flood udp

11 réponses

Auteur	Message
thomas33 \| Membre Inscrit le : 08/05/2007	# Le 20/07/2012 à 18:39 Bonsoir tout le monde, qu'es ce que vous faites contre les attaques UDP en général ? Il m'arrive régulièrement 80M/s de trafic entrant qui m'explose le serveur... J'ai tenté les firewall cisco d'ovh.. il faut oublier ça. Par avance merci Thomas
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 20/07/2012 à 19:09 Hello, tu peux toujours tenter de dropper les paquets coté firewall soft, mais il y a des chances pour que la carte ne suive déjà plus... donc ormis couper en amont sur un équipement dédié, je ne vois pas. Sauf que visiblement tu as déjà essayé. Tu leur reproche quoi aux firewalls fournis par OVH ? daevel : infogérance et conseil \|\| moi
thomas33 \| Thomas Membre Inscrit le : 08/05/2007	# Le 20/07/2012 à 19:12 Ouai la carte réseau ne suivait pas en effet. J'ai testé il y a quelques mois le asa 5505 et asa 5510 sur un serveur. Mais le cpu saturé même lors d'une petite attaque ddos (environ 40 M/s). J'ai passé un moment à désactiver les truc inutiles sur le firewall qui pouvait consommer des ressources mais sans grand intérêt. Peut-être aussi que je m'y suis mal pris ?
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 20/07/2012 à 20:35 le cas est différent, mais pour un client devant supporter un grand nombre de paquets par seconde on a du remplacer les machines par des HG ;tu utilises quelle gamme toi ? daevel : infogérance et conseil \|\| moi
caaptusss \| Jérémy Membre Inscrit le : 25/09/2007	# Le 20/07/2012 à 22:15 C'est ça qu'il faut regarder en fait, Bool a raison. Les attaques UDP, on connait bien, la dernière qu'on a prit était d'environs 2.1 Gb/s. Notre transitaire l'a bloqué en périphérie du réseau mais généralement ça peut te pourrir un routeur, même un truc qui coute 15 k€. Il faut pas regarder le débit sur ta carte réseau, mais le nombre de paquets par secondes. Si t'es à moins de 40k pps (packets par seconde), tu va pouvoir encaisser et laisser iptables faire son taf. Au delà, même avec un ASA, tu va te faire bourrer la carte réseau. En terme de débit, ça restera sain, mais la commutation des transistors de la carte réseau n'arriveront pas à suivre le nombre de pk/s. La seule solution est de passer sur du HG, carte réseau 10G qui peuvent encaisser énormément. L'autre solution est de passer par un outils type CloudFlare qui va te protéger ton accès en amont en filtrant ce qui doit arriver réellement sur ton serveur. L'autre solution est d'héberger la page qui pose problème sur l'infra mutualisé d'OVH, elle est conçu pour encaisser sans problème sur ce genre d'attaques. FirstHeberg.com
thomas33 \| Thomas Membre Inscrit le : 08/05/2007	# Le 20/07/2012 à 23:12 Ok merci pour vos infos. Ca m'arrive généralement sur du SP... Des vieux serveur en plus. Mais j'ai eu le cas aujourd'hui sur du EG. Si j'utilise un HG et que je m'en sert pour rediriger le trafic légitime sur tel ou tel serveur, c'est bon vous pensez ? Ca me permet de filtrer toutes la m***** sur du 10G.
thomas33 \| Thomas Membre Inscrit le : 08/05/2007	# Le 02/08/2012 à 21:04 Et c'est repartit... http://demo.ovh.net/fr/783a95ed982e009314c04017b02... Cette fois ca dure...
caaptusss \| Jérémy Membre Inscrit le : 25/09/2007	# Le 02/08/2012 à 21:07 Tu as mis quoi comme solutions en place ? FirstHeberg.com
thomas33 \| Thomas Membre Inscrit le : 08/05/2007	# Le 02/08/2012 à 21:21 Rien ! Ca vient de faire tomber 1 switch chez ovh ... Les firewall cisco ne tiendrais pas. C'est que de l'UDP sur des ips spoffées. T'aurais pu bloquer quelques choses ?
caaptusss \| Jérémy Membre Inscrit le : 25/09/2007	# Le 02/08/2012 à 22:06 Sur mon réseau, pas vraiment, généralement, on null route l'ip cible pour être tranquille le temps de l'attaque (au détriment du client final malheureusement). Dans ton cas précis, pas vraiment de solution, sauf peut être de passer sur une grosse infra, du genre mutualisé, mais pas forcément possible pour toi (et pas toujours top vu les erreurs 500 que ça génère parfois). Non, y a jamais de miracle, avoir de grosses cartes réseaux devant les serveurs, en HG pour que les switch en face tiennent la route, et à partir de là, tu peux traiter le flux qui t'arrive dessus. L'autre solution est de payer l'abonnement VIP chez OVH pour qu'un ingénieur mettre en place une protection en amont de ta machine. FirstHeberg.com
thomas33 \| Thomas Membre Inscrit le : 08/05/2007	# Le 02/08/2012 à 22:14 J'ai déjà le support VIP. Mais ca ne règle pas l'attaque pour autant ;) Pour l'instant c'est nullrouté en espérant que l'attaque ce lasse...
caaptusss \| Jérémy Membre Inscrit le : 25/09/2007	# Le 02/08/2012 à 22:46 Si j'avais un meilleur routeur-core, je t'aurais volontiers accueillit chez nous, on a de la capacité derrière. On aurait pu traiter l'attaque proprement. Si ça t'impacte toujours d'ici 2-3 mois, fait signe, j'aurais probablement des solutions. FirstHeberg.com

Auteur

Message

Inscrit le : 08/05/2007

# Le 20/07/2012 à 18:39

Bonsoir tout le monde,

qu'es ce que vous faites contre les attaques UDP en général ?

Il m'arrive régulièrement 80M/s de trafic entrant qui m'explose le serveur...

J'ai tenté les firewall cisco d'ovh.. il faut oublier ça.

Par avance merci
Thomas

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 20/07/2012 à 19:09

Hello,

tu peux toujours tenter de dropper les paquets coté firewall soft, mais il y a des chances pour que la carte ne suive déjà plus... donc ormis couper en amont sur un équipement dédié, je ne vois pas. Sauf que visiblement tu as déjà essayé.

Tu leur reproche quoi aux firewalls fournis par OVH ?

daevel : infogérance et conseil || moi

thomas33 | Thomas
Membre

Inscrit le : 08/05/2007

# Le 20/07/2012 à 19:12

Ouai la carte réseau ne suivait pas en effet.

J'ai testé il y a quelques mois le asa 5505 et asa 5510 sur un serveur. Mais le cpu saturé même lors d'une petite attaque ddos (environ 40 M/s). J'ai passé un moment à désactiver les truc inutiles sur le firewall qui pouvait consommer des ressources mais sans grand intérêt.

Peut-être aussi que je m'y suis mal pris ?

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 20/07/2012 à 20:35

le cas est différent, mais pour un client devant supporter un grand nombre de paquets par seconde on a du remplacer les machines par des HG ;tu utilises quelle gamme toi ?

daevel : infogérance et conseil || moi

caaptusss | Jérémy
Membre

Inscrit le : 25/09/2007

# Le 20/07/2012 à 22:15

C'est ça qu'il faut regarder en fait, Bool a raison.
Les attaques UDP, on connait bien, la dernière qu'on a prit était d'environs 2.1 Gb/s. Notre transitaire l'a bloqué en périphérie du réseau mais généralement ça peut te pourrir un routeur, même un truc qui coute 15 k€.

Il faut pas regarder le débit sur ta carte réseau, mais le nombre de paquets par secondes. Si t'es à moins de 40k pps (packets par seconde), tu va pouvoir encaisser et laisser iptables faire son taf.
Au delà, même avec un ASA, tu va te faire bourrer la carte réseau. En terme de débit, ça restera sain, mais la commutation des transistors de la carte réseau n'arriveront pas à suivre le nombre de pk/s.

La seule solution est de passer sur du HG, carte réseau 10G qui peuvent encaisser énormément.

L'autre solution est de passer par un outils type CloudFlare qui va te protéger ton accès en amont en filtrant ce qui doit arriver réellement sur ton serveur.
L'autre solution est d'héberger la page qui pose problème sur l'infra mutualisé d'OVH, elle est conçu pour encaisser sans problème sur ce genre d'attaques.

FirstHeberg.com

thomas33 | Thomas
Membre

Inscrit le : 08/05/2007

# Le 20/07/2012 à 23:12

Ok merci pour vos infos.

Ca m'arrive généralement sur du SP... Des vieux serveur en plus. Mais j'ai eu le cas aujourd'hui sur du EG.

Si j'utilise un HG et que je m'en sert pour rediriger le trafic légitime sur tel ou tel serveur, c'est bon vous pensez ? Ca me permet de filtrer toutes la m***** sur du 10G.

thomas33 | Thomas
Membre

Inscrit le : 08/05/2007

# Le 02/08/2012 à 21:04

Et c'est repartit... http://demo.ovh.net/fr/783a95ed982e009314c04017b02...
Cette fois ca dure...

caaptusss | Jérémy
Membre

Inscrit le : 25/09/2007

# Le 02/08/2012 à 21:07

Tu as mis quoi comme solutions en place ?

FirstHeberg.com

thomas33 | Thomas
Membre

Inscrit le : 08/05/2007

# Le 02/08/2012 à 21:21

Rien ! Ca vient de faire tomber 1 switch chez ovh ... Les firewall cisco ne tiendrais pas.

C'est que de l'UDP sur des ips spoffées.

T'aurais pu bloquer quelques choses ?

caaptusss | Jérémy
Membre

Inscrit le : 25/09/2007

# Le 02/08/2012 à 22:06

Sur mon réseau, pas vraiment, généralement, on null route l'ip cible pour être tranquille le temps de l'attaque (au détriment du client final malheureusement).
Dans ton cas précis, pas vraiment de solution, sauf peut être de passer sur une grosse infra, du genre mutualisé, mais pas forcément possible pour toi (et pas toujours top vu les erreurs 500 que ça génère parfois).

Non, y a jamais de miracle, avoir de grosses cartes réseaux devant les serveurs, en HG pour que les switch en face tiennent la route, et à partir de là, tu peux traiter le flux qui t'arrive dessus.
L'autre solution est de payer l'abonnement VIP chez OVH pour qu'un ingénieur mettre en place une protection en amont de ta machine.

FirstHeberg.com

thomas33 | Thomas
Membre

Inscrit le : 08/05/2007

# Le 02/08/2012 à 22:14

J'ai déjà le support VIP. Mais ca ne règle pas l'attaque pour autant ;)

Pour l'instant c'est nullrouté en espérant que l'attaque ce lasse...

caaptusss | Jérémy
Membre

Inscrit le : 25/09/2007

# Le 02/08/2012 à 22:46

Si j'avais un meilleur routeur-core, je t'aurais volontiers accueillit chez nous, on a de la capacité derrière. On aurait pu traiter l'attaque proprement. Si ça t'impacte toujours d'ici 2-3 mois, fait signe, j'aurais probablement des solutions.

FirstHeberg.com

Répondre

Vous ne pouvez pas participer au forum, car votre inscription n'a pas été validée. Pour vous faire valider en tant que Membre, cliquez ici.