SQL bourrine en CPUn et qu'au final, le serveur lui même plante après une augmentation du load, c'est encore mieux.
Voir si y a vraiment beaucoup de machines, tu remplis la queue réseau et faire que le serveur ne puisse plus suivre.

Tu dois pas pouvoir saturer la connexion elle même vu que chez OVH c'est du 100 mbits ou du Giga.

bref l'ICMP, ça n'a pas vraiment d'importance.

[killer malware]

j'ai lu le post ou tu disais que t'avais ouvert un ticket chez dedibox pour leur demander de l'aide concernant l'attaque dos donc tu as été vicitme, et que eux pouvais rien faire.

C'est grave quand même y doivent bien avoir des contremesure de plus c'est un serveur de chez eux qui a perpétrer l'attaque....

[compte-supprime666]

.

[Malekal_morte]

Ca fait peut-être parti des précautions qu'il faut prendre, mais franchement, aucun DoS en ICMP.
Que du TCP.
Les malwares que j'ai eu qui faisaient du DoS, pareil, que du TCP ou de l'UDP.

A moins que le botmaster ait vraiment une base passante très très supérieure au site, je pense que ça coûte moins cher de bourriner en TCP sur un service qui va faire augmenter la CPU du serveur et faire que le service ne puisse répondre, que de tenter de saturer la couche réseau, en ICMP.

Alors en pratique, pas super convaincu.

[compte-supprime666]

.

[Malekal_morte]

Je sais pour le protocole.

La page que tu donnes, c'est pour la majorité, des vieux trucs.
Certains ne fonctionnent plus.

J'avais des règles iptables sur un rate en icmp de toute façon.
Je suis certains que c'est beaucoup plus difficile de planter une machine en bourrinant en ICMP qu'en attaquant le service www.
Faut vraiment beaucoup beaucoup de machines pour saturer en ICMP, alors qu'avec quelques machines, si le serveur n'est pas protégé et si l'admin ne sait pas bloquer ou n'est pas là, tu peux planter le service www, voire selon comment le serveur au complet (surtout si syn flood).

En plus de cela, si attaque ICMP génant, genre ça ralentit la machine, tu le bloques sur le fw ou sur l'OS.
Que pour une attaque sur le service www, faut que tu parviennes à différencier les mauvais paquets des bons paquets pour que le service continue de pouvoir distribuer les pages.
Pareil faut savoir le faire.

Sinon le site est sous attaque là \o
Mais c'est beaucoup moins violent que la dernière fois, ils ont du perdre des machines!

[compte-supprime666]

.