Anti-Ddos toujours active ?

À part ajouter du L7 que tu peux globalement gérer de ton côté, je vois pas spécialement le genre de protection que tu vas ajouter sauf si comme l'a dit janus57 tu passes sur la grosse offre (qui va coûter limite + cher que le serveur ^^).

Bref tu te casses la tête pour pas grand chose je pense, à moins que tu n'aies pas l'expérience pour faire face à des attaques un peu plus sophistiquées que de simples DDoS et que ton site soit vulnérable à des injections SQL ou exploits du genre.

Bonjour,
C'est juste, mais donc dans le cas où j'aimerais tout de même profiter des optimisations de base proposées par Cloudflare, je peux laisser tel quel et si Cloudflare finit par laisser passer le flux, alors OVH s'en occupera ?
J'ai fait en sorte de masquer la vraie IP pour qu'elle ne soit pas trouvable via CloudFlare, mais l'IP est déjà enregistrée un peu partout sur le net, et donc tout cela ne sert à rien.
Et le problème c'est que passer au plan "CloudFlare Business" ne vaut probablement rien si le pirate connaît quoi qu'il arrive l'adresse IP réelle.
Je souhaite surtout agir sur le côté préventif en fait, vu tout ce qu'il se passe en ce moment je préfère m'assurer que l'infrastructure actuelle tienne quand même le coup au cas où....

Bonjour,

si c'est du cloudflare en compte "free" autant laisser OVH gérer la partie DDoS.

Pourquoi ?
Tout simplement parce que je ne s ais pas si cloudflare a changé sa politique de DDoS, mais si reçoit une certains quantité de DDoS et/ou une certaine durée et/ou un certain type d'attaque (L7 ou je sais plus laquelle), CloudFlare va tout simplement dévoiler la vraie IP tu serveur et directement d'envoyer le DDoS dans la tronche.

Bah oui un compte free du paye 0€ et un DDoS pour le mitiger faut souvent des machines relativement onéreuses et des personnes qui s'en occupent.

Le seule avantage de cloudflare (en free) : CDN + cache hors-ligne + éventuellement optimisation.

Et au passage un cloudflare mal réglé permet de voir la "vraie" IP derrière don on peu le bypass rien que si le propriétaire à mal config le tout.

P.S. je ne sais pas si se que je dit est encore d'actualité ou non, mais tu paye (1€ symbolique) pour l'anti-DDoS chez OVH qui est inclus sur tout leur réseau, alors pourquoi vouloir lui mettre des battons dans les roues avec une solution externes qui peu potentiellement ne pas fonctionner car tu utilise potentiellement un compte gratuit ?

P.S.2. regarde le prix des plan et demande toi pourquoi ils ont ce tarif pour le plan "CloudFlare Business" qui lui contient toute les options anti-DDoS et ou dans leur fiche il te promettent une SLA de 100% au niveau de cloudflare (DDoS inclus).

Cordialement, janus57

D'accord mais justement mon IP est susceptible de changer rien que par les différents lieux de connexion :/
Dans le sens inverse, je peux enlever (rapidement ?) cloudflare en cas de problèmes pour repartir sur l'anti-ddos de OVH ?

C'est toi qui fait tes règles firewall donc tu peux imaginer tout bloquer sauf le trafic venant de CloudFare et de ton IP.

Maintenant pour que l'Anti-DDoS fonctionne bien je conseille de le laisser faire son boulot sans rien lui mettre devant, sauf s'il n'arrive pas à faire le boulot par rapport aux services qui tournent sur ton serveur.

Merci Math33 donc c'est bien ce que je pensais, l'anti-ddos de l'un peut agir sur l'autre.
Pour les règles Firewall, elles acceptent dans ce cas uniquement et tout le traffic venant de Cloudflare ? Cela veut dire que j'aurais des soucis pour me connecter en SSH par exemple ?
Merci encore, c'est notamment pour cela que je me dis qu'en prenant une nouvelle IP et la cachant directement sous Cloudflare sans qu'elle soit rendue publique avant, ça pourrait être pas mal

Pas sûr de l'effet double protection de l'Anti-DDoS d'OVH derrière CloudFare car VAC va voir le trafic venant d'un pool d'IPs qui à mon avis est +/- whitelist pour éviter des faux positifs. Dans ces conditions, il m'apparaît difficile qu'il arrive vraiment à trier le trafic correctement alors qu'en direct il a toutes les bonnes informations pour le faire.

Après sur de la protection L7 pourquoi pas vu que là VAC serait capable de traiter les headers HTTP et traiter en fonction des vraies IPs des clients web par exemple mais pour le moment il ne le fait pas.

Pour ta dernière question

Si ton IP publique "réelle" est connue de tes attaquants, le fait de prendre un truc comme CloudFare ne sera pas forcément productif, sauf si tu mets des règles Firewall pour n'accepter que le trafic provenant de CloudFare (à voir si c'est possible/faisable).

Merci pour la réponse très bien expliquée en plus d'être rapide !
Donc le service anti-ddos est associé à l'IP et ne changera rien si les infos DNS changent. En fait je ne suis pas attaqué, mais je voulais juste savoir si en passant mes nameserveurs chez Cloudflare, je bénéficierai bien de l'anti-ddos de cloudflare + celui de OVH si on trouve ma vraie IP.

Autre question si je peux me permettre : Si jamais mon IP a déjà été récupérée par le passé, est-ce une bonne solution d'arrêter la location du serveur pour en prendre un nouveau (même config) et en veillant cette fois à cacher l'IP ?

'Soir,

Je ne comprend pas la relation entre le DDOS et les serveurs DNS.
C'est bien ton dédié qui est DDOS ?
On DDOS un IP, pas un nom de domaine.

Ces serveurs DNS, même quand tu le change, donneront toujours le "ton-nom-de-domaine.tld" => ton IP.
Alors, change le record A (et AAAA) pour qu'il pointe ailleurs ... peut être ... mais c'est trop tard, ils ont TON IP - il est dans leur cache. Le DDOS continue.

La requête DNS "c'est quoi le IP de ce nom de domaine "ton-nom-de-domaine.tld" n'aura lieu qu'un fois (pour chaque type qui te DDOS) au début, après c'est partie pour un tour.

Salut à tous,
Juste une question pour savoir si le service anti-ddos de OVH est toujours valable sur les serveurs dédiés même en changeant les nameservers ?
Merci pour votre réponse !