Ce matin plus de blogs a cause d attaques sur les serveurs 90 plan d OVH
Incident | |
tous les plans | |
Détails de l assistance technique OVH : | |
envoient plus de 3’000’000 nouvelles connexions /seconde. Nous avons en
parti reglé le probleme à partir de 2h du matin, mais le systeme s’est
destabilisé à partir de 5h à nouveau. On est en train de regler à
nouveau le probleme.
Commentaire de OVH – vendredi, 04 septembre 2009, 08:50
Nous nous sommes pris autrement. Le probleme est reglé. Mais
on regarde les effets de bords.
Commentaire de OVH – vendredi, 04 septembre 2009, 09:14
Bon l’attaque est maitrisée mais on cherche une maniere plus jolie
de la gerer. Ce n’est pas intelectuellement pas très propre mais ça
marche. Ca aurait été plus simple si la commande flow mask marchait
correctement …
En parallele, on fait en boucle la liste de nouvelles IP qui nous
attaquent pour les ajouter dans nos access-list.
Sinon:
Nous avons subit une attaque hier dans la journée sur 60gp et
depuis minuit on la recoit sur 90plan. Les hackers profitent de
la nuit aux USA pour la generer.
L’attaque est une bete SYN flood. La problematique est la quantitée
de nouvelles connexions /seconde (un peu plus de 3’000’000). On la
regle avec policy flow mask mais les commandes ne fonctionnent pas
correctement.
Les communications entre le systeme de repartition de charge (la carte
SLB de Cisco) et le reseau s’arretent de fonctionner au bout de 4-5
secondes puis la carte voit tout en panne. Il faut la redemarrer ce
qui prend 4-5 minutes. Nous avons d’abord pensé à une panne de la SLB
et nous l’avons changé à 1h00 par une spare mais c’était pas ça.
https://travaux.ovh.com/?do=details&id=3359
https://smokeping.ovh.net/ovh-server-statistics/show.cgi?target=Plans.90plan.http-90plan
On continue à bosser pour regler tout ça. Mais on aurait pu mieux
faire (facile de le dire après …).