Reprise du message précédent :
Ovh me dis qu'ils ne peuvent pas filtrer le vrai trafic UDP du port 53 d'une attaque; et on me demande a moi de le faire ... En menaçant de fermer mon serveur ... La bonne blague !

Je sais bien, mais est-on sûr que c'est le trafic réseau qui limite ? Ça pourrait être le CPU qui sature à traiter les paquets.

oui

Alors... pas de bol !

Je vais passer sur un dédié avec 1Gpbs ...

Re,
 
je voudrais savoir pourquoi mon serveur est "down" alors que je prend uniquement 150 à 200Mbps par seconde, sur un lien de 1Gpbs ?
 
merci

pareil qu'avant... :
 - quel type de trafic
 - qu'est ce que t'entend par "down"

je pense qu'il s'agit encore de traffic UDP > DNS
 
et down, c'est à dire inacessible en Apache, ou bien SSH (depuis chez moi ou un autre dédié ovh)
 
pourtant le lien ne sature pas ...  
 
(l'attaque est montée à 260mbps)
 
 
appel avec OVH : ce n'est plus le débit entrant le problème, c'est le nombre de paquets par seconde maintenant ...
et ils n'ont pas de solution, je songe à passer chez Online.

Question un peu bourrine : tu n'as pas pensé à mettre réellement down ton serveur, le formater et repartir sur une base saine ?
Là de ce que j'en lis depuis 20 jours, c'est d'essayer de mettre un pansement sur une jambe de bois. Jusque là les admins d'OVH ont été plutôt cool et t'ont laissé l'accès, mais si tu tardes vraiment trop ils ne vont plus se gêner à fermer à ta place le serveur, et tant pis pour toi pour n'avoir pas pris les choses en main.
 
A noter que partir chez Online ne changera rien si ton système n'est pas propre et sûr à l'exploitation.
 
A l'heure actuelle, il faut prendre réellement une situation d'urgence, c'est à dire :
- faire un mail pour prévenir les admins d'OVH que tu vas mettre down de ton côté le serveur, pour le réinstaller
- demander un nouveau couple identifiant/mot de passe tant que t'y es (des fois qu'il serait connu de l'attaquant)
- activer le vKVM sur ton manager (voir ici) s'il ne l'est pas encore
- faire une réinstallation complète
 
Une fois la base assainie, tu pourras remonter ce que tu voudras dessus, comme mettre de ton côté sur ton serveur de quoi bloquer les futurs attaques.

je viens de louer il y a quelques jours un nouveau serveur, c'est donc repartir sur une nouvelle base ...  
 
Online ne propose Arbor que pour les societés, cependant Free-H serait dispo pour les particuliers, je vais étudier avec eux les solutions.
 

Je vais faire une réponse un peu bourrine : tu sais faire la différence entre une problématique d'infrastructure et une problématique virale/d'intrusion ? Que la base du serveur soit saine ou non, ça ne change en rien que quelqu'un a mis en place un DDoS en continue sur son serveur. Là, il ne s'agit pas d'un serveur qui s'est fait vérolé/hacké. La base est ok.

Au mieux, ce qu'il peut faire c'est un firewall proprement configuré qui n'accepte le trafic que pour ses clients légitimes. Mais si l'attaque est continue et dépasse les limites de l'infra (initialement les 100Mbps de l'accès maintenant à priori le nombre de pps) c'est pas de chance tant qu'il n'y aura pas l'infra nécessaire pour atténuer/stopper l'attaque dans le réseau.

Que ce soit chez online ou chez ovh, que le système soit sûr ou non, rien ne changera tant que l'infrastructure ne stoppera pas cette attaque. Point barre.

Sauf que ni OVH, ni Online ne propose un anti-DDoS à leur niveau... c'est uniquement du ressort de l'utilisateur/administrateur.

Il y a aussi FirstHeberg (topic unique ici) qui sont plus "artisanaux" mais les clients en semblent satisfait.

Online propose une solution Arbor mais uniquement pour les profesionnels (sociétés) du coup j'ai choisi Free-H qui propose la même chose pour tout le monde.
 
Et c'est une sécurité en amont, au niveau de la connexion avec leur fournisseur d'accès.

Ralala, maintenant sur le site est plus ou moins sécurisé, ce sont les machines hébergeant les serveurs de jeu qui se font attaqués ...

près de 500mbps sur une (erreur de config de OVH, puisqu'elle devrais être en 100, mais visiblement c'est du 1000) et l'autre qui prend 100mbps ...

je désespère ...

je vais voir avec Free-H quelle genre de machines équivalentes je peux avoir sous Arbor !
Demain premier du mois, reset des topsite, on va prendre très cher.

Salut,  
 
On m'a indiqué ton topic puisque actuellement j'ai exactement le même problème que toi. Je suis chez OVH et ça fait plusieurs mois qu'on me DDoS.
 
Pour calmer le jeu je ferme mon service VoIP dès que ça arrive. J'ai une quantité de logs affolantes (70 Go pour quelques heures de DDoS) et j'en ai examiné un partie avec Wireshark. D'ailleurs je me suis fait un cycle crontab pour tcpdump tout mon trafic avec un delete toutes les 24 heures pour ne pas saturer mon disque.
 
Résultat:
 
C'est du syn-flood et du dns amplification. ça envoie de 60 Mb à 80 Mb pour 100Mb qui me sont alloués. Des ips qui viennent de toute la planète. Mes détracteurs ont même revendiqués leurs attaques. Ce sont des gamins qui louent des booter à des hackers. On en trouve des quantités monstres sur google à des prix dérisoires. Si tu es dans le milieu gaming on y échappe pas.
 
Alors j'ai passé des heures et des heures à configurer un iptables strictes à faire des tests, etc... à converser avec OVH. Mais ils n'ont pas de solution. J'ai dénoncé ces types à leur propre hébergeur (car ils ont des sites, voir même des plateforme VoIP pour s'organiser). Mais personne ne réagit.
 
Il ne reste plus que deux solutions:
- trouvez un hébergeur qui se protège en front. mais ça coute cher.
- contrattaquer.  
 

La situation est plus calme de mon côte, et je suis en effet dans le gaming ...
 
pour le site, je l'ai mis chez Free-H qui propose Arbor, les dédiés sont toujours chez OVH en n'espérant que cela ne reprenne pas sous peu !

ça s'est arrêté pendant quelques semaines et ça a reprit de plus belle dernièrement. Sauf que moi c'est directement sur mon dédié.
 
J'avais déjà visité Free-H je pense qu'ils ont leur solution chez online.net du coup les dédiés protégés sont très chers. Peut être que je vais essayer un VPS.  
 
Après je ne sais pas trop si ils vont apprécier un client déjà sous les feux. Parfois les solutions anti-ddos sont à titre préventif.
 
Ce qui est bien chez OVH c'est qu'ils ne t'excluent pas dès le premier DDoS