OVH Community, your new community space.

Die Lieferungen 26. Oktober 2008


oles@ovh.net
30.10.08, 13:24
Guten Tag,

wir haben vor einigen Jahren Absicherungen der Server unserer Kunden gegen Angriffe aus dem Internet eingerichtet. Wir haben uns dabei auf die grossen Angriffe mit 500 Mbit/s, 1 oder 4 Gbit/s konzentriert, die von mehreren hundert oder tausend Servern ausgehend auf einen bei OVH gehosteten Server zielten. Diese Art von Angriffen hat auf der Ebene der Router keine Probleme gemacht (wir haben sehr viel Kapazitäten zwischen dem Internet und OVH). Wenn aber der Angriff nicht korrekt gefiltert wurde, dann betraf das Problem das gesamte Rack des angegriffenen Servers, also auch die 40/50 Nachbarserver.

Vor 2 bis 3 Jahren handelte es sich in 99% der Fälle um Streitereien zwischen verschiedenen Hackerbanden. Eine der Banden hat beschlossen, einen dedizierten Server, der den IRC Bot einer anderen Bande beherbergt, anzugreifen, um den Zugang zu einem IRC Channel zu erhalten; und dieser IRC Bot war auf einem dedizierten Server von OVH. Wenn also ein Angriff auf einen dedizierten Server erfolgte, dann wurde der Server geschlossen und der Vertrag gekündigt.

Seit der Einrichtung der IRC Filterung (mit Entsperrung von Hand durch den Kunden im Manager) und des INPUT/OUTPUT Schutzes (http://forum.ovh.de/showthread.php?t=3211) hatten wir in dieser Hinsicht eine ruhige Zeit. Dies funktionierte sehr gut, denn wie in der Meldung beschrieben hatten wir einen Schutz pro Connection (100 Mbit/s, und nach 32 MB geht die Verbindung dann auf 10 Mbit/s) ohne jegliche Beschränkung für die Summer aller Verbindungen. Wenn jemand einen Server angegrifen hat, dann wurde dieser Angriff schnell auf 10 Mbit/s limitiert. Und 10 Mbit/s sind in den meisten Fällen kein Problem.

Nun wollen wir auch die kleinen Angriffe mit 1, 10 oder 20 Mbit/s unterbinden können. Diese Art von Angriffen ist oft unsichtbar für OVH, denn unser Netzwerk hat eine Gesamtkapazität von mehr als 400 Gbit/s. Wir sehen einen Angriff mit 1 Mbit/s einfach nicht. Aber diese kleinen Angriffe sind trotzdem sehr störend für unsere Kunden. Oft ist es, obwohl nur wenige Mbit/s empfangen werden, für den Kunden nicht mehr möglich, sich mit dem Server zu verbinden, und den Angriff direkt auf diesem zu blocken. Und selbst wenn er sich verbinden kann genügt es dann, den Angriff einfach von 20 Mbit/s auf 80 Mbit/s hochzusetzen, damit der Kunde wieder die Kontrolle über seinen Server verliert.

Wir haben 4 verschiedene Arten von Absicherungen entwickelt, die der Kunde aktivieren kann (oder auch nicht...), um seinen Server zu schützen. Diese Absicherungen müssen nun noch mit einigen von euch getestet werden, um die Einstellungen an die Bedürfnisse unserer Kunden anzupassen.

4 Absicherungen:

- Keinerlei Absicherung:
Der Kunde möchte maximal von der Bandbreite, die OVH ihm anbietet, profitieren. Wir haben die Beschränkungen aus dem Thread http://forum.ovh.de/showthread.php?t=3211 entfernt (im Beta Test)

- WWW Absicherung:
Wenn der Kunde WWW mit Web 2.0 Seiten macht, dann kann er eine aktive Absicherung seines Servers gegen Angriffe nutzen. Es handelt sich dabei um Limitierungen der Bandbreite zwischen dem Internet und dem Server des Kunden, IP für IP, und die Verwaltung der Bandbreite jeder IP vom Internet zum Server. Die Besucher können die Seiten ganz normal nutzen, der Dienst wird nicht beeinträchtigt. Jedoch kann man dann den Server nicht für Backups oder die Übertragung grosser Dateien aus dem Internet zum Server verwenden. Die Router blockieren automatisch diese Art von "Angriff". Wenn der Kunde den Server für Backups nutzen möchte, dann genügt es, eine Fail-Over IP zu nehmen, und diese ohne Absicherung an den Server zu hängen. So ist die Hauptaktivität des Servers auf der normalen IP abgesichert, und mit der Fail-Over IP können Dinge die viel eingehende Bandbreite benötigen gemacht werden.

- GAME Absicherung:
Man sieht immer häufiger kleine Angriffe zwischen Spielern, die einen anderen Spieler angreifen, um diesen zu verzögern und so die Partie zu gewinnen... Wir haben eine spezielle Absicherung für Gameserver entwickelt, diese muss aber noch verfeinert werden.

- TOTALE Absicherung:
Wenn ein Server einem grossen Angriff ausgesetzt ist, dann müssen unsere Teams auf der Ebene des Netzwerks eingreifen und der Angriff schnell und effektiv unterbinden. Diese Absicherung ist nur für den internen Einsatz gedacht. Sobald die Absicherung eingeschaltet ist funktioniert der Server normal, und der Kunde hat die volle Kontrolle darüber. Er kann jedoch nichts auf den Server übertragen. Sobald zu viele Pakete vom Internet aus am Server ankommen schützen die Router die Infrastruktur von OVH.

Diese Absicherungen werden in Kürze im Manager verfügbar und mit einem einzigen Klick aktivierbar sein.

Derzeit suchen wir noch Betatester für die WWW und GAME Absicherungen. Wenn Ihr interessiert seid, dann schreibt mir an oles@ovh.net unter Nennung eurer Kundenkennung und der IP des Servers. Wenn Ihr noch mehr Ideen für Absicherungen habt, dann könnt ihr uns diese gerne mitteilen.

Mit freundlichen Grüssen

Octave

oles@ovh.net
26.10.08, 23:50
Guten Tag,

hier der Stand der Lieferungen am 26.10.2008 um 23:00 Uhr.

Bei einer Verspätung sind die Angaben so zu verstehen: "Die älteste bezahlte aber noch nicht ausgelieferte Bestellung ist vom 2008-XX-XX"

Real Private Server:

- RPS 1 12 Stunden Verspätung (2008-10-26 16:00:14)
- RPS 2 OK -> 1 Stunde
- RPS 3 OK -> 1 Stunde

Server für Einsteiger und Gameserver:

- Isgenug L OK -> 1 Stunde
- Isgenug XL 12 Stunden Verspätung (2008-10-26 05:01:41)
- Isgenug 2XL OK -> 1 Stunde
- Isgenug 3XL OK -> 1 Stunde
- Isgenug 4XL OK -> 1 Stunde

Server für Firmen, Profis und kritische Anwendungen:

- miniSP OK -> 1 Stunde
- SP bestof OK -> 1 Stunde
- SP Max fr,es OK -> 1 Stunde
- SP Max de OK -> 1 Stunde
- SP Max uk,pl OK -> 1 Stunde

- EG Bestof 12 Stunden Verspätung (2008-10-26 05:12:04)
- EG Max OK -> 1 Stunde
- EG Large OK -> 1 Stunde
- EG SSD OK -> 1 Stunde

- MG Bestof OK -> 1 Stunde
- MG Max OK -> 1 Stunde
- MG Large OK -> 1 Stunde
- MG SSD OK -> 1 Stunde
- MG X Large OK -> 1 Stunde

- miniHG OK -> 1 Stunde
- HG Bestof 3 Tage Verspätung (2008-10-23 20:02:10)
- HG BiTurbo 3 Tage Verspätung (2008-10-23 17:53:03)
- HG Large 7 Tage Verspätung (2008-10-16 21:01:05)

Die Lieferungen der RPS Server sind letzte Woche etwas unregelmässig erfolgt. Wir beobachten seit 2 Wochen ein ziemlich starkes Wachstum bei den Bestellungen dieser Modelle, und haben derzeit noch Schwierigkeiten bei der Abschätzung, wie viele neue RPS pro Woche fertiggestellt werden müssen. Das derzeitige Liefersystem für RPS ist nicht für mehr als 100 RPS / Tag ausgelegt, da einige Arbeiten an der Speicherinfrastruktur nicht parallelisiert ablaufen. Wir ändern deshalb die Arbeitsmethoden, und in einigen Tagen sollten wir den "industrialisierten" Prozess für die RPS fertigstellen können. Unser Ziel ist, immer einen Vorrat an RPS zu haben, damit wir immer alle Kunden innerhalb von einer Stunde nach Zahlungseingang und unabhängig von der bestellten Anzahl an Maschinen beliefern können.

Die Lieferungen der Isgenug und PRO Modelle erfolgen ohne Probleme, ausser bei den HG. Wie bereits angekündigt planen wir in etwa einer Woche, maximal 10 Tagen, die Einführung der neuen HG 2009er Reihe, und die Produktion wurde bereits auf die neuen Server umgestellt. Wir arbeiten noch an der Webseite und den Optionen. Wir wollen Ihnen einen extrem leistungsfähigen, sehr stabilen und vollständig personalisierbaren Server anbieten. In spätestens 10 Tagen werden wir wissen, ob wir mit diesen Angeboten auf dem richtigen Weg sind.

Letzte Woche haben wir 90% des europäischen Backbones von OVH fertiggestellt. Wir sind präsent bei Espanix in Madrid mit 2x10G, MIX in Milan mit 1x10G, VIX in Wien mit 1x10G, NIX in Prag mit 1x10G, und wir erstellen die ersten Peerings mit anderen an diesen Peeringpunkten präsenten Netzen, die Traffic mit OVH austauschen wollen. Diese Woche starten wir TIX und SwissIX in Zürich, danach ist dann Warschau dran (etwas komplizierter, aber wir werden es hinkriegen). Ihr könnt den Zustand unseres Netzwerks in Echtzeit auf der Weathermap einsehen: http://weathermap.ovh.net/europe
Es handelt sich um ein auf den 10G basierendes Backbone. Für diejenigen die es ganz genau wissen wollen gibt es auch eine vollständige Version mit allen input/output Links von OVH: http://weathermap.ovh.net/backbone
Heute haben wir den Traffic zwischen allen Städten ausbalanciert, um das Netz zu optimieren. Der Traffic zwischen Roubaix und Mailand läuft nun korrekt über Roubaix-Paris-Frankfurt-Zürich-Mailand, anstatt über Roubaix-Paris-Madrid-Mailand, und gewinnt dadurch etwa 30 ms. Der Traffic zwischen Wien und Paris läuft nun über Prag-Frankfurt und nicht mehr über Mailand-Zürich-Frankfurt.

Es bleiben noch einige Probleme mit dem Backbone zu lösen:
- http://forum.ovh.de/showthread.php?t=4956
Wie werden 10G zwischen dem Router und dem Switch, der die Interconnections bei Decix verwaltet, hinzufügen. Der Xenpack wurde gestern morgen in Frankfurt aufgebaut und eingerichtet.
- http://forum.ovh.de/showthread.php?t=4946
Wir haben ein sehr seltsames Problem mit Linx 224. Die Verbindung mancher Kunden zu einigen Netzen, mit denen wir Traffic auf Linx 224 austauschen, erfolgt nicht mit voller Geschwindigkeit. Nach den mit einigen Kunden durchgeführten Tests haben wir Linx 224 isoliert, aber laut Linx gibt es keine internen Überlastungen bei ihnen. Wir werden deshalb alle Glasfaserpatchkabel auf unseren Einrichtungen in London austauschen. Auch wenn es keine Paketverluste gibt ist da etwas nicht richtig. Und irgendwo müssen wir anfangen. http://weathermap.ovh.net/london
- http://forum.ovh.de/showthread.php?t=4831
Es muss noch ein Switch bei Interxion in Brüssel eingerichtet werden, und anschliessend 10G zwischen dem Router von Brüssel und Roubaix konnektiert werden, um eine bessere Redundanz zu gewährleisten. Dies sollte im Laufe der Woche erfolgen.

Mit der Einrichtung dieses Netzes sind wir nun nicht mehr weit vom Start von ChtiX.eu mit den VLAN Angeboten zwischen allen Standorten und allen Peeringpunkten, an denen wir präsent sind, entfernt. So werden Sie dann 100 Mbit/s zwischen Paris und Wien für 100 Euro im Monat erhalten können! (Die angegebenen Preise sind ohne Mehrwertsteuer und gelten nur für OVH Frankreich, die Preise für Kunden von OVH Deutschland entnehmen Sie bitte unserer Webseite http://www.ovh.de) Und ebenso wird es Transitangebote 100 Mbit/s = 100 Euro / Monat mit full BGP geben. Ein einzigartiges Angebot, das überall in Europa verfügbar sein wird.

Einige polnische und englische Kunden haben uns einen Bug bei der internen Bandbreite in unserem Netzwerk gemeldet. Ein Teil des Problems ist gelöst, jedoch noch nicht alles. Wir haben nämlich sehr viel unterschiedliches Netzwerkequipment, und wir müssen das Setup für jedes Element anpassen und dabei sichergehen, dass der gewünschte Effekt erzielt wird. Wir haben nämlich festgestellt, dass je nach Equipment unterschiedliche Parameter gewählt werden müssen, um am Ende überall das gleiche Ergebnis zu haben. Und das ist die Ursache dieses Problems. Wir hoffen, dass wir alle diese Probleme im Laufe der Woche beheben können (es benötigt viel Zeit alles zu testen und das Resultat in Echtzeit auf den MRTG/RRD Graphen zu überprüfen).
http://forum.ovh.de/showthread.php?t=4837

Mit der Fertigstellung des Ost/Süd-Ost Backbones wird der Traffic über Frankfurt in den nächsten Wochen ansteigen. In der Tat gehen nämlich Prag, Wien, Zürich und Mailand über Frankfurt. Wir werden deshalb mir den Arbeiten zur Erstellung eines eigenen Backbones mit 100 Gbit/s zwischen Brüssel und Frankfurt beginnen. Diese Arbeiten werden 4 bis 6 Monate in Anspruch nehmen. Wir sollten dies dann also ab Februar/März nutzen können.

Alle diese Arbeiten und Investitionen bezüglich unseres Netzwerks haben ein ganz bestimmtes Ziel: den Zugang zu unserer Infrastruktur für alle europäischen Nutzer verbessern. Wir müssen einen Weg finden, damit zum Beispiel ein Nutzer aus Tschechien Ihre Seite schneller aufrufen und seinen Traffic schneller mit dieser austauschen kann. Das Ziel ist also nicht, das grösste Netz der Welt aufzubauen, sondern den Traffic der Kunden dort wo sich diese jeweils befinden aufzunehmen und diesen dann möglichst komplett durch unser Netz zu leiten. Nur auf diese Art und Weise werden wir die Zugriffszeiten und die Bandbreite garantieren können. Man muss jedoch auch daran denken, dass pro 100 km etwa 1 ms an Latenz dazukommt; wir können kein schwarzes Loch oder ähnliches nutzen um die Pakete auf einem anderen Weg zu OVH zu transportieren... Wenn man sich die Ergebnisse dieser Strategie anschaut, dann kann man sich andererseits auch die Frage über deren Sinn stellen. Nehmen wir ein Beispiel: ein vor etwa einer halben Stunde erstelltes Peering mit einem grossen tschechischen Netz. Wir hatten das Peering bei Amsix (Amsterdam) und haben es nun bei NIX (Prag). Das Ergebnis ist eine Verbesserung um 4 ms. 4 ms... was ist das schon in unserem Leben?

64 bytes from 195.113.144.244: icmp_seq=6 ttl=58 time=21.2 ms
64 bytes from 195.113.144.244: icmp_seq=7 ttl=58 time=21.1 ms
64 bytes from 195.113.144.244: icmp_seq=8 ttl=58 time=21.1 ms
64 bytes from 195.113.144.244: icmp_seq=9 ttl=58 time=21.1 ms
64 bytes from 195.113.144.244: icmp_seq=10 ttl=58 time=21.1 ms
64 bytes from 195.113.144.244: icmp_seq=11 ttl=58 time=17.6 ms
64 bytes from 195.113.144.244: icmp_seq=12 ttl=58 time=17.5 ms
64 bytes from 195.113.144.244: icmp_seq=13 ttl=58 time=17.7 ms
64 bytes from 195.113.144.244: icmp_seq=14 ttl=58 time=17.6 ms

Hmm... aber 4 ms sind eine Verbesserung um etwa 20% zu einem der wichtigsten Netze in Tschechien. Lohnt es sich zu investieren, um den Zugang zu unserem Netz um etwa 20% zu verbessern? Wir haben noch keine Antwort auf diese Frage. Aber wir denken dass der Kunde es zu schätzen weiss dass er die Dienste eines Hosters nutzt, der die bestmögliche Anbindung in Europa anbieten will, ständig an der Verbesserung seines Netzwerks arbeitet und versucht, die Bedürfnisse seiner Kunden vorwegzunehmen. Wir wissen auch nicht was morgen sein wird, und es ist schwierig vorauszusehen ob diese Änderungen für Sie nützlich sein werden. Aber wenn Sie demnächst Projekte in Frankreich, Deutschland, Polen oder Tschechien haben und eine Qualitätsanbindung benötigen, dann wissen Sie wo Sie eine bekommen können.

Mit freundlichen Grüssen

Octave