OVH Community, your new community space.

URGENT ET IMPORTANT DNS resolver et DNS AMP


oles@ovh.net
13.08.13, 12:01
Bonjour,
Sur presque 160'000 serveurs physiques et plus
de 40'000 VM que nous gérons sur notre réseau,
certains ont une mauvaise configuration DNS qui
permet aux hackeurs d'utiliser le serveur DNS
pour lancer les attaques à partir de notre réseau
vers les cibles. Du DDoS, type DNS AMP.

Lors que nous détectons ce genre d'attaque,
nous aspirons l'IP attaquée et on regarde toutes
les IP sources qui participent aux attaques.
(Dans quelques semaines on va purger le trafic
pour le réinsérer propre sur l'Internet).
Ceci nous permet de trouver et fermer très facilement
et avec les preuves un serveur puis informer le
client qu'il a provoqué un incident de sécurité.

Depuis 1 semaine, on travaille sur les attaques
DNS AMP qui sont générés par nos clients à cause
de la mauvaise configuration du BIND. Un email
est déjà parti vers 500 premiers clients à qui
on demande la correction du problème et on
prépare l'email pour les 3000 clients restant.

En parallèle on gère les attaques qui sont
toujours en cours, plusieurs par jour, parce que
le BIND n'est toujours pas fixé, parce que le client
n'a pas le temps ou pense que ce n'est pas grave.

Nous avons donc aspiré les 3200 IP qui participent
depuis 2H à une attaque. L'aspiration va sur notre
infrastructures de mitigation VAC1 à RBX et on filtre
toutes les requêtes DNS réalisées de l'extérieur qui
ont pour but de lancer l'attaque. Les autres requêtes
ne sont pas filtrées et passent.

En parallèle, on envoie les emails aux clients afin
qu'il fixe le problème dans les 24H. A partir de
demain, on va lancer la compagne de suspension de
serveurs pour cause d'insécurité.

Est-ce que mon serveur DNS est sécurisé ?
Testez vos IP: http://ovh.to/DXgaKp2

Comment sécuriser le DNS ?
Le guide: http://ovh.to/VxN3Wr

Est-ce qu'Ovh peut le faire ?
Oui, ceci coûte 20E. il faut ouvrir le ticket
via le support http://ovh.to/75qHXTv

Amicalement
Octave