Aller au contenu

Sujets conseillés

Posté

Y'a pas eu une grosse coupure Ovh vers 17h15 aujourd'hui ?

Je pouvais ni accéder à mon site, ni ovh ni webmasterhub... y'a surement eu beaucoup d'autres webmasters qui ont du le remarquer.

Posté

C'est exact, tous les sites OVH ont été innaccessibles pendant une grosse demi-heure à partir de 17h15.

Posté (modifié)

J'ai un 1000GP, et ça ne marche pas (pour HTTP parce que FTP, nikel).

Pourtant ils disent que seul le 720 GP est down ?!

Modifié par Théo B.
Posté

Moi c'est revenu vers 17h45 env et depuis c'a semble tenir (je dis çà en croisant les doigts :unsure: )

Vous êtes sur que les travaux indiqués sur la carte SLB impliquait aussi les dédiés ? On a pas l'impression quand on regarde dans quelles catégories c'a a été classé.

Posté (modifié)

Le pb semble résolu pour mon mutualisé... J'ai reçu ce message de webceo à 19:28...

Dear ,

alphadesign.fr has fully recovered.

HTTP port -- Ok.

Estimated time on error: 1h 26min 4sec .

Modifié par virtuelBlue
Posté
Bonjour,

Nous avons reçu aujourd'hui une attaque sur 720plan à partir

de 1h00 du matin. Vers 13h00 l'attaque a saturé le système de

répartition de l'hébergement mutualisé. Il s'agit de l'attaque

de type synflood spoofé sur le port 80 en TCP avec une vitesse

d'environ 100'000 syn/sec. Pour faire simple: 100'000 faux

nouveaux visiteurs par seconde essaient de se connecter sur 720plan.

L'attaque est maîtrisée depuis plusieurs heures et même si nous

la recevons toujours, nous n'enregistrons plus de dégradation

de service. Nous avons mis en place des filtrages efficaces qui

permettent séparer les vraies visiteurs de vos sites de l'attaque.

Explications techniques:

--------------------------

Ce type d'attaque fait parti des attaques les plus complexes à

filtrer pour les hébergeurs, puisqu'il est difficile de distinguer

la vraie connexion du vrai visiteur dans l'ouragan de toutes

les fausses connexions. Nous avons déjà reçu ce type d'attaque à

multiples reprises et depuis des années. C'est toujours un test

que nous avons passé avec plus ou moins de succès à chaque fois.

Depuis 2 ans environ, nous avons décidé prendre devant en passant

le système de répartition de charge sur des cartes SLB de Cisco.

L'objectif était de ne plus avoir à passer de test mais d'avoir

une structure solide qui tient toutes les attaques. En effet, une

carte SLB sait gérer 1'000'000 connexions simultanées et donc cela

constitue une réponse au problème des attaques. Depuis la mise en

production des cartes SLB, nous avons reçu déjà plusieurs dizaines

d'attaques sur la carte SLB sans aucune dégradation sur la qualité

du service. Les parades que nous avons mis en place grâce ces attaques

précédentes ont permit contenir par exemple aujourd'hui l'attaque entre

1h00 et 13h00. Mais l'attaque a été plus importante que les précédentes.

En effet, elle a saturé la SLB à 1'000'000 connexions simultanées à

13h00 et donc la SLB n'acceptait plus des nouvelles connexions pour

l'ensemble des plans et des clients HA.

2 problèmes nous ont trompé dans l'analyse et ont retardé la résolution

du problème: ce Vendredi nous avons transféré le routage de l'hébergement

mutualisé sur 2 nouveaux routeurs qui ne possèdent pas encore le système

de détection d'attaque (il s'agissait d'un test de la future installation

de routage de l'hébergement mutualisé qu'on prépare pour Juin et qui

n'est pas encore fini). Nous avons dû remettre en place le routage

standard en urgence ce qui a provoqué une coupure sur tout le réseau

d'Ovh. Aussi, nous avons mis dans la SLB les nouveaux serveurs (sur le port

81) en vue du futur changement de l'installation. La carte SLB s'est donc

retrouvée avec 2 fois plus des serveurs que d'habitude à vérifier (en temps

normal cela ne pose pas de problème) mais après un reboot, la carte n'arrivait

pas tout vérifier et crash-ait immédiatement. Ces 2 problèmes de circonstances

ont provoqué des retards anormales dans la gestion de l'attaque.

Une fois ces problèmes résolus, nous avons mis en place des solutions en place.

Actuellement l'attaque continue toujours mais il n'y a plus aucun problème

sur aucun hébergement. L'attaque est vérifiée et filtrée en temps réel et

les paramètres que nous avons mis en place permettent filtrer efficacement

les vraies visiteurs de l'attaque.

Même si nous ne sommes pas contents de nous pour la rapidité de résolution

du problème, cette attaque a mis en évidence plusieurs points qui sont

très encouragent:

- La solution hardware que nous avons choisi (SLB de Cisco) permet gérer

  ce genre d'attaque avec succès, quelque soit la taille de l'attaque.

  Il suffit mettre en place les bons paramètres. Cela prend un peu de temps

  pour tester et trouver les bons paramètres en fonction de l'attaque, mais

  vu l'expérience d'aujourd'hui, nous pensons être capable d'adapter les

  paramètres sans dégradation du service dans le futur. La configuration que

  nous avons actuellement en production pour 720plan est déjà appliquée pour

  les autres plans et elle permet encaisser déjà une belle attaque.

- La future installation qu'on est en train de préparer sera encore plus

  robuste que l'actuelle puisqu'elle permettra distribuer le risque d'une

  panne plan par plan. En effet, on prévoit d'utiliser une carte SLB par plan

  carrément. Si un plan est éventuellement attaquée et par des problèmes de

  circonstances, cela se passe mal, ce plan là uniquement connaîtra une

  dégradation de service.

Ce n'est jamais un plaisir de recevoir une attaque, mais cela fait parti

de notre travail de les gérer correctement. Nous ne sommes pas satisfait

de l'expérience d'aujourd'hui. Il faut accepter de ne pas réussir à tous

les coups. Si, vous ne recevez plus ce genre d'email que vous êtes en

train de lire, ça sera la meilleur preuve que nos conclusions tiennent

la route.

Désolé pour les pannes d'aujourd'hui.

Task:

  http://travaux.ovh.com/?do=details&id=899

Amicalement

Octave

Posté

Apparemment tous les problèmes ne sont peut-être pas réglés, car je n'accède plus à OVH sur plusieurs comptes en mutu, en FTP.

xpatval

Posté

Cela m'étonne toujours de telles informations, preuve que même de grands pros ne sont pas à l'abri de telles attaques ? par contre, il ne parle pas de contre attaque de la part d'ovh ? le net est il un monde sans loi ? n'y a t il rien à faire contre des personnes attaquant le travail de gens honnêtes ?

Posté

Ils se font attaquer en permanence.

Si il devait agir contre chaque attaquant, il ne ferait plus que ça.

De plus cela est pas ultra simple de remonter jusqu'a la source.

Hervé

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...