OVH Community, your new community space.

atakos

oles@ovh.net

05-19-2011, 04:26 PM

http://darbai.ovh.lt/?do=details&id=1449

T�siant atakos vienu IP adresu situacij�, nustat�me taisykles ir suma�inome galim� atakos burst nuo 10000 iki 8000. Ataka suma��jo nuo 70Mbps iki 10Mbps. Ji vis dar t�siasi, bet neturi �takos serverio darbui.

#sh inter f0/15 | i 30 sec
30 second input rate 2822000 bits/sec, 303 packets/sec
30 second output rate 62419000 bits/sec, 121785 packets/sec
[...]
#sh inter f0/15 | i 30 sec
30 second input rate 5422000 bits/sec, 585 packets/sec
30 second output rate 10334000 bits/sec, 20076 packets/sec

Prane�kite mums apie problemas, jei turite j�.

oles@ovh.net

05-18-2011, 10:36 AM

Laba diena,
Apsaugos prie� atakas duoda puikius rezultatus. Per kelet� dien� tur�jome �siki�ti tik vien� kart�, prie�ingai nei anks�iau, kai tur�jome suvaldyti kelias atakas per dien�.

Atakos, prasid�jusios vakar 22 val. ir besit�sian�ios �iandien, pavyzdys. 4Gbps UDP � vien� OVH IP.
http://demo.ovh.net/fr/ba3c2a2c8e7d3...c6dcf88ab240d/

Apsaugos filtruoja atakas ir vienintelis �rodymas, kad ataka tikrai vyksta, yra �is grafikas.
Visai neblogai

Taip pat sulauk�me kit� atak�, � svetaini� prieglob�. Infrastrukt�ra neatlaik� ir per dvi dienas buvo 2 veikimo sutrikimai. Laikinai panaudojome AX (auk�tu �emiau duomen� srautas eina per ACE). Po to pakeit�me taisykles, kad i�vengtume kit� sutrikim�.

Taigi, atakos yra prieglobos teik�jo kasdienyb� ir tai kuria men�. Tai n�ra karas, kur� laim�sime. Tai tiesiog b�das atlaikyti atakas nepakenkiant klientams. Tai i��kis...

B�sime d�kingi, jei pateiksite informacij� apie tai, kad matote ma�iau atak�, ma�iau problem�, ma�iau �keist�� dalyk�, kuri� netur�t� b�ti, arba prie�ingai, jei niekas nepasikeit�, tai yra blogai ar absoliuti katastrofa, skandalas ir j�s norite nudirti OVH od�. I� anksto a�i� u� atsiliepimus!

Link�jimai,
Octave

oles@ovh.net

05-13-2011, 08:56 AM

Laba diena,
T�siant apsaugas prie� UDP sluoksnio atakas, nuo 24 val. nesiki�ome, kad apsaugotume savo infrastrukt�r�. Sulauk�me 10-ies �prastini� atak�, kurios netur�jo �takos m�s� klient� paslaugoms.

Taigi, galime konstatuoti, kad �diegtos taisykl�s yra teisingos ir pakankamos. Padaryta gerai ir greitai

Yes! Tik�kim�s, kad to pakaks ilgam

Apibendrinimas:
- �diegsime apsaugas visame tinkle: apribosime UDP sraut� iki 50Mbps pagal IP �altin�. Kitaip sakant, vienas IP i� interneto negal�s si�sti daugiau kaip 50Mbps UDP srauto.

- �diegsime apsaugas � duomen� centro mar�rutizatorius: apribosime UDP sraut� iki 50Mbps pagal IP paskirt�. Kitaip sakant, vienas OVH IP negal�s gauti didesnio nei 50Mbps UDP srauto i� interneto.

Kitos, jau �diegtos, apsaugos (1-2 metus):
- Ribojame ICMP sluoksnio ir TCP/SYN (su kai kuriomis i�imtimis) � OVH �einant� sraut� iki 32Kbps vienam IP �altiniui i� interneto.

VPS ir mC �diegtos apsaugos:
- 100Mbps TCP, vienam IP
- 5Mbps UDP, vienam IP
- 32Kbps ICMP, vienam IP

Kit� apsaug� n�ra ir jos nenumatytos.

Diegdami �ias apsaugas sulauk�me maloni� atsiliepim�. Vienas klientas buvo nepatenkintas, nema�ai i�rei�k� savo nuomon� sakydami mums "ouff". Manau, kad �ios apsaugos sukuria puiki� pridedam�j� vert� m�s� paslaugoms, kadangi tai sustiprina klientams si�lom� paslaug� saugum�. Nesvarbu, ar tai �aidim� serveris, �iniatinklio svetain�s, ADSL jungtis, sulaukti DoS i� konkurento n�ra malonu. Ta�iau OVH esate apsaugoti nuo konkurent� nuotaik�.

Link�jimai,
Octave

oles@ovh.net

05-12-2011, 03:12 PM

http://travaux.ovh.net/?do=details&id=5443

Aktyvuosime apsaugas duomen� centr� mar�rutizatoriuose:

vrack: baigta
HG 2010/2011: jau baigta
pCC: baigta

oles@ovh.net

05-12-2011, 12:02 PM

Laba diena,
Backbone �einan�io srauto ta�ke pakeisime taisykles. �aliname viso IP sluoksnio filtr� ir paliksim tik UDP.

Be to, vieno IP i� interneto UDP srautas ribojamas iki 50Mbps visame OVH tinkle.

Jei jums kyla problem�, pra�ome prane�ti mums apie tai. Tai svarbu mums ir stengsim�s problemas pa�alinti kaip �manoma grei�iau. El. pa�to adresas tas pats, net gyvyb�s ar mirties atveju: oles@ovh.net

Prad�sime popiet, proces� t�sime kol �diegsime 3 naujas taisykles:

- UDP ribojimas, kai IP �altinis i� OVH, dabartinis ribojimas yra 50Mbps, apie 14:00 pabandysime suma�inti iki 20Mbps.

- UDP ribojimas, kai IP paskirtis yra OVH. �iuo metu HG tinkle diegiame 50Mbps. Dar ne�inome, ar tai naudinga ir ar nereik�s to sukonfig�ruoti visuose mar�rutizatoriuose.

- UDP ribojimas, kai IP �altinis yra OVH ir paketas i�siun�iamas � internet� dar ne�diegta. Siekiame u�drausti OVH serveriams dalyvauti atakose internete.

Link�jimai,
Octave

oles@ovh.net

05-12-2011, 01:06 AM

Labas vakaras,

Pamat� atak�, kuri� sulaukiame kasdien, kiek�, nusprend�me i�kasti karo kirv� Tai �manoma. Vien tik �iandien sulauk�me daugiau kaip 30 atak�, kuri� pasekoje 5 m�s� klient� tinkluose laikinai sutriko paslauga.

Taigi:

IP �altinis (i� interneto) negali � OVH tinkl� si�sti daugiau kaip 50 Mbps visuose IP sluoksniuose. Manome, kad tai reikia taikyti UDP sluoksniui.

Taip pat �diegsime 50Mbps ribojimus ir HG tinkle, UDP paket� IP paskir�iai, visiems IP ne i� OVH.

Jei turite problem�, prane�kite mums apie tai oles@ovh.net, noc@ovh.net

Daugiau informacijos:
http://travaux.ovh.net/?do=details&id=5443

Link�jimai,
Octave