Re: Angriffe auf unser Netzwerk

das würde vermutlich zu lange dauern

warum werden solche ips nicht für ein paar stunden/tage vom netzwerk ausgeschlossen ?
nach absprache mit dem server besitzer der angegriffen wird ?

http://status.ovh.net/?do=details&id=1449

In Folge eines anhaltenden Angriffs auf eine IP haben wir die Einstellungen weiter
verfeinert und den während eines Angriffs erlaubten Burst von 10000 auf 8000
herabgesetzt. Der Angriff ist daraufhin von 70 Mbit/s auf 10 Mbit/s zurückgegangen.
Er geht weiter, hat aber keine Auswirkungen mehr auf den Server.

#sh inter f0/15 | i 30 sec
30 second input rate 2822000 bits/sec, 303 packets/sec
30 second output rate 62419000 bits/sec, 121785 packets/sec
[...]
#sh inter f0/15 | i 30 sec
30 second input rate 5422000 bits/sec, 585 packets/sec
30 second output rate 10334000 bits/sec, 20076 packets/sec

Zögern Sie also nicht, uns bestehende Probleme zu melden.

French
Cher Octave,

comme je vous ai écrit dans mon e-mail à partir de 12 mai, la bande passante non configurable limitation de l'UDP n'est pas une solution, mais un problème en soi.

Faites-configurable pour les utilisateurs.

Il semble que vous ne lisez pas ou ne prennent pas en considération ce que j'ai écrit via e-mail et dans ce forum. S'il vous plaît prendre le temps de considérer la source scientifique que j'ai joint à mon mail:

http://sites.inka.de/bigred/devel/tcp-tcp.html


English
Dear Octave,

as I wrote you in my e-mail from May 12th, the unconfigurable bandwidth limiting of UDP is not a solution, but a problem in itself.

Make it configurable for the users.

It seems you don't read or don't take into consideration what I wrote via e-mail and in this forum. Please take the time and consider the scientific source I attached to my mail:

http://sites.inka.de/bigred/devel/tcp-tcp.html

VPN-Lösungen wie z.B. OpenVPN nutzen auch UDP! Eine Beschränkung auf 5 Mb/s pro IP limitiert den Nutzen von OpenVPN gegebenenfalls stark.

(Ich bin hier nicht betroffen; dennoch sollte das angemerkt werden.)

Guten Tag,

die Schutzmassnahmen gegen die Angriffe liefern sehr gute Ergebnisse. Wir mussten in
den letzten Tagen nur ein einziges Mal eingreifen - vorher war dies üblicherweise
mehrmals am Tag notwendig.

Beispiel eines Angriffs, der gestern gegen 22:00 Uhr begonnen hat und immer noch
andauert (4 Gbit/s UDP zu einer IP bei OVH):
http://demo.ovh.net/fr/ba3c2a2c8e7d3...c6dcf88ab240d/

Die Schutzeinstellungen filtern diesen Angriff, so dass der einzige Beweis, dass
überhaupt ein Angriff stattfindet, dieser Graph ist.
Was schonmal nicht schlecht ist

Wir haben auch noch andere Angriffe verzeichnet, diesmal auf das Shared Hosting. Die
Infrastruktur hat nicht standgehalten und es kam vor etwa 2 Tagen deshalb zu 2
Abstürzen. Wir haben die AX Router zeitweise aus dem Produktivbetrieb genommen (der
Traffic lief über die mit den ACE realisierte niedrigere Ebene). Dann haben wir die
Einstellungen optimiert, um solche Abstürze zu vermeiden.

Kurz gesagt, Angriffe aller Art sind bei einem Hoster tägliche Routine und gehören
zum Beruf. Das ist kein Krieg, den man gewinnen kann. Es geht nur darum, die
Angriffe abzuwehren, ohne dass unsere Kunden davon betroffen werden. Das ist die
Herausforderung...

Bitte geben Sie uns Rückmeldung, ob Sie weniger Angriffe, weniger Probleme oder
weniger "bizarre" Dinge bemerken, ob alles gleich geblieben ist und sich nichts
geändert hat, oder ob es sogar schlimmer geworden ist, eine totale Katastrophe, ein
Skandal? Im Voraus vielen Dank für Ihre Feedbacks!

Mit freundlichen Grüssen

Octave

josen wrote:
> euch liegt doch mein Mailverkehr vor, der mit kundendienst@ovh.de am
> 12.05.2011 unter dem Betreff "VPN Anbindung" geführt wurde.
>
> Ich habe natürlich alles in Kopie hier, falls die OVH keine E-Mail
> Archivierung betreibt, leite ich es gern nochmal weiter.

Hab schon, obige Angaben haben gereicht.
--
Felix
OVH Team

Hallo,

euch liegt doch mein Mailverkehr vor, der mit kundendienst@ovh.de am 12.05.2011 unter dem Betreff "VPN Anbindung" geführt wurde.

Ich habe natürlich alles in Kopie hier, falls die OVH keine E-Mail Archivierung betreibt, leite ich es gern nochmal weiter.

Mir gehts um Möglichkeiten, mein VPN weiterhin bei euch zu betreiben, ohne Geschwindigkeitsverluste.

Grüße

josen wrote:
> Aber es ist nicht abschaltbar und behindert damit den VPN-Betrieb
> erheblich.

Hallo,

Wenn du einen konkreten Anwendungsfall hast in dem diese Limitierungen
dich tatsaechlich betreffen, bitte mal mit Details melden.
--
Felix
OVH Team

Heisst das, bei allen anderen IP(v4/v6) Protokollen ausser 1, 6 und 17 gibt es keine Beschränkungen?

Die 5Mbps UDP könne mir irgend wann mal Probleme machen. Ich hoffe, ich bekomme dann auf Anfrage wieder die gebuchte Geschwindigkeit. Ansonsten wäre ich auch dafür die Limitierung im OVH Manager schalten zu können.

Ich habe bisher schon Limitierungen in der Packetfilter eingestellt, aber an den Border-Routern ist das natürlich sehr viel besser. Allerdings habe ich, wie gesagt, ein paar Anwendungen, wo ich vielleicht doch mal mehr brauche (z.B. einige Tunnelprotokolle, die auf UDP basieren). Ganz schlecht wäre die Limitierung des ESP (50) Protokolls.

Hallo,

ja ich finde diesen Schutz konzeptionell super. Und wenn ich die drei Beschränkungen im Manager an- und abschalten könnte wäre es etwas, dass ich gern zumindest für ICMP einsetzen würde.

Diese Schutzfunktion im Manager wäre ein Kaufargument für OVH und würde die operativen Kosten vieler keineren Hoster verringern. Außerdem macht sich (rein hypothetisch gesprochen, vertrete weder das eine noch andere) eine Marketingaussage, wie:

"OVH bietet Ihnen einen umfassenden Schutz vor vielen Denial of Service Angriffen, ohne Ihre Betriebsprozesse zu behindern."

besser als:

"OVH beschneidet die Netzneutralität und behindert die Forschung."

Leider ist der Schutz nicht abschaltbar und behindert damit den VPN-Betrieb erheblich. Andere Anwendungsfälle sind sicher auch betroffen.

Ein Nebeneffekt dieser Beschränkung könnte übrigens sein, dass das gesamte Datenvolumen abnimmt oder die Anzahl der notwendigen Eingriffe (Kosten) sinkt. Ein Schelm, wer böses denkt.

Grüße

EDIT:
Es gibt übrigens bereits einen praktisch erfolgreichen Anwendungsfall dieses selektiven, nennen wir es es mal Grundschutz: OpenVCP.

Das Kontrollpanel bietet dem Eigentümer eines virtuellen Servers die Möglichkeit, Filterregeln für Datenverkehr zu setzen. Aus meiner Sicht wäre es Wünschenswert, die IRC-Filterfunktion des Managers aufzubohren, um entsprechende Regeln auch für Rootserver zu setzen. Das erhöht die Sicherheit, keine Filterung von nicht immer schädlichem Netzwerkverkehr.

einen solchen schutz ev. per manager aktivierbar ...?

Hallo,

denkt mal an OpenVPN, das braucht UDP für vernünftigen Betrieb. Leider hat Oles und der deutsche Kundendienst diesen Einwand nach kurzem Mailverkehr ignoriert.

"Diejenigen, die ihre Freiheit zugunsten der Sicherheit aufgeben, werden am Ende keines von beiden haben - und verdienen es auch nicht."
Benjamin Franklin

;-)

Guten Tag,

nach Aktivierung des Schutzes vor den Angriffen auf dem UDP-Layer mussten wir seit
24 Stunden nicht mehr eingreifen, um die Infrastruktur zu schützen. Wir haben etwa
zehn alltägliche Angriffe registriert, welche aber keine Auswirkungen auf die Kunden
hatten.

Wir können also davon ausgehen, dass die neuen Einstellungen korrekt und ausreichend
sind.

Wunderbar! Hoffen wir, dass es nun so bleibt

Die Zusammenfassung:

- Wir haben einen Schutz am Eingang unseres Netzwerkes eingerichtet: Wir beschränken
UDP-Traffic auf 50 Mbit/s pro Quell-IP, d.h. eine bestimmte Internet-IP kann nicht
mehr als 50 Mbit/s per UDP zu OVH schicken.

- Wir haben einen Schutz auf den Routern im Rechenzentrum aktiviert: Ein UDP-
Trafficlimit von 50 Mbit/s zu einer Ziel-IP, d.h. eine bestimmte IP bei OVH kann
nicht mehr als 50 Mbit/s UDP-Traffic aus dem Internet empfangen.

Die Zusammenfassung der Schutzmaßnahmen (der letzten 1-2 Jahre):
- Es gibt eine Beschränkung pro Quell-IP von 32 Kbit/s zu OVH für ICMP und TCP/SYN
(mit einigen Ausnahmen).

Die VPS und mC haben die folgenden Schutzmaßnahmen:
- 100 Mbit/s pro IP über TCP
- 5 Mbit/ss pro IP über UDP
- 32 Kbit/s pro IP über ICMP

Es gibt keine anderen Limitierungen und es sind keine weiteren vorgesehen.

Wir haben positive Resultate mit der Einführung dieser Schutzmaßnahmen erzielt.
1 Kunde war nicht zufrieden, dafür erhielten wir viele Feedbacks mit einem "uufff".
Ich denke diese Schutzmechanismen schaffen einen guten Mehrwert für unsere Angebote,
weil sie zur Erhöhung der Sicherheit unserer Dienste beitragen, welche wir unseren
Kunden anbieten. Ob es sich um einen Gameserver, einen Webserver oder eine DSL-
Verbindung handelt: Von einem Mitbewerber einen DoS-Angriff zu erhalten, ist sehr
unangenehm. Bei OVH sind Sie jetzt gegen diese Launen Ihrer Konkurrenten geschützt.

Mit freundlichen Grüssen

Octave

P2P läuft in der Regel auch per TCP. UDP hingegen wird in erster Linie für Streamingdienste verwendet.

gerade nicht nachgedacht, ich entschuldige meinen "wutausbruch" FTP=TCP, P2P kram und DDos iss ja UDB, das könnt ihr gern dicht machen =)

Hallo,

Genau so lange wie vorher.
Du lädst die Backups doch per (s)ftp? Das basiert auf TCP, was nicht limitiert ist.

Ausserdem ist das Laden der Backups zu dir nach hause ausgehender Traffic(OVH -> Internet), der nicht von den beschriebenen Maßnahmen betroffen ist.

Thomas

http://status.ovh.net/?do=details&id=1449

Wir werden die Schutzeinstellungen auf den Routern in den Datacentern aktivieren:

Vrack: erledigt
HG 2010/2011: bereits erledigt
pCC: erledigt

\\edit........

Guten Tag,

wir haben gerade die Einstellungen an den Eingängen zum Backbone geändert: wir
haben die Filterung der gesamten IP Schicht enfernt und nur noch die UDP Filterung
beibehalten.

Eine IP aus dem Internet ist also ins Netzwerk von OVH auf einen Durchsatz von 50
Mbit/s per UDP beschränkt.

Wenn Sie damit Probleme haben, dann melden Sie uns diese bitte umgehend. Wir
ergreifen zwar gerade notfallmässige Massnahmen, diese können wir aber noch weiter
verfeinern. Verwenden Sie wie immer folgende E-Mail Adresse, wenn es um Leben oder
Tod geht: oles@ovh.net

Im Laufe des Nachmittags werden wir die Einstellungen dann weiter verfeinern, um
schliesslich 3 neue Regeln zu haben

- Beschränkung für UDP von einer Quell-IP im Internet zu OVH; derzeit auf 50 Mbit/s
beschränkt, wir werden versuchen, gegen 14:00 Uhr auf 20 Mbit/s herunterzugehen

- Beschränkung für UDP zu einer Ziel-IP bei OVH; derzeit für das HG Netzwerk mit 50
Mbit/s eingerichtet. Wir wissen noch nicht, ob dies nützlich ist und noch weiter
verfeinert oder auch auf den Routern eingerichtet werden sollte

- Beschränkung für UDP von einer Quell-IP bei OVH ins Internet: noch nicht
eingerichtet. Ziel ist es, zu vermeiden, dass ein Server bei OVH Angriffe ins
Internet durchführt.

Mit freundlichen Grüssen

Octave

öhm verstehe ich das richtig das der komplette eingehende traffic auf 50mbit/s pro verbindung limitiert wird nur weil einzelne kunden angriffen ausgesetzt sind? Das ist doch wohl ein verspäteter april scherz.

Da kann man die Backupserver ja direkt kündigen wenn man seine backups von einem anderen hoster nur noch im schneckentempo zu ovh schieben kann.

Guten Tag,

angesichts der Anzahl an Angriffe, denen wir im Moment jeden Tag ausgesetzt sind,
haben wir beschlossen, das Kriegsbeil auszugraben Es geht so nicht mehr. Allein
Heute hatten wir mehr als 30 Angriffe, 5 Netzwerke unserer Kunden waren betroffen
und deren Dienst zeitweise beeinträchtigt.

Deshalb:

Eine Quell-IP (aus dem Internet) kann nun nicht mehr als 50 Mbit/s auf der gesamten
IP Schicht ins Netzwerk von OVH senden. Längerfristig überlegen wir, dies dann nur
noch auf die UDP Schicht anzuwenden.

Wir haben auch beim HG Netzwerk eine Beschränkung für die Quell-IP für UDP auf 50
Mbit/s für alle IPs ausserhalb von OVH hinzugefügt.

Wenn Sie Probleme feststellen, dann zögern Sie nicht, uns diese per E-Mail an
oles@ovh.net und/oder noc@ovh.net zu melden.

Mehr Informationen:
http://status.ovh.net/?do=details&id=1449

Mit freundlichen Grüssen

Octave