We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Re: DRINGEND UND WICHTIG resolver und DNS AMP


oles@ovh.net
25.06.13, 12:56
Guten Tag,

als Provider für Internetinfrastruktur war OVH schon immer mit DDoS-Angriffen konfrontiert. Sowohl auf unsere Infrastruktur als auch auf Dienste unserer Kunden. Seit Ende 2010 mit der Wikileaks Geschichte wird in den Medien über DDoS-Angriffe berichtet und durch DNS AMP wurde es Anfang diesen Jahres ein Kinderspiel, einen DDoS mit mehreren Gbit/s zu starten.

Wir haben unsere Schutzmechanismen im Laufe der Zeit mit einem einfachen Ziel weiterentwickelt: DDoS-Schutz sollte keine Option sein. Im Gegenteil; Kunden müssen standardmäßig von einem derartigen Schutz profitieren.

Seit etwa vier Monaten arbeiten wir an einem neuen Typ Schutzinfrastruktur gegen DDoS, die wir "VAC" nennen. VAC wie "Vaccum", also Staubsauger. Der Gedanke ist, einen Staubsauger auf den Traffic an den Netzgrenzen anzusetzen um alle schädlichen Pakete zu entfernen und alle nützlichen Pakete durchzulassen.

Der VAC1 ist derzeit in Roubaix als ALPHA installiert. Er funktioniert bereits gut genug um eine Aussage zum Schutz machen zu können, den OVH vor DDoS-Angriffen bietet.

Wir planen den Start der BETA diese Woche. Am 16 Juli werden wir den VAC Dienst auf unserer Webseite erklären und es wird einen neuen Vertrag geben, um die Rahmenbedingungen des Dienstes zu klären. Ziel ist es, so transparent wie möglich zu sein und Ihnen mehr Garantien bieten zu können.

Hardware
--------
Der VAC ist eine Schadensbegrenzungseinheit, die bis zu 160 Gbit/s bzw. 160 Gpackets/s Traffic säubern kann.

Er besteht aus zwei Routern: einem Cisco ASR 9001 und einem Cisco Nexus 7009. Insgesamt haben wir mit einem VAC 114 10Gbit/s-Ports. das sind 1,14 Tbit/s Routing-/Switchingkapazität. Zur Reinigung des Traffic nutzen wir zwei Arten Hardware: 4 Tilera mit je 20 Gbit/s (80 Gbit/s) und ein TMS 4000 mit 30 Gbit/s.

Die Softwareentwicklung auf den Tilera wird durch unsere internen Entwicklungsteams betrieben. Es ist ein lowlevel C/C++ Code, Queue-Verwaltung und Algorithmen, die entscheiden ob ein Paket gefiltert wird. TMS 4000 ist eine Kiste mit Algorithmen, die von Arbor entwickelt wurden.

Der Traffic wird am Eingang eines Rechenzenters abgesaugt, gesäubert und dann zu den Raum-Routern geleitet. Im Fall von VAC1, wird der Traffic von zwei Hauptroutern von Roubaix abgesaugt und durchläuft fünf Stufen der Säuberung. Jede Stufe säubert intelligent von einem speziellen Typ Angriff und gibt den restlichen Traffic an die nächste Stufe weiter. Ziel ist es hierbei, Angriffe jede Stufe signifikant zu reduzieren.
Dank diesen fünf Stufen ist es möglich, mit Angriffen bis zu 160Gbit/s klar zu kommen.

Wenn sich einer unserer Mitbewerber eine TMS4000 kiste von Arbor mit einer 10G Karte kauft, kann er damit 10Gbit/s filtern. Das ist quasi nichts. Wenn ein Angriff darüber hinaus geht, wird der Vertrag gekündigt und man darf sich einen neuen Provider suchen.

Hier tritt OVH auf den Plan. Wir haben kein Limit in der Größe der Angriffe, die wir bewältigen können.

Funktionsumfang
---------------
Mit einem VAC können wir folgende Dientse anbieten:
- Eine Netzwerkfirewall
- Begrenzung von DDoS-Angriffen
- Wahl des Typs der Begrenzung
- Durchgehende Begrenzung
- Erkennung eines Angriffs und aktivierung der Begrenzung
- Support um Ihnen im Falle eines Angriffs zu helfen

Ein VAC saugt auch Angriffe ab, die ihren Ursprung in unserem Netz haben. Manchmal werden Kundenserver gehackt und dann zum Angreifen genutzt. Sobald wir diese Angriffe bemerken, werden auch sie über den VAC abgesaugt und gereinigt, um die Server zu finden, die gehackt sind und sie in den Rescuemodus zu versetzen.

Ein VAC hilft auch im Kampf gegen SPAM. Der VAC saugt und dupliziert ausgehenden E-Mail-Traffic eines Rechenzenters um eine Anti-Spam- und Anti-Virus-Analyse durchzuführen. Wir werden eine Statistik zum Spam-Aufkommen pro quell-IP unserer Rechenzentren anfertigen können um den SMTP Fluss einer IP zu blockieren, die als Spammer erkannt wurde.
Ein VAC speichert nichts. Es ist ein Trafficanalyzer, der keine Mails speichert sondern nur in Echtzeit Mailproben analysiert die unsere Rechenzentren verlassen.

Ausser Staubsaugen, kann der VAC auch noch Bügeln... kleiner Scherz

Redundanz
---------
Die Redundanz eines VAC wird durch einen weiteren VAC realisiert. Vor Ende August werden wir drei VAC Schadensbegrenzungseinheiten in den drei Standorten installieren:
- Straßburg (SBG)
- Roubaix (RBX)
- Beauharnois (BHS)

Die drei VAC werden parallel arbeiten und jeder wird den ihm am nächsten gelegenen Traffic absaugen um ihn zu reinigen. Anschließend wird der Traffic in das interne Netz eingespeist, das wir eingerichtet haben um all unsere Rechenzentren zu verbinden. So wird bei einem aus Miami, FL kommenden Angriff der Traffic durch BHS geroutet, dort vom VAC3 gereinigt und ins interne Netz übergeben. Schließlich fließt er von BHS über GRA nach RBX um beispielsweise in SBG am Zielserver des DDoS-Angriffs anzukommen.

Die Gesamtkapazität unserer drei VAC ist 3x160 Gbit/s. Das sind 480 Gbit/s bzw. 480 Gpackets/s. Das ist die größte bekannte Schadensbegrenzungsinfrastruktur, die ein Infrastrukturprovider seinen Kunden zur Verfügung stellt.

Folgen
------
Der Schutzdienst ist weder auf die Größe des Angriffs, noch auf die Dauer des Angriffs, noch auf die Art des Angriffs begrenzt. Wir wissen jede Art Angriff abzuwehren und unser Ziel ist es, Ihnen einen Dienst zu liefern, der Sie an dem Tag, an dem Sie angegriffen werden tatsächlich beschützt.

Die tatsächliche Frage lautet nicht "Brauch ich so einen Dienst wirklich?" sondern "Bin ich dadurch im Ernstfall geschützt?". Letzte Woche hatte mich wieder ein Kunde in Not kontaktiert, da seine Seite von einem unzufriedenen Kiddy angegriffen wurde. Drei Klicks später lief der Angriff in den VAC1 und seine Website www.prestashop.com war wieder erreichbar. Jeden Tag kommen bis zu 1200 Angriffe bei uns an und wir verhindern durchschnittlich 700. Eigentlich nicht jeden Tag genau gleich viele...

Dienste
-------
Wir werden drei Service-Stufen anbieten:

- Standard, im Preis inbegriffen. Das Ziel ist es, unsere Infrastruktur und die Kunden Weltweit nach "Best Effort" zu schützen. Um eine Infrastruktur optimal gegen Angriffe zu schützen ist es notwendig zu wissen, welche Dienste auf dem Server laufen um die Begrenzung genau einrichten zu können. Ohne persönlichen Kontakt mit dem Kunden können wir nur "Best Effort" liefern. Das ist der Dienst, den wir standardmäßig liefern.

- Mit Professioneller Nutzung können Sie am Schutz basteln und ihn mit dem Kundencenter und APIv6 anpassen. Wir werden folgenden Werkzeuge anbieten:
  • Netzwerkfirewall mit 480 Gbit/s mit der Möglichkeit, 100 Zeilen ACL pro IP DST anzugeben. Eine Innovation von OVH.
  • Die Auswahl mehrere Duzend Begrenzungstypen z.B. web, smtp, game, teamspeak, streaming etc.
  • Permanente Begrenzung oder Angriffserkennung mit automatischer VAC-Aktivierung
  • Support über die Mailingliste ddos@ml.ovh.net

- Mit VIP Support haben Sie jederzeit menschliche Hilfe zur Konfiguration. Zudem jemand mit dem Sie im Falle eines Angriffs reden können, der Ihnen schnell beim einrichten einer guten Konfiguration hilft, die den Angriff abwehrt. Das VIP Team wird den Schutz überwachen und anpassen, sofern sich der Angriff verändert.

Preis
-----
Während der ALPHA Phase haben wir kommuniziert, dass ein Schutz gegen DDoS im Preis eines Servers, VPS, PCI,PCC oder eines ADSL Zugangs enthalten sein muss.

Wir waren sehr überrascht, immer wieder die gleiche Frage zu lesen "Was wird das kosten?"

Daher haben wir lange nachgedacht... sehr lange.

Nach unseren Überlegungen haben wir drei Möglichkeiten:

- es wie alle Anderen machen, das heißt, einen teuren Dienst anbieten, die geschützte Kapazität vertraglich festlegen und in allen Fällen ein Limit von 10 oder 20 Gbit/s (!!) festlegen. Ausserdem ein Limit in der Dauer des Angriffs (!!). Wer mehr will muss mehr zahlen(!!). Kurz ein angepasster Service, der überteuert und nur begrenzt Nutzbar ist. Das ist das Geschäftsmodell all unserer Mitbewerber und Anbieter von Begrenzungslösungen.

- eine billige Lösung; gemeint ist, in eine Infrastruktur investieren (wir reden von 3M€), und die Kosten nicht in die Preise der Dienstleistungen einrechnen. Einfach anbieten, aber keine Zahlen in Verbindung mit der Abwehr von Angriffen in Verbindung bringen, Auch kein Team bereitstellen, das das System rund um die Uhr betreut und dann hoffen, dass das zur Stunde Null reicht.

- Wir haben uns für die dritte Möglichkeit entschieden: Die Kosten für den VAC und die Mitarbeiter auf alle bestehenden und kommenden Kunden, die von der Infrastruktur profitieren, zu verteilen. In diesem Fall sprechen wir von einer verpflichtenden Option für alle bestehenden Dedicated Server, alle VPS und alle PCC. Aufgrund der hohen Anzahl an Kunden wird die Preisanpassung der Dienste sehr gering ausfallen:
- VPS: +0.5 €/Monat
- KS: +1 €/Monat
- SP: +1 €/Monat
- EG: +2 €/Monat
- MG: +2 €/Monat
- HG: +3 €/Monat
- PCC: +5 €/Monat
- Housing: +10 €/Monat (nur für Frankreich)

Diese Preisanpassung aller Server erlaubt es uns, weiter in die Infrastruktur zu investieren um sie stets für neue Angriffstypen zu wappnen.

Sie wird ab dem 1. September 2013 auf alle bestehenden Server angewandt. Ausgenommen sind Server, die jährlich verlängert werden. Hier ist der DDoS Schutz inklusive und der Jahrespreis bleibt gleich.

Wir reden von einer Steigerung um 0,5 € bis 10€ Euro pro Monat. Es mag im Vergleich mit unseren Konkurenten gering erscheinen. Vielleicht denken Sie sich auch, dass wir für diesen Preis keinen qualitiativen Schutz bieten können. Da wir die Kosten jedoch auf die Große Anzahl Kunden verteilen und durch unsere Investitionen sind wir absolut zuversichtlich, Vorreiter im Bereich Schutz gegen DDoS-Angriffe zu werden.


Mit freundlichen Grüßen

Octave