DDoS le retour … à 5gb/s :s

Plop à tous

Suite à mes articles sur la protection DDoS (soft et hard en logiciel …), le serveur que je « protegeais » à subit d’autres attaques DDoS de plus en plus forte … jusqu’à il y a peu une attaque à 5gb/s qui à finalement provoquée la fermeture du serveur par l’hébergeur.

D’abord une à 100mb/s pendant 5/10 minutes mercredi 30 mars, que personne n’aura senti, notre machine branchée en 1Gb/s tiendra le choc sans souci, et le firewall a très bien fait son boulot, aucun service ne crashera et aucun d’eux ne sera même ralenti (sur le plan CPU/ram ;)).

La suivante du samedi 2 avril (à 981mb/s sur le graphe … à 5gb/s selon l’hébergeur) saturera complètement notre baie (45 machines sur un routeur 10Gb) nous sera fatale (il parait que c’est même pour ça que tout le réseau d’online à été ralentie pendant ce week-end, provoquant la coupure d’autres machines sur la même baie) :

Sans revenir dans les détails, sur les milliers d’ip qui nous ont assailli, seule 200 ip on passées notre première règle anti-ddos (le hitcount de la protection soft), et se sont retrouvés définitivement banni par la protection « hard » (en règles iptables), aucune n’aura été fatale pour les services en eux-mêmes, les graphes de ram et de cpu nous montre que l’attaque a entièrement (en grande partie) été encaissée par le firewall.

Lorsque j’ai mis ces protections en place, je ne pensais pas que ça allait être très efficace sur de très grosses attaques (ok tout est relatif, mais pour un amateur, se prendre du 5gb/s c’est quand même une consécration ^^), cette attaque m’a permit de constater qu’iptable est un outil très puissant et sur lequel on peut compter même sur de grosses attaques, mon seul regret a été la réaction d’online, qui ne nous a même pas proposé de passer sur des services « pro », ou même juste nous filer d’autres ip (branchées sur d’autres ports du switch ou sur un autre routeur) pour faire du bonding (notre machine possédait plusieurs cartes ethernet) et faire de la répartition de charge (aurait-ce été suffisant pour contrer cette attaque ?).

Donc voilà, chez online vous avez du super matos pour un prix défiant toute concurrence, mais vous n’avez pas de SAV digne de ce nom : les admins du serveur sont allés sur leur chan IRC chercher de l’aide, ils n’ont eu que des insultes (des « propos » insultant et non des insultes en soi) en retour, les différentes demandes de prises de contacts ont toutes échouées (par mail et par ticket). Tant que vous n’avez pas de problème, online c’est génial, après, faut voir ailleurs.

En leur espérant un prompt rétablissement, en outre-rhin cette fois, nous testerons la « Deutsche Qualität » du réseau Hertzner, avec un réseau redondant et parait-il protégé en « partie » contre les DDoS (possibilité d’ignorer des ip/plage directement sur les routeurs en amont).

4 réflexions sur « DDoS le retour … à 5gb/s :s »

  1. oui helas la reaction des admin de online comme ovh ! sont la meme je m explique les srv minefield ou craft sont des nid a ddos va savoir pourquoi un srv se faisant ddos pour cette raison entraine une rupture pur et simple du contract mais rien n est indiquer pour ce jeu dans les cgv je pense

  2. ça n’excuse pas leur comportement tout sauf professionnel.
    Mais au final, on a trouvé un hébergeur plus performant ayant des tarifs similaires. Donc au final on est sortie vainqueur de cette histoire 😉

  3. Bonjour,

    Encaissant depuis une semaine ce genre d’attaque, j’aimerais savoir chez qui tu es parti, car OVH me suspend mon serveur dedié, que je possède depuis 3 ans chez eux …
    Et surtout, s’il était possible de partager le script que tu as su mettre en place ?

    J’ai essayé divers règles iptables, mais rien !

    Merci.

Les commentaires sont fermés.