Amibien Posté 29 Avril 2006 Posté 29 Avril 2006 Y'a pas eu une grosse coupure Ovh vers 17h15 aujourd'hui ? Je pouvais ni accéder à mon site, ni ovh ni webmasterhub... y'a surement eu beaucoup d'autres webmasters qui ont du le remarquer.
Loupilo Posté 29 Avril 2006 Posté 29 Avril 2006 C'est exact, tous les sites OVH ont été innaccessibles pendant une grosse demi-heure à partir de 17h15.
Théo B. Posté 29 Avril 2006 Posté 29 Avril 2006 (modifié) J'ai un 1000GP, et ça ne marche pas (pour HTTP parce que FTP, nikel). Pourtant ils disent que seul le 720 GP est down ?! Modifié 29 Avril 2006 par Théo B.
Amibien Posté 29 Avril 2006 Auteur Posté 29 Avril 2006 Moi c'est revenu vers 17h45 env et depuis c'a semble tenir (je dis çà en croisant les doigts ) Vous êtes sur que les travaux indiqués sur la carte SLB impliquait aussi les dédiés ? On a pas l'impression quand on regarde dans quelles catégories c'a a été classé.
Julien L. Posté 29 Avril 2006 Posté 29 Avril 2006 (modifié) Peut-être une réponse ici : http://www.ovh.com/fr/support/charges/plan_1000gp.xml Vous êtes sur que les travaux indiqués sur la carte SLB impliquait aussi les dédiés ? On a pas l'impression quand on regarde dans quelles catégories c'a a été classé. Logiquement, ca ne concerne pas les dédiés. Modifié 29 Avril 2006 par Julien L.
AlphaDesign Posté 29 Avril 2006 Posté 29 Avril 2006 (modifié) Le pb semble résolu pour mon mutualisé... J'ai reçu ce message de webceo à 19:28... Dear , alphadesign.fr has fully recovered. HTTP port -- Ok. Estimated time on error: 1h 26min 4sec . Modifié 29 Avril 2006 par virtuelBlue
Julien L. Posté 30 Avril 2006 Posté 30 Avril 2006 Bonjour,Nous avons reçu aujourd'hui une attaque sur 720plan à partir de 1h00 du matin. Vers 13h00 l'attaque a saturé le système de répartition de l'hébergement mutualisé. Il s'agit de l'attaque de type synflood spoofé sur le port 80 en TCP avec une vitesse d'environ 100'000 syn/sec. Pour faire simple: 100'000 faux nouveaux visiteurs par seconde essaient de se connecter sur 720plan. L'attaque est maîtrisée depuis plusieurs heures et même si nous la recevons toujours, nous n'enregistrons plus de dégradation de service. Nous avons mis en place des filtrages efficaces qui permettent séparer les vraies visiteurs de vos sites de l'attaque. Explications techniques: -------------------------- Ce type d'attaque fait parti des attaques les plus complexes à filtrer pour les hébergeurs, puisqu'il est difficile de distinguer la vraie connexion du vrai visiteur dans l'ouragan de toutes les fausses connexions. Nous avons déjà reçu ce type d'attaque à multiples reprises et depuis des années. C'est toujours un test que nous avons passé avec plus ou moins de succès à chaque fois. Depuis 2 ans environ, nous avons décidé prendre devant en passant le système de répartition de charge sur des cartes SLB de Cisco. L'objectif était de ne plus avoir à passer de test mais d'avoir une structure solide qui tient toutes les attaques. En effet, une carte SLB sait gérer 1'000'000 connexions simultanées et donc cela constitue une réponse au problème des attaques. Depuis la mise en production des cartes SLB, nous avons reçu déjà plusieurs dizaines d'attaques sur la carte SLB sans aucune dégradation sur la qualité du service. Les parades que nous avons mis en place grâce ces attaques précédentes ont permit contenir par exemple aujourd'hui l'attaque entre 1h00 et 13h00. Mais l'attaque a été plus importante que les précédentes. En effet, elle a saturé la SLB à 1'000'000 connexions simultanées à 13h00 et donc la SLB n'acceptait plus des nouvelles connexions pour l'ensemble des plans et des clients HA. 2 problèmes nous ont trompé dans l'analyse et ont retardé la résolution du problème: ce Vendredi nous avons transféré le routage de l'hébergement mutualisé sur 2 nouveaux routeurs qui ne possèdent pas encore le système de détection d'attaque (il s'agissait d'un test de la future installation de routage de l'hébergement mutualisé qu'on prépare pour Juin et qui n'est pas encore fini). Nous avons dû remettre en place le routage standard en urgence ce qui a provoqué une coupure sur tout le réseau d'Ovh. Aussi, nous avons mis dans la SLB les nouveaux serveurs (sur le port 81) en vue du futur changement de l'installation. La carte SLB s'est donc retrouvée avec 2 fois plus des serveurs que d'habitude à vérifier (en temps normal cela ne pose pas de problème) mais après un reboot, la carte n'arrivait pas tout vérifier et crash-ait immédiatement. Ces 2 problèmes de circonstances ont provoqué des retards anormales dans la gestion de l'attaque. Une fois ces problèmes résolus, nous avons mis en place des solutions en place. Actuellement l'attaque continue toujours mais il n'y a plus aucun problème sur aucun hébergement. L'attaque est vérifiée et filtrée en temps réel et les paramètres que nous avons mis en place permettent filtrer efficacement les vraies visiteurs de l'attaque. Même si nous ne sommes pas contents de nous pour la rapidité de résolution du problème, cette attaque a mis en évidence plusieurs points qui sont très encouragent: - La solution hardware que nous avons choisi (SLB de Cisco) permet gérer ce genre d'attaque avec succès, quelque soit la taille de l'attaque. Il suffit mettre en place les bons paramètres. Cela prend un peu de temps pour tester et trouver les bons paramètres en fonction de l'attaque, mais vu l'expérience d'aujourd'hui, nous pensons être capable d'adapter les paramètres sans dégradation du service dans le futur. La configuration que nous avons actuellement en production pour 720plan est déjà appliquée pour les autres plans et elle permet encaisser déjà une belle attaque. - La future installation qu'on est en train de préparer sera encore plus robuste que l'actuelle puisqu'elle permettra distribuer le risque d'une panne plan par plan. En effet, on prévoit d'utiliser une carte SLB par plan carrément. Si un plan est éventuellement attaquée et par des problèmes de circonstances, cela se passe mal, ce plan là uniquement connaîtra une dégradation de service. Ce n'est jamais un plaisir de recevoir une attaque, mais cela fait parti de notre travail de les gérer correctement. Nous ne sommes pas satisfait de l'expérience d'aujourd'hui. Il faut accepter de ne pas réussir à tous les coups. Si, vous ne recevez plus ce genre d'email que vous êtes en train de lire, ça sera la meilleur preuve que nos conclusions tiennent la route. Désolé pour les pannes d'aujourd'hui. Task: http://travaux.ovh.com/?do=details&id=899 Amicalement Octave
xpatval Posté 30 Avril 2006 Posté 30 Avril 2006 Apparemment tous les problèmes ne sont peut-être pas réglés, car je n'accède plus à OVH sur plusieurs comptes en mutu, en FTP. xpatval
Julien L. Posté 30 Avril 2006 Posté 30 Avril 2006 Les sous-domaines FTP ont changé : http://travaux.ovh.com/?do=details&id=900
Enz0 Posté 30 Avril 2006 Posté 30 Avril 2006 Cela m'étonne toujours de telles informations, preuve que même de grands pros ne sont pas à l'abri de telles attaques ? par contre, il ne parle pas de contre attaque de la part d'ovh ? le net est il un monde sans loi ? n'y a t il rien à faire contre des personnes attaquant le travail de gens honnêtes ?
webadev Posté 30 Avril 2006 Posté 30 Avril 2006 Ils se font attaquer en permanence. Si il devait agir contre chaque attaquant, il ne ferait plus que ça. De plus cela est pas ultra simple de remonter jusqu'a la source. Hervé
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant