OVH Community, your new community space.

ICMP Routing


oles@ovh.net
28.04.10, 14:56
Guten Tag,

seit Kurzem bemerken wir einen sehr starken Anstieg der Angriffe auf unser Netzwerk. Die Grösse unseres Netzwerks und die Anzahl der Kunden, die wir hosten, sind die "Ursache" dieses Problems.

Es gibt einige "dumme" bzw. "triviale" Angriffe, denen wir in Zukunft nicht mehr jedes Mal ausgesetzt sein wollen, wenn irgendwo Schulferien sind.

Wir haben deshalb beschlossen, den Traffic "Internet" zu "OVH" auf der Ebene der ICMP Schicht zu begrenzen. Es erfolgt jedoch keinerlei Begrenzung bei TCP und UDP (zum Glück!). Die ICMP Schicht dient dazu, Equipment im Netz zu "überwachen", und bei dieser Anwendungsart ist ICMP sehr aufwendig/leistungshungrig zu routen. Unsere Router waren diesbezüglich schon seit 7-8 Jahren geschützt und antworteten nur "manchmal" (wenn Ressourcen frei sind) auf ICMP Anfragen. Ab sofort antwortet unser gesamtes Netzwerk nur noch manchmal auf ICMP Anfragen.

Die Konsequenzen:

Wenn Sie Sonden verwenden, die Ihr Equipment bei OVH von ausserhalb unseres Netzwerks per ICMP überwachen, dann riskieren Sie, viele "falsch positive" Meldungen zu erhalten. Die Lösung dafür ist, die Dienste vom Typ Web, SMTP oder DNS direkt, also per TCP/UDP zu überwachen, und nicht den gesamten Server per ICMP.

Es handelt sich dabei nicht um eine vollständige Sperrung, sondern um eine Begrenzung auf 512 kbit/s pro Verbindung vom "Internet" zu "OVH". Es ist also immer noch möglich, einen Traceroute durchzuführen. Es ist nur so, dass wenn ein Angriff auf OVH erfolgt, und dieser Angriff von dem gleichen Link, den Sie verwenden, kommt, dann sieht der Traceroute während des Angriffs nicht schön aus.

Der ICMP Traffic ist innerhalb des Netzwerks nicht beschränkt, wir haben diesen Schutz nur für die Verbindungen zwischen dem "Internet" und "OVH" eingerichtet - also nur an der Grenze unseres Netzwerks für Traffic, der aus dem Internet ankommt.

Um mehr zu erfahren:
http://forum.ovh.de/showthread.php?t=9348

Ist diese Einstellung endgültig? Wir werden nun über einen Zeitraum von 2-3 Wochen die Anzahl der Angriffe, die unser Netzwerk auszuhalten hat, beobachten, und wenn die Limitierung von ICMP nichts bringt, dann werden wir diesen Schutz wieder entfernen. Die Wahrscheinlichkeit, dass wir zu diesem Schluss kommen, scheint derzeit jedoch eher gering.

Wir drängen aber bei Cisco darauf, dass sie die UBRL Funktionalität, die derzeit nur mit dem Cisco 6500 möglich ist, auch für den CRS-3 (den "dicken" Router, von dem alle schon einmal gehört haben) implementieren. Das ist eine Art dynamisches QoS, das sich auf den Netflow basiert, um die Access-Lists und die Policies zu matchen. Das ist sehr leistungsfähig und funktioniert wunderbar, erfordert aber Router, die in Punkto Netflow sehr leistungsfähig sind. Der Cisco 6500 ist nicht besonders gut beim Netflow - der CRS-3 schon. Aber die Funktion ist bei diesem nicht verfügbar... Kurz gesagt, wenn wir irgendwann intelligente Router haben, dann werden wir diese Limitierung auch intelligent durchführen können. Derzeit arbeiten wir mit den verfügbaren Bordmitteln

Mit freundlichen Grüssen

Octave