OVHcloud Network Status

Current status
Legend
  • Operational
  • Degraded performance
  • Partial Outage
  • Major Outage
  • Under maintenance
mise en place de protection contre le spoof
Scheduled Maintenance Report for Network & Infrastructure
Completed
Nous allons mettre en place les protections contre le
spoof de nos IP à partir des reseaux sur le net.

Update(s):

Date: 2011-02-27 09:48:43 UTC
certains serveurs sont encore en rescue. on est en
train de verifier chaque serveur un par un et corriger
ses parametres de boot en cas de besoins.

Date: 2011-02-27 07:46:43 UTC
Un client IT (un hackeur) a commandé 15 serveurs. Ils utilisaient
certains serveurs pour lancer les attaques et les scans. Il a été
mis plusieurs fois en \"anti hack\" (rescue) afin de proteger notre
reseau et les reseaux sur Intenet.

Jusqu'au là il n'y a rien de nouveau. L'habitude.

L'un de serveurs 94.23.4.70 a été utilisé pour attaquer d'autres
hackeurs sur le net. Nous avons donc reçu les attaques sur 94.23.4.70
Nous avons mis de protections habituellement utilisés par les
équipes 24/24 pour bloquer ces attaques.

Toujours rien de nouveau.

Comme les blocages ont été très efficace et les hackeurs qui ont
attaqué 94.23.4.70 non satisfait du resultat de leur attaques, ils
ont lancé une attaqué spoofé à partir d'Internet mais avec les IP
d'Ovh. C'est une (jolie) maniere de passer à travers les securisations
et les limitations automatique de trafic en cas d'attaque. Car le
packet initié par une IP sur l'internet (peu importe où) en spoofant
la source 94.23.4.70 et le port 80 arrivait sur une IP d'un serveur
dédié chez Ovh. Ce serveur (qui n'a rien demandé) repondait à 94.23.4.70
sur le port 80 \"je ne t'ai rien demandé, annule la connexion\". En
lancant ce spoof de maniere massif, les hackeurs ont lancé provoqué
l'attaque fait par le reseau Ovh vers une ip victime 94.23.4.70:80.
Cette attaque de 500Mbps a été lancé vendredi 25 vers 20h.

Ovh analyse le trafic interne du reseau et detecte les attaques puis
intervient pour bloquer les attaques. Nous avons ainsi detecté qu'un
peu moins de 300 serveurs chez Ovh ont lancé une attaque vers 94.23.4.70
et nous les avons passé en rescue pour proteger le reseau.

Il s'agit dans ce cas de figure très particulier d'un faux positive
et nous avons remis cette nuit tous ces serveurs en etat de normal.

Pour eviter cette faille, nous avons mis de protection suplementaire
sur le trafic entrant vers notre reseau à partir de l'Internet. Il
n'est plus possible de nous envoyer les packets à partir des IP sources
qui sont à nous. C'est bloqué. Le probleme est donc fixé.

Désolé pour les problemes generés.

En parallele, juste pour information, tous les serveurs dédiés sur
notre reseau connectés sur nos switchs ont le même type de protections
c'est à dire qu'ils ne peuvent pas initier de trafic qu'avec les IP
qui sont attribués sur le serveur (le port du switch). En gros sur
chaque port de chaque switch il y a une access-list avec les IP qui
peuvent envoyer le trafic. On ne peut donc pas les utiliser pour
spoofer et envoyer ce genre d'attaque vers le reseau d'Ovh ou vers
Internet.
Posted Feb 27, 2011 - 07:08 UTC