OVH Community, votre nouvel espace communautaire.

Attaques, système de mitigation et que faire d'autre ?....


Banon
14/05/2016, 07h18
Bonjour,

Malheureusement depuis cette année, OVH ne protège plus les attaques UDP sur tous les serveurs (sauf les serveurs games).
Avant les attaques était bien mitigées, mais comme toujours OVH avec sa super communication ne nous a rien dit..
On a découvert cela sans être averti.

Si vous n'utilisez pas votre serveur pour le jeu, je vous conseille de mettre ses règles pour voir si cela vous aide :
allow tcp all
allow udp port 53
allow udp remote port 53
deny udp
deny ipv4

buddy
11/05/2016, 20h39
Bonjour,

le problème c'est que la protection anti DDOS, çà reste difficile de filtrer ce qui est "bien" et ce qui est mal ....
Tu ne peux pas vraiment avoir une protection anti DDOS gratuite 100 % efficace.
Mais sur OVH, a un moment tu pouvais toi même bloquer des protocoles sur le firewall network comme ils l'appellent. Du coup, tu pouvais pas exemple bloquer l'udp (attention au DNS quand même).


https://www.ovh.com/fr/anti-ddos/firewall-network.xml

Soleille
11/05/2016, 20h21
Merci.

La mitigation est en mode permanent, mais cela ne change rien... Les sites web sont inaccessibles...

creative123456
11/05/2016, 17h27
Bonjour,

Contacte le support via ticket, mais si l'attaque est de l'udp autant dire que il feront rien a moins que tu aille sur un dédié GAME ( pas utile si tu n'a pas de jeux dessus )

Cherche sur internet un script tcpdump lance en permanence sur ta machine dés que tu subis une attaques donne là au support.

Bye.

Soleille
11/05/2016, 17h11
Bonjour.

Depuis quelques semaines, mon serveur est régulièrement la cible d'attaques.

Je reçois des emails qui m'informent de mesures de mitigation prises par OVH :

Madame, Monsieur,

Nous venons de détecter une attaque sur l'adresse IP X.XXX.XXX.XXX.

Afin de protéger votre infrastructure, nous avons aspiré votre
traffic sur notre infrastructure de mitigation.

Toute l'attaque sera ainsi filtrée par notre infrastructure, et seul
le traffic légitime arrivera jusqu'à vos serveurs.


A la fin de l'attaque, votre infrastructure sera immédiatement retirée de la mitigation.
Mais ces mesures de mitigation ne se lancent pas toujours... Cet après-midi, je rentre chez moi et je constate qu'Apache ne fonctionne plus depuis 30 minutes... Je redémarre le service et je constate rapidement que rien ne va...

Je n'ai jamais eu à gérer ce genre de problèmes... Le serveur a été optimisé, quand je constate que le traffic est anormal, je cherche les IP responsables et je les bannis, mais que puis-je faire d'autre ? Peut-on identifier les responsables de ces problèmes ?

Merci pour votre aide.