OVH Community, your new community space.

работа ovh vac


InA_OvH
08-25-2015, 01:14 PM
Citata Kenis rašė
У меня к вам собственно вопрос;
Как заблокировать все порты через OVH Firewall API а нужные открыть? В Документации не чего нет
Здравствуйте

Специалисты рекомендуют поочередно разрешить необходимые порты, а в последнем правиле заблокировать все остальное. Правилами Firewall можно управлять и в панели OVH > Dedicated > IP > IP адрес > Create firewall.
Kenis
08-25-2015, 01:23 AM
У меня к вам собственно вопрос;
Как заблокировать все порты через OVH Firewall API а нужные открыть? В Документации не чего нет


12 Refuse TCP all Enabled
14 Authorise TCP all 22 22 established Enabled
15 Refuse GRE all Enabled
16 Refuse ESP all Enabled
17 Refuse UDP all Enabled
18 Authorise TCP all 30 30 established Enabled
19 Refuse AH all Enabled

Если использовать 12 правило все подключения после применения будут запрещены

Тогда как например открыть порт 22, но при этом закрыть все остальные ?
InA_OvH
07-10-2015, 09:31 AM
Здравствуйте

Просьба выслать запрос повторно через тикет-систему (на англ.яз.), если еще не ответили по эл. почте.
Kenis
07-08-2015, 07:35 PM
Citata InA_OvH rašė
Здравствуйте

Каждый случай рассматривается индивидуально. Если на вашем сервере проблема с SYN flood не решилась, вам нужно сообщить команде Anti-DDoS по эл. почте antiddos@ovh.net или обратиться к специалистам в датацентре через тикет-систему.

Просьба предоставить информацию (на англ.яз.):

- all the relevant IPs affected by the bypass;
- the service with the trouble;
- the IP source and the IP destination that have the issue;
- the traceroute from the IP SRC to the IP DST showing the issue;
- 2 lines' description of the issue.
Я бывший клиент OVH, в течении какого времени мне ответят на почту? Я арендовал сервер и меня постоянно в течении 3 месяцев атаковали с помощью инструментов TCP flood, и реакции с стороны OVH не было, вот решил спросить как там обстоят дела.
InA_OvH
07-07-2015, 05:20 PM
Здравствуйте

Каждый случай рассматривается индивидуально. Если на вашем сервере проблема с SYN flood не решилась, вам нужно сообщить команде Anti-DDoS по эл. почте antiddos@ovh.net или обратиться к специалистам в датацентре через тикет-систему.

Просьба предоставить информацию (на англ.яз.):

- all the relevant IPs affected by the bypass;
- the service with the trouble;
- the IP source and the IP destination that have the issue;
- the traceroute from the IP SRC to the IP DST showing the issue;
- 2 lines' description of the issue.
Kenis
07-07-2015, 01:32 PM
Проблему с SYN flood решили уже?
Levasc
03-24-2015, 01:03 PM
Новость про серверы GAME, с бесплатной установкой (пока): http://forum.ovh.lt/showthread.php?1116
Levasc
02-26-2015, 11:43 AM
Новость про оплату карточками и paypal в литовском филиале http://forum.ovh.lt/showthread.php?1113
theday
12-02-2014, 07:22 PM
Citata ivan rašė
Неа, НЕ исправили, спуфинг пролетает со свистом через VAC по описанной выше моей схеме, в режиме forced, разумеется. Печаль-беда. Что-то другое фиксили. Хотите ускорить процесс, распространяйте листовки среди жильцов Видимо придется исходник выложить, чтобы и скрипт-кидди начали долбить юзеров ОВХ.
Нужно, ибо уже пару месяцев существует данная проблема, а ноль внимания. (как будто специально, игнорируют проблему)
ivan
12-01-2014, 08:39 PM
Неа, НЕ исправили, спуфинг пролетает со свистом через VAC по описанной выше моей схеме, в режиме forced, разумеется. Печаль-беда. Что-то другое фиксили. Хотите ускорить процесс, распространяйте листовки среди жильцов Видимо придется исходник выложить, чтобы и скрипт-кидди начали долбить юзеров ОВХ.
ivan
12-01-2014, 04:34 PM
Опа, затестю, отпишу. Неимоверно круто будет, если пофиксили.
theday
12-01-2014, 10:45 AM
Citata VadimK rašė
Лол, очередной "анти дос" хостинг сваливает с овх
Не хостинг, а игровой проект.

Citata theday rašė
Когда ждать решения данной проблемы? (также сыпятся атаки вида syn flood и http которые VAC не замечает)
Наши клиенты от этого страдают, писали уже и в поддержку, в интерфейсе управления и на antiddos@ovh.net, несколько дней уже прошло, ответа нет.

Скорее всего будем съезжать, если проблема не решится в ближайшие дни.
Вроде бы, уже решили проблему - http://travaux.ovh.net/?do=details&id=12119
ivan
11-17-2014, 09:38 PM
Serious OVH Vacuum bug disclosure

Some ddosers found this method and demand money for stopping DDOS on my projects.
I hope to make a resonance and force OVH to fix it and DO NOT ignore this problem.

Copy of my old ignored letter to OVH

Hello
I'd like to inform you about serious vulnerability in VAC settings. This concerns to invalid Anti-Ddos settings on your network hardware.
This bug makes antiddos option absolutely useless. I kind of researcher and researched your antiddos protection.
Of course I'm speaking about "forced mode" when VAC already is blocking tcp SYN packets from spoofed ip addresses without valid ACK reply to SYN-ACK.
I'll explain the idea of bug just in 2 commands of famous tool for network stress-testing:

hping [A] -p [B] -M [C] -a [D] -s [E] -PA -c 1 (SA flag works too)
hping [A] -p [B] -M [C] -a [D] -s [E] -S -c 1

A - victim ip in OVH network
B - destination tcp port of victim
C - any random number (TCP sequence number, TCP ack must be 0)
D - spoofed ip address. Of course in real attack it will be --rand-source
E - any random source port. Perhaps not 80,443,3306,3389 or any other common tcp services and used in simple firewall rules.

There are several another successful combinations and this one just for example.

For some reason after receiving first packet VAC adds ip source to list of legitimate hosts and after that it receives any packets from this spoofed ip including SYN flood!
This is a disaster! I can guess that such behavior is some kind of "feature". But it is very dangerous feature especially for Kimsufi and SYS servers as they have weak hardware.
Many users have chosen OVH mainly due to ANTIDDOS option and I'm one of them.
Of course I don't plan to disclose this bug to public before you will fix it. But I have to say that it is very simple to modify hping3 or even write little source code from scratch for bypass OVH syn flood protection.
Definitely I have both and have already successfully tested on my OVH account. I have already seen tcp SYN-ACK attacks with help of reflection from real hosts. Second SYN-ACK packet from real host is accepted by VAC too.
This is incorrect behavior. Those attacks are from script kiddies. But perhaps clever hackers have already guessed about full scheme of successful attack. You had better fix bug ASAP before they start using it.

My second request: please improve firewall API so that tcp options have all possible flags and their combinations. For what purposes they are only "syn" and "established" now ? Absolutely useless. I can't imagine
situation where these flags will be useful. Their combination - yes but now separated using is only possible.

Third request about ip load balancer. Is it possible to configure balancer so that it didn't not send SYN to backend until tcp 3-way handshake will be established between client ip (from Internet) and balancer ip?

Thank you in advance!
VadimK
10-10-2014, 07:45 PM
Лол, очередной "анти дос" хостинг сваливает с овх
theday
10-10-2014, 09:49 AM
Citata Levasc rašė
коллеги сообщили, что проблема известна. но пока нет eta, когда ее решат.
Когда ждать решения данной проблемы? (также сыпятся атаки вида syn flood и http которые VAC не замечает)
Наши клиенты от этого страдают, писали уже и в поддержку, в интерфейсе управления и на antiddos@ovh.net, несколько дней уже прошло, ответа нет.

Скорее всего будем съезжать, если проблема не решится в ближайшие дни.
ivan
09-29-2014, 08:08 PM
Ясно, в принципе догадываюсь почему так сделано, чтобы не сильно тупили уже установленные tcp сессии. Ну что же, палить тему публично не буду, но опытные ддосеры думается мне догадываются, как обмануть VAC. Но мне очень неприятно, что до сих пор мне не было отвечено по-человечески по электронной почте. На твиттер аккаунтах сидят боты, которые ретвитят все подряд - имитация какой-то совершенно бесполезной деятельности. Ответил только @ovh_support_en, как думаете что? БИНГО! Он меня отфутболил ЕЩЕ на 1 другой адрес customersupport@ovh.co.uk. А там мне ответят, я нисколько в этом не сомневаюсь, написать на antiddos@ovh.net Парни, у Вас отличная футбольная команда, Вы просто обязаны выиграть Кубок мира Я такой бюрократии даже при покойном Советском Союзе не помню )))
Где все сотрудники OVH, они живы ли, здоровы ли, чем же так заняты, что не могут ответить на 1 письмо!?
Levasc
09-29-2014, 12:01 PM
коллеги сообщили, что проблема известна. но пока нет eta, когда ее решат.
Levasc
09-25-2014, 05:05 PM
Поступают сообщение на api@ml.ovh.net, последнее сообщение на sd-pro@ml.ovh.net - 23-06-2014 10:50.
Мы не общаемся с админами на прямую.. Есть еще следующие варианты:
Зарегистрировать инцидент тикет или подписаться в твитере на этих людей и там на прямую написать:

@ovh_support_en
@olesovhcom (самый главный человек в OVH)
@GegAtOvh
@BertOvhCom
@AngyAtOvh
@ThomasAtOvh

Но знаете, мы еще попробуем связаться иначе, по внутренним каналам.
ivan
09-25-2014, 01:37 PM
Докладываю: Nntp сервер полностью мертвый, сообщения во всех группах датированы за 2013 год. Насколько понимаю, форумы и были созданы на его замену.
ivan
09-24-2014, 03:03 PM
Levasc, ну, а допустим, Вы можете лично позвонить в отдел, где сетевые админы тусуются, минуя бюрократические процедуры? Я уже кому только не писал и опять тишина. Как считаете, если я выложу баг в паблик и начнутся массовые атаки, правильно ли я сделаю, ведь поигнорить уже не получится, проблема будет колоть глаза. У нас это называется "волшебным пенделем" Кстати пострадают в первую очередь KIMSUFIи SYS сервера, т.к. у них наиболее слабые каналы, а основная масса ддосеров как раз пуляет 100-500мбит спуфингом. Профессиональные линейки еще смогут побороться, но и на них найдутся желающие.
Levasc
09-24-2014, 12:49 PM
Да видимо он перестал существовать.

Здесь можно подписаться на разные другие списки рассылки:
http://www.ovh.com/fr/support/help/communaute.xml

Подпишитесь на Dédié и там напишите о проблеме.

Также напишите еще раз на адрес antiddos@ovh.net, они действительно редко отвечают, но знаем клиентам удавалось получить ответ с 2-3 раза.
ivan
09-23-2014, 05:46 PM
Delivery to the following recipient failed permanently:

ddos-subscribe@ml.ovh.net

Technical details of permanent failure:
Google tried to deliver your message, but it was rejected by the server for the recipient domain ml.ovh.net by mx1.ovh.net. [213.186.33.29].

The error that the other server returned was:
550 sorry, no mailbox here by that name (#5.1.1)
Группа то живая или в андеграунде?)) Levasc, может Вы знаете email админов OVH, с которыми я мог бы напрямую связаться? Не хочется затягивать решение проблемы из-за бюрократических процессов.
ivan
09-23-2014, 01:31 PM
Спасибо за содействие Попробую туда отписать.
Levasc
09-23-2014, 12:03 PM
Здравствуйте,

Спасибо за сообщение. Мы сами не имеем доступа к данным системы antiddos, а также не приходилось ее "испытывать на прочность"
Мы передавали ту информацию, которую вы присылали. Но возможно у коллег нет пока времени заняться и проверить. antiddos@ovh.net читают, но скорее всего получают очень много запросов и не всегда отвечают. Возможно могут не ответить потому, что не было возможности проверить этот вопрос.

Есть еще mailinglist ddos@ml.ovh.net (подписка: ddos-subscribe@ml.ovh.net), там общаются об antiddos. Если вы написали бы туда, и предоставили эту информацию, возможно возникла дискуссия (в профессиональной среде), и была бы реакция тех админов OVH, которые на него подписаны.

Мы пробуем еще спросить у других коллег, но пока еще ответа нет.
ivan
09-22-2014, 11:02 PM
Не стал создавать новую тему. У меня вопрос - отвечают ли по адресу antiddos@ovh.net ? Просто в последние месяца много кто говорил, что VAC не правильно работает, а пруфов никто не предоставлял. Решил сам исследовать вопрос. Нашел серьезный баг, который сводит на нет всю antiddos защиту компании OVH. Относится к любым продуктам OVH. Я отписал в support, откуда меня вежливо отфутболили в antiddos@ovh.net, хотя по моим прикидкам там весь отдел должен был встать на уши. Ну что же ребята, я не понимаю, откуда таких бестолковых сотрудников Вы набираете. Хотя письмо я составил очень грамотно, с пруфами, с примером реализации атаки, на вполне читабельном английском. Каким образом такую непростительную глупость лечить? Кинуть в паблик все данные для обхода фильтров VAC? Ддосеры ой как обрадуются. Намекну, в hping то особенно много менять не надо. syn-ack атаки уже пачками вижу, когда рефлектятся пакеты от реальных хостов с открытыми портами 80,3306,1723, 3389 и т.д. и т.п. Ну рефлект syn-ack не так сильно страшен, хотя если забьют канал, то в текущей ситуации выхода нет, VAC пофигу, это при том, что сервер находится в forced режиме. Я поизучал проблематику, оказалось, что и syn флуд со спуфленных айпишников спокойно можно кидать на сервер, если маленько модифицировать hping и это все при включенном режиме forced!
Под forced режимом я имею ввиду, когда сервер уже начинают долбить и VAC начинает валидировать ack ответы на его syn-ack при входящих syn пакетах, и если ответ правильный то добавляет в белый список. Но в случае с багом никакие верные ответы посылать не надо )
Пока детали раскрывать не буду, хватит и того, что reflection атака успешно работает и уже часто применяется и благодаря тому, что OVH кастрировала правила firewall до 20 штук и убрала port ranges защититься от нее крайне затруднительно.
KCAHDEP
02-19-2014, 05:46 PM
Ранее спрашивал о такой экзотической атаке как ctm flood и фильтруется ли она OVH ответа так и не дождался, вроде и школодос, но так как у меня dc++ сервер такие атаки имеют частый (частый) характер с которым мало опытному администратору сервера будет "тяжело" справиться как и с sprut hping loic возникает вопрос? что делает ovh vac и делает ли что-либо вообще в данном случае? И последующие вопросы, какой порог срабатывания VAC? Есть ли оповещение о атаке?
Levasc
02-19-2014, 01:46 PM
Хорошее решение.
Насчет защиты от SYN flood со спуффингом, клиенты сообщали о таких атаках. Попробуйте еще раз написать на antiddos@ovh.net со всеми фактами.
chaturanga
02-18-2014, 08:12 PM
Citata InA_OvH rašė
Здравствуйте, пришлите нам номер тикета на саппорт pagalba@ovh.lt.
Сорь за долгий неответ, был в отъезде. Тикет закрыл, чтобы открыть другой по этому же серверу. Ситуация в 2-х словах следующая - идёт SYN-флуд со спуффингом, но syn не по 80/443-му портам, а рандомно по всем, на что, арбор почему-то не реагирует, хотя маршрут к серверу меняется и идёт через узлы vac. Для себя проблему решил настройкой внешнего фаервола через api прикрыв всё кроме http(s) портов.
InA_OvH
02-11-2014, 03:02 PM
благодарим, что поделились информацией на форуме
IlyaKronos
02-11-2014, 02:35 PM
Проблема оказалась не только в фильтрах OVH, но так же и в ПО. А именно - была установлена Citrix XenServer OS, в которой используется Open vSwitch, который ронял всю ноду даже при небольшом флуде на один из виртуальных серверов. Вот так новость
InA_OvH
02-10-2014, 03:41 PM
Здравствуйте, пришлите нам номер тикета на саппорт pagalba@ovh.lt.
chaturanga
02-09-2014, 03:13 PM
ответа так и не поступило, атаки по прежнему не фильтруются
chaturanga
02-04-2014, 07:36 AM
В тикете отправили по всё по той же почте, а в ней в ответ тишина.
InA_OvH
02-03-2014, 04:26 PM
если тикет уже заполнили, ждите ответа от ovh.
chaturanga
02-03-2014, 03:45 PM
Подтверждаю, VAC перестал фильтровать SYN. В данный момент уже около получас наблюдаю атаку, защита в api включена, но syn не фильтруется.
Инцидент оформил, на antiddos@ovh.net отписал...
IlyaKronos
01-17-2014, 07:11 PM
Citata Levasc rašė
Вам удалось связаться с antiddos@ovh.net ?
Нет, они молчат так же, как и прошлый e-mail.

Пока нету доступа к панельке арбора, думаем о переезде в другой ЦОД, где она есть. Если же специалисты OVH ответят, мы поможем всем, чем сможем, чтобы поднять защиту на высокий уровень.
Levasc
01-17-2014, 04:52 PM
Вам удалось связаться с antiddos@ovh.net ?
Levasc
01-17-2014, 04:52 PM
Здесь имеется ввиду персонализация Арбор. Октав упоминал, но у нас нет точных данных. Если не ошибаюсь, возможно будет создан аккаунт на самом арбор оборудовании. И так как там количество профилей ограничено, то цена будет соответственной, кажется около нескольких сотен евро в месяц.
IlyaKronos
01-17-2014, 02:06 PM
Не подскажете, что это значит? Или это не обновленная информация или действительно на AntiDDoS PRO Arbor фильтры не работают? http://i.shotnes.com/a/17/qieccweg.x...92ac7a00dc.png
Levasc
01-15-2014, 11:06 AM
Есть еще один адрес, пишите на antiddos@ovh.net
IlyaKronos
01-14-2014, 06:59 PM
Протестировали старые скрипты Spoofed SYN флуда. Они VAC не проходят. Как и раньше, отсылается лишь ICMP dest unrch. А новые - проходят насквозь и ложат сервер. Можно как-то связаться со специалистами по AntiDDoS OVH? antiddos@antiddos.zendesk.com не отвечают.
IlyaKronos
01-13-2014, 02:45 PM
Citata Levasc rašė
У вас включена защита вручную. Почему защита не всегда помогает, у нас данных точных нет, также нет инструментов для диагностики. В принципе Ваше сообщение мы можем только передать как фидбэк об антидос.


Возможно система антиддос не идеальна. Используется Tilera / Arbor оборудование. У нее ограниченный ресурс. Изначально для каждой зоны было 160 Гбит/с. Увеличивались ли ресурсы, у нас данных сейчас нет. Бывали одиночные атаки и по 70 Гбит/с (и больше). Если есть много активных атак, то возможно система становится менее эффективная. Но это только мое предположение, точного ответа у меня нет. Также сегодня у нас есть несколько (что необычно) таких сообщений от клиентов об атаках на их серверы. Возможно есть сбои в работе VAC или много атак.

Есть адрес куда можно обратится, но там надо писать если есть у вас достаточно хороший анализ ситуации и предложения, как проблему решить: antiddos@antiddos.zendesk.com (можете написать туда на английском).

upd. думаю туда можно обратится если есть сбои в работе VAC.

(примерно то что я Вам ответил по эл. почте)
Ответил на E-mail.
Levasc
01-13-2014, 02:41 PM
У вас включена защита вручную. Почему защита не всегда помогает, у нас данных точных нет, также нет инструментов для диагностики. В принципе Ваше сообщение мы можем только передать как фидбэк об антидос.


Возможно система антиддос не идеальна. Используется Tilera / Arbor оборудование. У нее ограниченный ресурс. Изначально для каждой зоны было 160 Гбит/с. Увеличивались ли ресурсы, у нас данных сейчас нет. Бывали одиночные атаки и по 70 Гбит/с (и больше). Если есть много активных атак, то возможно система становится менее эффективная. Но это только мое предположение, точного ответа у меня нет. Также сегодня у нас есть несколько (что необычно) таких сообщений от клиентов об атаках на их серверы. Возможно есть сбои в работе VAC или много атак.

Есть адрес куда можно обратится, но там надо писать если есть у вас достаточно хороший анализ ситуации и предложения, как проблему решить: antiddos@antiddos.zendesk.com (можете написать туда на английском).

upd. думаю туда можно обратится если есть сбои в работе VAC.

(примерно то что я Вам ответил по эл. почте)
IlyaKronos
01-13-2014, 01:26 PM
Citata Levasc rašė
Напишите нам в поддержку, и укажите сервер.
У нас нет инструментов по диагностике нашей системы Antiddos, спросим коллег.

Или вы уже писали?
Нет, не писал, сейчас уже отправил письмо.
Levasc
01-13-2014, 12:57 PM
Напишите нам в поддержку, и укажите сервер.
У нас нет инструментов по диагностике нашей системы Antiddos, спросим коллег.

Или вы уже писали?
IlyaKronos
01-13-2014, 11:36 AM
Поднимаю тему, проблема актуальна, нужно срочное решение.
IlyaKronos
01-11-2014, 12:10 PM
Искренне верил, что проблема была в кривой настройке интерфейсов или другого ПО, но нет.
Создав еще один виртуальный сервер в Citrix XenServer, настроив сеть по мануалу http://help.ovh.co.uk/bridgeclient, системный администратор доказал мне, что фильтры VAC как будто "не работают".

В чем проблема? Хоть включай Mitigation в панели (https://ovh.com/manager), хоть выключай (Есть OVH AntiDDoS Pro). Результат один и тот же. Обычный hping3 выводит любую VPS и сам сервер из строя. Надоело часто видеть на ящике письма о обнаруженном дефекте и отсутствии ответа от сервера, решил написать.

В трейсе есть VAC:
7 * * 105 ms decix.routers.ovh.net [80.81.192.209]
8 104 ms 104 ms 108 ms rbx-g2-a9.fr.eu [178.33.100.244]
9 110 ms 107 ms 109 ms vac1-0-a9.fr.eu.vaccum [178.33.100.151]
10 110 ms 110 ms 109 ms vac1-1-n7.fr.eu.firewall [178.33.100.152]
11 114 ms 114 ms 116 ms vac1-2-n7.fr.eu.tilera [37.187.36.245]
12 106 ms 110 ms 110 ms vac1-3-n7.fr.eu [91.121.215.13]
Но он как будто не работает.

http флуд с нескольких Proxy - нагружает сервер.
hping3 (Non spoofed SYN Flood) - убивает
Spoofed SYN Flood - убивает
DNS Amplification - даже пробовать не стали.

Что случилось? Не так давно все работало на ура! Фильтры действительно фильтровали трафик. Сейчас тестировали hping с разных серверов, он проходит насквозь. Через все фильтры VAC.

Что с этим можно сделать?

С уважением, Илья.