oles@ovh.net
30.10.08, 12:24
Guten Tag,
wir haben vor einigen Jahren Absicherungen der Server unserer Kunden gegen Angriffe aus dem Internet eingerichtet. Wir haben uns dabei auf die grossen Angriffe mit 500 Mbit/s, 1 oder 4 Gbit/s konzentriert, die von mehreren hundert oder tausend Servern ausgehend auf einen bei OVH gehosteten Server zielten. Diese Art von Angriffen hat auf der Ebene der Router keine Probleme gemacht (wir haben sehr viel Kapazitäten zwischen dem Internet und OVH). Wenn aber der Angriff nicht korrekt gefiltert wurde, dann betraf das Problem das gesamte Rack des angegriffenen Servers, also auch die 40/50 Nachbarserver.
Vor 2 bis 3 Jahren handelte es sich in 99% der Fälle um Streitereien zwischen verschiedenen Hackerbanden. Eine der Banden hat beschlossen, einen dedizierten Server, der den IRC Bot einer anderen Bande beherbergt, anzugreifen, um den Zugang zu einem IRC Channel zu erhalten; und dieser IRC Bot war auf einem dedizierten Server von OVH. Wenn also ein Angriff auf einen dedizierten Server erfolgte, dann wurde der Server geschlossen und der Vertrag gekündigt.
Seit der Einrichtung der IRC Filterung (mit Entsperrung von Hand durch den Kunden im Manager) und des INPUT/OUTPUT Schutzes (http://forum.ovh.de/showthread.php?t=3211) hatten wir in dieser Hinsicht eine ruhige Zeit. Dies funktionierte sehr gut, denn wie in der Meldung beschrieben hatten wir einen Schutz pro Connection (100 Mbit/s, und nach 32 MB geht die Verbindung dann auf 10 Mbit/s) ohne jegliche Beschränkung für die Summer aller Verbindungen. Wenn jemand einen Server angegrifen hat, dann wurde dieser Angriff schnell auf 10 Mbit/s limitiert. Und 10 Mbit/s sind in den meisten Fällen kein Problem.
Nun wollen wir auch die kleinen Angriffe mit 1, 10 oder 20 Mbit/s unterbinden können. Diese Art von Angriffen ist oft unsichtbar für OVH, denn unser Netzwerk hat eine Gesamtkapazität von mehr als 400 Gbit/s. Wir sehen einen Angriff mit 1 Mbit/s einfach nicht. Aber diese kleinen Angriffe sind trotzdem sehr störend für unsere Kunden. Oft ist es, obwohl nur wenige Mbit/s empfangen werden, für den Kunden nicht mehr möglich, sich mit dem Server zu verbinden, und den Angriff direkt auf diesem zu blocken. Und selbst wenn er sich verbinden kann genügt es dann, den Angriff einfach von 20 Mbit/s auf 80 Mbit/s hochzusetzen, damit der Kunde wieder die Kontrolle über seinen Server verliert.
Wir haben 4 verschiedene Arten von Absicherungen entwickelt, die der Kunde aktivieren kann (oder auch nicht...), um seinen Server zu schützen. Diese Absicherungen müssen nun noch mit einigen von euch getestet werden, um die Einstellungen an die Bedürfnisse unserer Kunden anzupassen.
4 Absicherungen:
- Keinerlei Absicherung:
Der Kunde möchte maximal von der Bandbreite, die OVH ihm anbietet, profitieren. Wir haben die Beschränkungen aus dem Thread http://forum.ovh.de/showthread.php?t=3211 entfernt (im Beta Test)
- WWW Absicherung:
Wenn der Kunde WWW mit Web 2.0 Seiten macht, dann kann er eine aktive Absicherung seines Servers gegen Angriffe nutzen. Es handelt sich dabei um Limitierungen der Bandbreite zwischen dem Internet und dem Server des Kunden, IP für IP, und die Verwaltung der Bandbreite jeder IP vom Internet zum Server. Die Besucher können die Seiten ganz normal nutzen, der Dienst wird nicht beeinträchtigt. Jedoch kann man dann den Server nicht für Backups oder die Übertragung grosser Dateien aus dem Internet zum Server verwenden. Die Router blockieren automatisch diese Art von "Angriff". Wenn der Kunde den Server für Backups nutzen möchte, dann genügt es, eine Fail-Over IP zu nehmen, und diese ohne Absicherung an den Server zu hängen. So ist die Hauptaktivität des Servers auf der normalen IP abgesichert, und mit der Fail-Over IP können Dinge die viel eingehende Bandbreite benötigen gemacht werden.
- GAME Absicherung:
Man sieht immer häufiger kleine Angriffe zwischen Spielern, die einen anderen Spieler angreifen, um diesen zu verzögern und so die Partie zu gewinnen... Wir haben eine spezielle Absicherung für Gameserver entwickelt, diese muss aber noch verfeinert werden.
- TOTALE Absicherung:
Wenn ein Server einem grossen Angriff ausgesetzt ist, dann müssen unsere Teams auf der Ebene des Netzwerks eingreifen und der Angriff schnell und effektiv unterbinden. Diese Absicherung ist nur für den internen Einsatz gedacht. Sobald die Absicherung eingeschaltet ist funktioniert der Server normal, und der Kunde hat die volle Kontrolle darüber. Er kann jedoch nichts auf den Server übertragen. Sobald zu viele Pakete vom Internet aus am Server ankommen schützen die Router die Infrastruktur von OVH.
Diese Absicherungen werden in Kürze im Manager verfügbar und mit einem einzigen Klick aktivierbar sein.
Derzeit suchen wir noch Betatester für die WWW und GAME Absicherungen. Wenn Ihr interessiert seid, dann schreibt mir an oles@ovh.net unter Nennung eurer Kundenkennung und der IP des Servers. Wenn Ihr noch mehr Ideen für Absicherungen habt, dann könnt ihr uns diese gerne mitteilen.
Mit freundlichen Grüssen
Octave
wir haben vor einigen Jahren Absicherungen der Server unserer Kunden gegen Angriffe aus dem Internet eingerichtet. Wir haben uns dabei auf die grossen Angriffe mit 500 Mbit/s, 1 oder 4 Gbit/s konzentriert, die von mehreren hundert oder tausend Servern ausgehend auf einen bei OVH gehosteten Server zielten. Diese Art von Angriffen hat auf der Ebene der Router keine Probleme gemacht (wir haben sehr viel Kapazitäten zwischen dem Internet und OVH). Wenn aber der Angriff nicht korrekt gefiltert wurde, dann betraf das Problem das gesamte Rack des angegriffenen Servers, also auch die 40/50 Nachbarserver.
Vor 2 bis 3 Jahren handelte es sich in 99% der Fälle um Streitereien zwischen verschiedenen Hackerbanden. Eine der Banden hat beschlossen, einen dedizierten Server, der den IRC Bot einer anderen Bande beherbergt, anzugreifen, um den Zugang zu einem IRC Channel zu erhalten; und dieser IRC Bot war auf einem dedizierten Server von OVH. Wenn also ein Angriff auf einen dedizierten Server erfolgte, dann wurde der Server geschlossen und der Vertrag gekündigt.
Seit der Einrichtung der IRC Filterung (mit Entsperrung von Hand durch den Kunden im Manager) und des INPUT/OUTPUT Schutzes (http://forum.ovh.de/showthread.php?t=3211) hatten wir in dieser Hinsicht eine ruhige Zeit. Dies funktionierte sehr gut, denn wie in der Meldung beschrieben hatten wir einen Schutz pro Connection (100 Mbit/s, und nach 32 MB geht die Verbindung dann auf 10 Mbit/s) ohne jegliche Beschränkung für die Summer aller Verbindungen. Wenn jemand einen Server angegrifen hat, dann wurde dieser Angriff schnell auf 10 Mbit/s limitiert. Und 10 Mbit/s sind in den meisten Fällen kein Problem.
Nun wollen wir auch die kleinen Angriffe mit 1, 10 oder 20 Mbit/s unterbinden können. Diese Art von Angriffen ist oft unsichtbar für OVH, denn unser Netzwerk hat eine Gesamtkapazität von mehr als 400 Gbit/s. Wir sehen einen Angriff mit 1 Mbit/s einfach nicht. Aber diese kleinen Angriffe sind trotzdem sehr störend für unsere Kunden. Oft ist es, obwohl nur wenige Mbit/s empfangen werden, für den Kunden nicht mehr möglich, sich mit dem Server zu verbinden, und den Angriff direkt auf diesem zu blocken. Und selbst wenn er sich verbinden kann genügt es dann, den Angriff einfach von 20 Mbit/s auf 80 Mbit/s hochzusetzen, damit der Kunde wieder die Kontrolle über seinen Server verliert.
Wir haben 4 verschiedene Arten von Absicherungen entwickelt, die der Kunde aktivieren kann (oder auch nicht...), um seinen Server zu schützen. Diese Absicherungen müssen nun noch mit einigen von euch getestet werden, um die Einstellungen an die Bedürfnisse unserer Kunden anzupassen.
4 Absicherungen:
- Keinerlei Absicherung:
Der Kunde möchte maximal von der Bandbreite, die OVH ihm anbietet, profitieren. Wir haben die Beschränkungen aus dem Thread http://forum.ovh.de/showthread.php?t=3211 entfernt (im Beta Test)
- WWW Absicherung:
Wenn der Kunde WWW mit Web 2.0 Seiten macht, dann kann er eine aktive Absicherung seines Servers gegen Angriffe nutzen. Es handelt sich dabei um Limitierungen der Bandbreite zwischen dem Internet und dem Server des Kunden, IP für IP, und die Verwaltung der Bandbreite jeder IP vom Internet zum Server. Die Besucher können die Seiten ganz normal nutzen, der Dienst wird nicht beeinträchtigt. Jedoch kann man dann den Server nicht für Backups oder die Übertragung grosser Dateien aus dem Internet zum Server verwenden. Die Router blockieren automatisch diese Art von "Angriff". Wenn der Kunde den Server für Backups nutzen möchte, dann genügt es, eine Fail-Over IP zu nehmen, und diese ohne Absicherung an den Server zu hängen. So ist die Hauptaktivität des Servers auf der normalen IP abgesichert, und mit der Fail-Over IP können Dinge die viel eingehende Bandbreite benötigen gemacht werden.
- GAME Absicherung:
Man sieht immer häufiger kleine Angriffe zwischen Spielern, die einen anderen Spieler angreifen, um diesen zu verzögern und so die Partie zu gewinnen... Wir haben eine spezielle Absicherung für Gameserver entwickelt, diese muss aber noch verfeinert werden.
- TOTALE Absicherung:
Wenn ein Server einem grossen Angriff ausgesetzt ist, dann müssen unsere Teams auf der Ebene des Netzwerks eingreifen und der Angriff schnell und effektiv unterbinden. Diese Absicherung ist nur für den internen Einsatz gedacht. Sobald die Absicherung eingeschaltet ist funktioniert der Server normal, und der Kunde hat die volle Kontrolle darüber. Er kann jedoch nichts auf den Server übertragen. Sobald zu viele Pakete vom Internet aus am Server ankommen schützen die Router die Infrastruktur von OVH.
Diese Absicherungen werden in Kürze im Manager verfügbar und mit einem einzigen Klick aktivierbar sein.
Derzeit suchen wir noch Betatester für die WWW und GAME Absicherungen. Wenn Ihr interessiert seid, dann schreibt mir an oles@ovh.net unter Nennung eurer Kundenkennung und der IP des Servers. Wenn Ihr noch mehr Ideen für Absicherungen habt, dann könnt ihr uns diese gerne mitteilen.
Mit freundlichen Grüssen
Octave