OVH Community, votre nouvel espace communautaire.

Attaque DDOS plante le serveur ?


Foenix
06/01/2014, 17h35
Après une relance mail, je viens d'avoir une réponse OVH :

Bonjour,

Il s'agit d'attaques ICMP qui ne sont pas correctement filtrées.
Je vais ajouter les IPs de ns225784 (176.31.226.207 et 87.98.166.128) sous protection Arbor permanente, avec un filtre spécifique à ces attaques.
En cas d'attaque il se pourra que vous perdiez des paquets de ping (si vous pingez le serveur depuis l'extérieur d'OVH), mais cela ne voudra pas dire que le trafic légitime (tcp ou udp par exemple) est impacté.

Clement

Foenix
06/01/2014, 16h06
Citation Envoyé par Cetic
Foenix tu aurais qq chose a nous mettre sous la dent genre log ? Ip ? Type d'attaque ? Protocol ... bref qq chose ou pas ?

En inter OVH rien ne passe par le TNF ou ni même la protection anti DDOS. (Vu que les machines sont déjà dans le réseau OVH)
Donc si ce sont des machines infecté (genre KS ou autre) il suffirait de les signaler à OVH et de bloquer l'attaque sur ton serveur.

Si cela ne viens pas de chez OVH mais bien de l’extérieur, tu vas dans le manager V6, tu configure pour chaque IP attaquées les règles du TNF et tu active l'auto mitigation en mode FORCEE.

La tu verra sur ton serveur se qui te reste en attaque entrante avec un tcpdump de l'eth0/x et tu peux signaler à OVH via le mail du support DDOS.
Bonjour,

Désolé pour le délais de réponse

Malheureusement, j'ai rien du tout comme info, mon admin ne trouve rien. J'essaye d'avoir des infos auprés d'OVH, mais sans succés pour le moment, donc je viens de les relancer.

En tout cas "content" de voir que je suis pas tout seul.

Point positif : pas encore eu d'attaque cette année

YESonvousheberg
05/01/2014, 06h52
Pas d'option lenght sur le TNF. Puis sa ne changerait pas grand chose .

Une autre qui traine aussi :

04:20:06.528927 IP (tos 0x0, ttl 56, id 1, offset 0, flags [none], proto UDP (17), length 38)
96.49.99.11.62603 > 46.165.57.132.8888: [no cksum] UDP, length 10
04:20:06.528935 IP (tos 0x0, ttl 56, id 1, offset 0, flags [none], proto UDP (17), length 38)
66.151.48.123.9825 > 46.165.57.132.8888: [no cksum] UDP, length 10
04:20:06.528944 IP (tos 0x0, ttl 56, id 1, offset 0, flags [none], proto UDP (17), length 38)
64.32.216.22.17859 > 46.165.57.132.8888: [no cksum] UDP, length 10
04:20:06.528951 IP (tos 0x0, ttl 56, id 1, offset 0, flags [none], proto UDP (17), length 38)
37.149.146.63.59937 > 46.165.57.132.8888: [no cksum] UDP, length 10
04:20:06.528958 IP (tos 0x0, ttl 56, id 1, offset 0, flags [none], proto UDP (17), length 38)
74.154.188.85.37107 > 46.165.57.132.8888: [no cksum] UDP, length 10

Il n'y a rien a faire pour "les Clients" . Or mi interdire via le TNF , un range pour le port source afin de limité l'impact mais la encore , sa rend le service non fonctionnel si les clients use un port BlackList via TNF .

Le seul réèl FIX possible pour les 2 types d'attaques que j'ai envoyé et qui passe actuellement toutes les couches de mitigation ==> Arbor . Celui ci est fait pour sa .

Pour le moment Arbor ne le vois pas mais Wait && See ( juste besoin de raj un filtre ou option sur Arbor ) .

Bref sa sera surement fixé dans la journée je vous tiens au courant si j'ai des nouvelles .

Cetic
03/01/2014, 17h03
Citation Envoyé par YESonvousheberg
17:30:20.050830 IP (tos 0x0, ttl 56, id 1, offset 0, flags [none], proto UDP (17), length 29)
40.102.112.114.52470 > 46.165.57.132.8888: [no cksum] UDP, length 1
17:30:20.050836 IP (tos 0x0, ttl 56, id 1, offset 0, flags [none], proto UDP (17), length 29)
162.97.168.54.49080 > 46.165.57.132.8888: [no cksum] UDP, length 1
17:30:20.050841 IP (tos 0x0, ttl 56, id 1, offset 0, flags [none], proto UDP (17), length 29)
78.144.170.15.5217 > 46.165.57.132.8888: [no cksum] UDP, length 1
17:30:20.050846 IP (tos 0x0, ttl 56, id 1, offset 0, flags [none], proto UDP (17), length 29)
14.103.131.44.56722 > 46.165.57.132.8888: [no cksum] UDP, length 1
n'est il pas possible de bloquer alors sur la taille des paquets afin de ne pas accepter n'importe quelle IP ?
Il me semble avoir vu ça dans les options avancées du TNF. Je me trompe peut être ^^

Dans tous les cas l'attaquant peut toujours voir que ça ne passe pas et changer des paramètres. il n'existe pas de protection parfaite, il faudra toujours avoir un œil dessus malheureusement.

maloy
03/01/2014, 16h30
tiens nous au courant ça m'm’intéresse.

YESonvousheberg
03/01/2014, 15h29
L'attaque ( en tout cas pour mon cas ) est de type UDP spoof ( Non interne ) . IP et port SRC random ===> IP/port Ciblé d'un service en UDP

Ce style la :

17:30:20.050830 IP (tos 0x0, ttl 56, id 1, offset 0, flags [none], proto UDP (17), length 29)
40.102.112.114.52470 > 46.165.57.132.8888: [no cksum] UDP, length 1
17:30:20.050836 IP (tos 0x0, ttl 56, id 1, offset 0, flags [none], proto UDP (17), length 29)
162.97.168.54.49080 > 46.165.57.132.8888: [no cksum] UDP, length 1
17:30:20.050841 IP (tos 0x0, ttl 56, id 1, offset 0, flags [none], proto UDP (17), length 29)
78.144.170.15.5217 > 46.165.57.132.8888: [no cksum] UDP, length 1
17:30:20.050846 IP (tos 0x0, ttl 56, id 1, offset 0, flags [none], proto UDP (17), length 29)
14.103.131.44.56722 > 46.165.57.132.8888: [no cksum] UDP, length 1

Je ne posterai pas plus de détails ici ...

Reste plus qu'a attendre une réponse du staff anti-DDOS.

Cetic
03/01/2014, 12h13
Foenix tu aurais qq chose a nous mettre sous la dent genre log ? Ip ? Type d'attaque ? Protocol ... bref qq chose ou pas ?

En inter OVH rien ne passe par le TNF ou ni même la protection anti DDOS. (Vu que les machines sont déjà dans le réseau OVH)
Donc si ce sont des machines infecté (genre KS ou autre) il suffirait de les signaler à OVH et de bloquer l'attaque sur ton serveur.

Si cela ne viens pas de chez OVH mais bien de l’extérieur, tu vas dans le manager V6, tu configure pour chaque IP attaquées les règles du TNF et tu active l'auto mitigation en mode FORCEE.

La tu verra sur ton serveur se qui te reste en attaque entrante avec un tcpdump de l'eth0/x et tu peux signaler à OVH via le mail du support DDOS.

poustiquet
03/01/2014, 07h44
Snort ne les bloque pas ?

YESonvousheberg
03/01/2014, 06h19
Foenix , oui il a un type d'attaque qui passe le VAC et toutes les couches de mitigations ... J'ai le même soucis que toi . J'ai réussi une capture full tcpdump et j'ai folow .

il semble que l'attaque en question soit de plus en plus utilisé . . .

J'attends le fix .

maloy
02/01/2014, 19h20
tu entends quoi par lent? tu as regardé le cpu/ram au moment de l'attaque? ou c'est la connexion qui est flood donc peu de packets légitimes passent? C'est quel type d'attaque? tu as l'offre pro?

Foenix
02/01/2014, 11h37
Bonjour,

Merci pour ta réponse rapide.

Je suis sur un EG SSD de 2011.

Pour les ports je vais voir avec mon admin pour vérifier ça, merci

buddy
02/01/2014, 10h52
heu, tu as un firewall sur le serveur qui bloque les ports non ouvert(s)/inutile(s) ?
Si oui, tu peux faire la même chose avec le firewall network dans le manager OVH.

Après, les attaques ddos sont toutes différentes, c'est facile de bloquer celle qui n'ont rien avoir avec le serveur mais si c'est un attaque sur le port 80 (http ) ou autre, çà devient plus compliquer à filtrer.

tu as quoi comme serveur ?

Foenix
02/01/2014, 10h45
Bonjour,

Je suis sur un dédié et depuis plusieurs jours, j'ai plusieurs attaques DDOS par jour (4-5), avec des attaques qui durent parfois plus de 2h00 !

A chaque fois, mon server devient tellement lent qu'il n'est plus opérationnel.

Il me semblait pourtant que le système de mitigation devait protéger le serveur et faire qu'il reste opérationnel pendant l'attaque et que tout était automatique ? Ou y'a un truc qu'il faut configurer et que j'ai pas vu ?

Cdlt,