Re: Angriffe auf unser Netzwerk

http://status.ovh.net/?do=details&id=1449

In Folge eines anhaltenden Angriffs auf eine IP haben wir die Einstellungen weiter
verfeinert und den während eines Angriffs erlaubten Burst von 10000 auf 8000
herabgesetzt. Der Angriff ist daraufhin von 70 Mbit/s auf 10 Mbit/s zurückgegangen.
Er geht weiter, hat aber keine Auswirkungen mehr auf den Server.

#sh inter f0/15 | i 30 sec
30 second input rate 2822000 bits/sec, 303 packets/sec
30 second output rate 62419000 bits/sec, 121785 packets/sec
[...]
#sh inter f0/15 | i 30 sec
30 second input rate 5422000 bits/sec, 585 packets/sec
30 second output rate 10334000 bits/sec, 20076 packets/sec

Zögern Sie also nicht, uns bestehende Probleme zu melden.

Guten Tag,

die Schutzmassnahmen gegen die Angriffe liefern sehr gute Ergebnisse. Wir mussten in
den letzten Tagen nur ein einziges Mal eingreifen - vorher war dies üblicherweise
mehrmals am Tag notwendig.

Beispiel eines Angriffs, der gestern gegen 22:00 Uhr begonnen hat und immer noch
andauert (4 Gbit/s UDP zu einer IP bei OVH):
http://demo.ovh.net/fr/ba3c2a2c8e7d3...c6dcf88ab240d/

Die Schutzeinstellungen filtern diesen Angriff, so dass der einzige Beweis, dass
überhaupt ein Angriff stattfindet, dieser Graph ist.
Was schonmal nicht schlecht ist

Wir haben auch noch andere Angriffe verzeichnet, diesmal auf das Shared Hosting. Die
Infrastruktur hat nicht standgehalten und es kam vor etwa 2 Tagen deshalb zu 2
Abstürzen. Wir haben die AX Router zeitweise aus dem Produktivbetrieb genommen (der
Traffic lief über die mit den ACE realisierte niedrigere Ebene). Dann haben wir die
Einstellungen optimiert, um solche Abstürze zu vermeiden.

Kurz gesagt, Angriffe aller Art sind bei einem Hoster tägliche Routine und gehören
zum Beruf. Das ist kein Krieg, den man gewinnen kann. Es geht nur darum, die
Angriffe abzuwehren, ohne dass unsere Kunden davon betroffen werden. Das ist die
Herausforderung...

Bitte geben Sie uns Rückmeldung, ob Sie weniger Angriffe, weniger Probleme oder
weniger "bizarre" Dinge bemerken, ob alles gleich geblieben ist und sich nichts
geändert hat, oder ob es sogar schlimmer geworden ist, eine totale Katastrophe, ein
Skandal? Im Voraus vielen Dank für Ihre Feedbacks!

Mit freundlichen Grüssen

Octave

Guten Tag,

nach Aktivierung des Schutzes vor den Angriffen auf dem UDP-Layer mussten wir seit
24 Stunden nicht mehr eingreifen, um die Infrastruktur zu schützen. Wir haben etwa
zehn alltägliche Angriffe registriert, welche aber keine Auswirkungen auf die Kunden
hatten.

Wir können also davon ausgehen, dass die neuen Einstellungen korrekt und ausreichend
sind.

Wunderbar! Hoffen wir, dass es nun so bleibt

Die Zusammenfassung:

- Wir haben einen Schutz am Eingang unseres Netzwerkes eingerichtet: Wir beschränken
UDP-Traffic auf 50 Mbit/s pro Quell-IP, d.h. eine bestimmte Internet-IP kann nicht
mehr als 50 Mbit/s per UDP zu OVH schicken.

- Wir haben einen Schutz auf den Routern im Rechenzentrum aktiviert: Ein UDP-
Trafficlimit von 50 Mbit/s zu einer Ziel-IP, d.h. eine bestimmte IP bei OVH kann
nicht mehr als 50 Mbit/s UDP-Traffic aus dem Internet empfangen.

Die Zusammenfassung der Schutzmaßnahmen (der letzten 1-2 Jahre):
- Es gibt eine Beschränkung pro Quell-IP von 32 Kbit/s zu OVH für ICMP und TCP/SYN
(mit einigen Ausnahmen).

Die VPS und mC haben die folgenden Schutzmaßnahmen:
- 100 Mbit/s pro IP über TCP
- 5 Mbit/ss pro IP über UDP
- 32 Kbit/s pro IP über ICMP

Es gibt keine anderen Limitierungen und es sind keine weiteren vorgesehen.

Wir haben positive Resultate mit der Einführung dieser Schutzmaßnahmen erzielt.
1 Kunde war nicht zufrieden, dafür erhielten wir viele Feedbacks mit einem "uufff".
Ich denke diese Schutzmechanismen schaffen einen guten Mehrwert für unsere Angebote,
weil sie zur Erhöhung der Sicherheit unserer Dienste beitragen, welche wir unseren
Kunden anbieten. Ob es sich um einen Gameserver, einen Webserver oder eine DSL-
Verbindung handelt: Von einem Mitbewerber einen DoS-Angriff zu erhalten, ist sehr
unangenehm. Bei OVH sind Sie jetzt gegen diese Launen Ihrer Konkurrenten geschützt.

Mit freundlichen Grüssen

Octave

http://status.ovh.net/?do=details&id=1449

Wir werden die Schutzeinstellungen auf den Routern in den Datacentern aktivieren:

Vrack: erledigt
HG 2010/2011: bereits erledigt
pCC: erledigt

Guten Tag,

wir haben gerade die Einstellungen an den Eingängen zum Backbone geändert: wir
haben die Filterung der gesamten IP Schicht enfernt und nur noch die UDP Filterung
beibehalten.

Eine IP aus dem Internet ist also ins Netzwerk von OVH auf einen Durchsatz von 50
Mbit/s per UDP beschränkt.

Wenn Sie damit Probleme haben, dann melden Sie uns diese bitte umgehend. Wir
ergreifen zwar gerade notfallmässige Massnahmen, diese können wir aber noch weiter
verfeinern. Verwenden Sie wie immer folgende E-Mail Adresse, wenn es um Leben oder
Tod geht: oles@ovh.net

Im Laufe des Nachmittags werden wir die Einstellungen dann weiter verfeinern, um
schliesslich 3 neue Regeln zu haben

- Beschränkung für UDP von einer Quell-IP im Internet zu OVH; derzeit auf 50 Mbit/s
beschränkt, wir werden versuchen, gegen 14:00 Uhr auf 20 Mbit/s herunterzugehen

- Beschränkung für UDP zu einer Ziel-IP bei OVH; derzeit für das HG Netzwerk mit 50
Mbit/s eingerichtet. Wir wissen noch nicht, ob dies nützlich ist und noch weiter
verfeinert oder auch auf den Routern eingerichtet werden sollte

- Beschränkung für UDP von einer Quell-IP bei OVH ins Internet: noch nicht
eingerichtet. Ziel ist es, zu vermeiden, dass ein Server bei OVH Angriffe ins
Internet durchführt.

Mit freundlichen Grüssen

Octave

Guten Tag,

angesichts der Anzahl an Angriffe, denen wir im Moment jeden Tag ausgesetzt sind,
haben wir beschlossen, das Kriegsbeil auszugraben Es geht so nicht mehr. Allein
Heute hatten wir mehr als 30 Angriffe, 5 Netzwerke unserer Kunden waren betroffen
und deren Dienst zeitweise beeinträchtigt.

Deshalb:

Eine Quell-IP (aus dem Internet) kann nun nicht mehr als 50 Mbit/s auf der gesamten
IP Schicht ins Netzwerk von OVH senden. Längerfristig überlegen wir, dies dann nur
noch auf die UDP Schicht anzuwenden.

Wir haben auch beim HG Netzwerk eine Beschränkung für die Quell-IP für UDP auf 50
Mbit/s für alle IPs ausserhalb von OVH hinzugefügt.

Wenn Sie Probleme feststellen, dann zögern Sie nicht, uns diese per E-Mail an
oles@ovh.net und/oder noc@ovh.net zu melden.

Mehr Informationen:
http://status.ovh.net/?do=details&id=1449

Mit freundlichen Grüssen

Octave