Version complète: sur le forum Webmaster Hub : Attaque du réseau chez OVH
Webmaster Hub > Accueil > Annonces du Hub
Dan
mardi 30 mars 2004 à 13:45
Bonjour à tous,

Voici ce qu'Octave vient de poster sur la mailing-liste [Hosting] d'OVH:
CITATION
Salut,
Nous sommes en train de recevoir 1Gbps (929Mbps pour être precis) d'attaque type
smurf sur nos instalaltions. Nous le supportons sans pas trop de problème.
Si vous n'arrivez pas à pinger vos machines, c'est normal. Il y a environ 10000
ip qui nous flood. Nous allons couper l'ensemble d'icmp de tout notre reseau
pour eviter les surcharges inutiles des routeurs.

Le fonctionnement general de service n'est pas touché. TCP et UDP fonctionne
parfaitement.

Amicalement
Octave
Dan
mardi 30 mars 2004 à 14:49
Tout est rentré dans l'ordre semble-t-il wink.gif
CITATION
Salut,
L'attaque est finie. Elle a duré 40 minutes environ à 900Mbs. Pendant 10 minutes
nous avons saturé le lien input à 1Gbps et ça a provoqué quelques ralentissements
sur 50% de notre reseau. Il reste encore 100Mbs.

Nous allons remettre ICMP dés que l'attaque sera completement finie.

PS. l'addition est pour nous.

Amicalement
Octave
Beatnykk
mardi 30 mars 2004 à 14:52
comment qu'on faits pour que 10 000 ip attaquent un même serveur ? on appelle 9999 potes pour foutre le darras sur le net un samedi soir pluvieux et sans match de foot ?
Americas
mardi 30 mars 2004 à 15:39
Et en terme de conséquences... cela a donné quoi cette attaque ?
Je n'étais pas là et je n'ai pas pu me rendre compte si le site était lent ou inaccessible sad.gif

Quand j'ai reçu ce message... j'ai tout d'abord cru que c'était une attaque des Klingons :yoot:
-ZN-
mardi 30 mars 2004 à 15:45
Je crois que l'on nomme ce type d'attaque du mass icmp flooding .... dans le registre distributed denial of service (l'attaquant est disperse)

C'est le meme type d'attaque qui avait tente de paralyser qq uns des serveurs DNS centraux il y a de cela qq mois ...

C'est bien ca?
Dan
mardi 30 mars 2004 à 15:47
CITATION(Americas @ mardi 30 mars 2004, 16:39)
Et en terme de conséquences... cela a donné quoi cette attaque ?
Je n'étais pas là et je n'ai pas pu me rendre compte si le site était lent ou inaccessible  sad.gif

Cela a ralenti les accès, sans que ce soit véritablement gênant.
On a le même type de ralentissement quand un lien de peering avec un FAI sature.... tout traîne un peu plus.

Dan
Dan
mardi 30 mars 2004 à 23:05
L'attaque continue ....
CITATION
Salut,
A 14h nous avons reçu la 1er vague d'attaque à 1Gbps pendant 50 minutes
environ. L'un des liens a été saturé et ça a provoqué quelques ralentissements.
Nous avons reçu 2ème attaque à 15h50 de 900Mbs sans aucune consequence.
3ème vague a demarré à 18h50 et continue toujours. Nous avons reconfiguré
nos routeurs pour eviter la saturation des liens vers 19h30. Depuis nous
savons accepter plus de 1Gbps en input sur les 2 ip attaquées.
Un graphe MRTG de notre bande passante de la journée:
                  http://ping.ovh.net/tout-day.png

En vert à droite c'est l'attaque.

Octave
Cisco Powered
Dan
mercredi 31 mars 2004 à 08:35
Cela semble rentré dans l'ordre ce matin ... merci à OVH pour cette belle réactivité :up:
thick
mercredi 31 mars 2004 à 12:00
Merci OVH ça confirme ce que je pensais de vous. You are the best !
Dan
mercredi 31 mars 2004 à 12:35
Epilogue...
CITATION
Salut,
L'attaque a fini vers 1h10 mais il reste encore environ
100Mbps residuel. Comme nous ne savons toujours pas
l'origine de l'attaque, elle peut reprendre à n'importe
lequel moment. Ce n'est pas très grave. Pas trop de temps
de passer sur irc ce temps-ci pour chercher ce genre d'info,
mais si vous avez des infos sur le site qui ne plait pas trop,
n'hesitez  pas m'envoyer par l'email.

Sinon les conclusions:
- Nous utilisons depuis 18 mois environ les Cisco sur la
  backbone et sur la distribution. Les routeurs de backbone
  ont joué parfaitement leur rôle. Aucune surcharge au
  niveau de CPU. Les attaques de type smurf sont les pires
  dans l'espece puisque les packets de type ICMP sont les
  plus difficile à routeur. C'est un type d'attaque que les
  hackeurs d'irc aiment faire. Bref, Cisco is perfect
  (l'addition est pour nous)
 
- Nous recevons regulierement des attaques de 100Mbps,
  200Mbps, 400Mbps ou 800Mbps. On ne vous informe même plus.
  Par contre là c'est la 1ere attaque d'1Gbps. Nous avons
  eu environ 60 minutes pendant lesquels l'un des liens
  a été saturé (en reception). Comme on n'a jamais eu ce
  problème (on héberge les sites et donc le trafic est sortant
  surtout, jamais entrant) nous n'avons pas pu configurer le
  reseau pour recevoir une telle attaque et la tester. Maintenant
  c'est fait.

- Les liens à 1Gbps c'est bien, mais ce n'est plus suffisant
  de nos jours. Désormais la taille de base est 2Gbps, 2.5Gbps
  et 10Gbps. Le reseau de Free Telecom est de plusieurs 10Gbps et
  grâce à ça ils ont pu nous laisser le soin de chercher la bonne
  configuration. Le reseau intra-OVH sur paris (sur 60km) est en
  2Gbps, mais nos liens vers l'internet sont de 1Gbps (nous avons
  2 liens de 1Gbps). Nous allons donc tout passer en 2Gbps chaque
  lien. On va se donner 4 mois pour le faire vu que rien n'est
  réellement blocant désormais.

Un petit lien pour la route:
          http://ping.ovh.net/tout-day.png

Nous sommes réellement contents qu'il y a eu si peu d'impact sur
la qualité d'hébergement même avec une attaque si importante. On
espere que ça sera toujours le cas.

Amicalement
Octave
Dan
mercredi 31 mars 2004 à 18:37
Et quand on croit que c'est fini... wink.gif
CITATION
Salut,
Nous avons reçu 1.6Gbps d'attaque. Les liens ont resaturés.
C'est désormais bloqué en amont. Les liens ne saturent plus
du tout. Attaque continue. Tout est à nouveau opérationel.

Amicalement
Octave
photovrac
lundi 14 juin 2004 à 21:54
il nous a bien eu sur ce coup l'Octave !

C'est drôle que vous ne parliez pas de la suite ! Ou alors c'est un autre post du forum hub ?

Je m'etais bien fait avoir par la release 2.24 special poisson d'avril ... je suis allé repatché mon dédié une deuxième fois pour rien, enfin si, pour faire rire Octave.

Il vous a fait le coup à vous aussi ?
PwetPwet
lundi 14 juin 2004 à 22:17
c vrai que j'ai vu des ralentissements, pour que ca marche bien, fallait cliquer sur la barre d'adresse de IE et puis cliquer sur entrer, la ca marchait bien sinon, ca plantait. Je dirais que OVH avec l'ancien site de ma fille qui faisait pas mal de problemes a OVH a des moments a toujours été a la hauteur !
je me souviens aussi du jour ou ma fille est passé d'un petit hebegement de 90 mo a un hebergement de 240 mo avec les pb puis vous devinez koi*?lol
photovrac
lundi 14 juin 2004 à 22:26
mais non !!! ça marchait très bien en fait ce jour là !

c'etait un gros canular d'Octave pour le 1er avril, il a fait rebooter tous les dédiés avec la nouvelle release, sortie juste qq jours auparavant, en faisant croire à cet attaque.

entre temps il y eu aussi son mail disant qu'OVH allait passer en serveurs windows NT pour ne plus être pirété !!! Le grosse provocation !!!

il a fait ça aussi pour forcer certains à mettre à jour, devant le nombre de sercveurs hackés faute de release. Moi je l'avait déjà faite, et ça me saoule toujours d'aller me connecter en ssh pour la faire, la fleime, donc la faire deux fois pour un poisson d'avril, c'etait rageant.
Dan
mardi 15 juin 2004 à 05:51
Photovrac,

L'attaque du réseau n'a rien à voir avec la release Windows pour les serveurs telle qu'il l'avait annoncée au premier Avril, panneau dans lequel nous ne sommes pas tombés. whistling.gif

Cette attaque a été lancée 2 jours plus tôt, le 30 mars, et tous les serveurs OVH ont connu de sérieux ralentissements pendant 24 Heures.
Il y a eu plusieurs vagues d'attaques DOS par flood ICMP qui n'avaient rien d'un poisson d'avril.

Dan
Cariboo
mardi 15 juin 2004 à 07:47
Eh, arrêtez de me faire peur là :o

Parler de serveurs OVH hackés juste au moment ou je loue un dédié !

laugh.gif

On aura beau dire, je suis content, la prise en main du serveur avec les outils et la doc fournie par OVH, "it's a piece of cake" comme dirait Octave. Ils ont fait de sacrés progrès de ce côté là, je ne sais pas pourquoi j'ai hésité aussi longtemps...
valdo
mardi 15 juin 2004 à 11:47
Ce qui est amusant c'est de voir a quel point il est possible de faire de grosses attaques en modifiant quelques champs d'un packet ICMP.
Vivement IPv6 !! Et vive les routeurs Cisco qui tiennent parfaitement la charge. Ce qu'on peut pas inventer pour faire chier les gens.

Laurent.
photovrac
mardi 15 juin 2004 à 23:02
CITATION(Dan @ mardi 15 juin 2004, 05:51)
L'attaque du réseau n'a rien à voir avec la release Windows pour les serveurs telle qu'il l'avait annoncée au premier Avril, panneau dans lequel nous ne sommes pas tombés.


Ok Dan, je découvre vos posts et je voyais rien sur le jour qui a suivi (le poisson d'avril) ... je savais pas qu'il y avait eu une vraie attaque la veille.

J'ai été hacké il y a six mois, DD changé pour 120 euros, réinstall ... totale les nerfs et perte de temps, ça fait mal.

On m'a dit qu'il y avait une faille de sécurité exploitable dans le realserver (pour qui se l'est installé, ou fait installé), je sais pas si le fait d'avoir la dernière release et de démarrer en noyau ovh avec grsecurity protège de cette faille là ?
PixCréation
jeudi 17 juin 2004 à 12:17
Salut,

ils on cependant été attaqué par spam dernièrement. L'interface webmail est suspendue pour travaux wink.gif
Americas
jeudi 17 juin 2004 à 16:55
c'est réglé !

Ils viennent d'envoyer un mail pour dire que c'était réglé... pour l'instant wink.gif

ya des saloperies de virus et des s...... de hackers qui attaquent tous les scripts de courrier... faudrait faire quelque chose contre cette plaie evil.gif

moi je n'ose même plus envoyer une newsletter :yoot:
photovrac
jeudi 17 juin 2004 à 23:19
je reçois plus rien d'Octave depuis pas mal de temps, j'ai dégagé de sa newsletter ou quoi .... on en est où coté release des dédiés, c bien 2.4.26 la der ? pas de nouvelle release depuis un mois ou deux je crois ?
Dan
vendredi 18 juin 2004 à 06:40
Tout juste,

Mais tu trouveras sur le Hub un script permettant de mettre à jour les versions Apache 1.3.31, Php 4.3.7 et mod_ssl
http://www.webmaster-hub.com/index.php?showtopic=3622

Je ne sais pas pourquoi cette release OVH n'est pas sortie ?

Dan
rick
vendredi 18 juin 2004 à 21:03
pas trop grave l'ataque ovh , chez Amen bloqué pendant 24 heures.
jdelire
samedi 19 juin 2004 à 22:49
Oui, et ce n'est pas que Ovh qui a été touché ! Mais plusieurs hebergeur francais :down:
Patotoche65
dimanche 20 juin 2004 à 00:00
Salut à tous,

Cela deviendrait il un sport à la mode ?

Pour info, Amen à pris 1 Gbps de montée la semaine dernière ..... wacko.gif

A ce jour, tout est réglé (ça c'est d'ailleur réglé dans la journée, bien sur)

voilou
Ceci est une version "bas débit" de notre forum. Pour voir la version complète avec plus d'information, la mise en page et les images, veuillez cliquer ici.