protection contre le spoof

Bonjour,
Nous avons amélioré les protections contre les attaques vers
notre reseau et notamement les attaques spoofées fait avec
nos IP mais venues de l’Internet. Désormais ce type d’attaque
est bloquée.

Ceci fixe le probleme d’anti-hack qu’environ 300 clients ont
reçu depuis vendredi soir. Tous ces serveurs sont désormais
en etat normal de fonctionnement.

Désolé pour le probleme.

Amicalement
Octave

En savoir plus:
http://travaux.ovh.net/?do=details&id=5183

—————————————————————–

Un client IT (un hackeur) a commandé 15 serveurs. Ils utilisaient
certains serveurs pour lancer les attaques et les scans. Il a été
mis plusieurs fois en "anti hack" (rescue) afin de proteger notre
reseau et les reseaux sur Intenet.

Jusqu’au lŕ il n’y a rien de nouveau. L’habitude.

L’un de serveurs 94.23.4.70 a été utilisé pour attaquer d’autres
hackeurs sur le net. Nous avons donc reçu les attaques sur 94.23.4.70
Nous avons mis de protections habituellement utilisés par les
équipes 24/24 pour bloquer ces attaques.

Toujours rien de nouveau.

Comme les blocages ont été trčs efficace et les hackeurs qui ont
attaqué 94.23.4.70 non satisfait du resultat de leur attaques, ils
ont lancé une attaqué spoofé ŕ partir d’Internet mais avec les IP
d’Ovh. C’est une (jolie) maniere de passer ŕ travers les securisations
et les limitations automatique de trafic en cas d’attaque. Car le
packet initié par une IP sur l’internet (peu importe oů) en spoofant
la source 94.23.4.70 et le port 80 arrivait sur une IP d’un serveur
dédié chez Ovh. Ce serveur (qui n’a rien demandé) repondait ŕ 94.23.4.70
sur le port 80 "je ne t’ai rien demandé, annule la connexion". En
lancant ce spoof de maniere massif, les hackeurs ont lancé provoqué
l’attaque fait par le reseau Ovh vers une ip victime 94.23.4.70:80.
Cette attaque de 500Mbps a été lancé vendredi 25 vers 20h.

Ovh analyse le trafic interne du reseau et detecte les attaques puis
intervient pour bloquer les attaques. Nous avons ainsi detecté qu’un
peu moins de 300 serveurs chez Ovh ont lancé une attaque vers 94.23.4.70
et nous les avons passé en rescue pour proteger le reseau.

Il s’agit dans ce cas de figure trčs particulier d’un faux positive
et nous avons remis cette nuit tous ces serveurs en etat de normal.

Pour eviter cette faille, nous avons mis de protection suplementaire
sur le trafic entrant vers notre reseau ŕ partir de l’Internet. Il
n’est plus possible de nous envoyer les packets ŕ partir des IP sources
qui sont ŕ nous. C’est bloqué. Le probleme est donc fixé.

Désolé pour les problemes generés.

En parallele, juste pour information, tous les serveurs dédiés sur
notre reseau connectés sur nos switchs ont le męme type de protections
c’est ŕ dire qu’ils ne peuvent pas initier de trafic qu’avec les IP
qui sont attribués sur le serveur (le port du switch). En gros sur
chaque port de chaque switch il y a une access-list avec les IP qui
peuvent envoyer le trafic. On ne peut donc pas les utiliser pour
spoofer et envoyer ce genre d’attaque vers le reseau d’Ovh ou vers
Internet.