Bonjour,
En tant que fournisseur d'infrastructure pour
l'Internet, Ovh a toujours été confronté aux
attaques informatique de type DDoS, aussi bien
sur nos infrastructures, que les services de
nos clients. Depuis la fin 2010 avec l'affaire
de Wikileaks, les DDoS ont fait les uns des
medias et avec le DNS AMP que s'est généralisé
depuis début de l'année 2013, n'importe lequel
gamin peut lancer un DDoS de plusieurs dizaines
de Gbps et mettre en puérile une activité.
De notre côté, nous avons évolué les outils de
protection au fil du temps avec un but simple:
le service de protection anti-DDoS ne peut pas
être une option. Au contraire, les clients
doivent profiter d'un tel service par défaut.
Depuis 3-4 mois nous travaillons sur un nouveau
type d'infrastructure de protection contre les
DDoS que nous avons nommé "VAC". VAC comme "vaccum"
c'est à dire l'aspirateur. Soyons artiste, l'idée
est de passer un aspirateur sur le trafic vient
de l'Internet vers vos services et sortir le
mauvais paquets tout en laissant les bons paquets.
Le VAC1, actuellement en ALPHA, a été installé à
Roubaix. Il fonctionne désormais suffisamment bien
pour qu'on puisse vous expliquer ce qu'Ovh va
proposer au tour des protections contre les
attaques DDoS.
On planifie le démarrage de la BÊTA cette semaine.
Le 16 juillet nous allons expliquer le service
VAC sur notre site et un nouveau contrat verra
le jour pour encadrer ce service. L'objectif est
d'être le plus clair possible et de vous fournir
le plus de garanties.
Hardware
--------
Le VAC est une unité de mitigation capable de
nettoyer jusqu'à 160Gbps / 160Gpps de trafic.
Il est composé de 2 routeurs: un Cisco ASR 9001
et un Cisco Nexus 7009. En totalité, sur un VAC
nous avons 114 ports 10G soit 1.14Tbps de capacité
de switching/routing. Pour le nettoyage de trafic
nous utilisons 2 types de hardware: 4 Tilera
de 20Gbps chacun (80Gbps) et 1 TMS 4000 de 30Gbps.
Le développement software sur les Tilera est
assuré par nos équipes interne. Il s'agit d'un
code C/C++ bas niveau, gestion de queue et des
algorithme qui détermine si un paquets est un
bon paquets ou un mauvais paquets. TMS 4000 est un
boîtier avec les algorithme développé par Arbor.
Le trafic est aspiré à l'entrée d'un datacentre,
nettoyé puis routé vers les routeurs des salles.
Dans le cas de VAC1, on aspire le trafic au niveau
de 2 principaux routeurs de Roubaix, puis on le
fait passer par 5 étages de nettoyage. Chaque
étage nettoie intelligemment un type d'attaque dans
le but diminuer la taille de l'attaque de manière
significatif avant de passer le reste de l'attaque
à l'étage suivant. Et ainsi de suite. C'est grâce
à ces 5 étages qu'on est capable de traiter
jusqu'à 160Gbps d'attaque là où nos concurrents
achètent un boîtier TMS 4000 d'Arbor avec 1 carte
de 10G et ne sont capable de filtrer que max 10G
c'est à dire rien du tout. Si vous recevez les
attaques trop grosses, le contrat est cassée et
vous devez chercher un nouveau hébergeur: c'est
là qu'on intervient puisqu'on n'a pas de limite
dans la taille des attaques qu'on sait gérer ..
Fonctionnalités
---------------
Avec un VAC, nous allons pouvoir vous fournir les
services suivants:
- un firewall network
- la mitigation de attaques DDoS
- le choix de type de mitigation
- la mitigation permanente
- la détection d'une attaque et activation de la
mitigation
- le support pour vous aider en cas d'une attaque
Un VAC fait aussi l'aspiration des attaques que
notre réseau peut générer. En effet, parfois les
clients se font hackés de serveurs qui sont en
suite utilisés pour lancer les attaques. Lorsqu'on
détecte ces attaques, on les aspire aussi sur
le VAC puis on le nettoie en attendant de détecter
les serveurs qui sont hackés puis les mettre en
rescue.
Un VAC participera aussi dans la lutte contre le
spam. En effet, le VAC va aspirer et dupliquer
"le trafic email sortant" d'un DC pour le faire
analyser par un anti-spam et un anti-virus. Nous
allons pouvoir faire les statistiques de nombre
de spam par IP SRC dans nos DCs puis bloquer le
flux SMTP d'une IP lorsqu'on estime qu'il s'agit
d'un spammeur. Un VAC ne fait pas de stockage,
c'est un analysateur de trafic, il n'y a donc pas
de stockage des emails mais juste l'analyse en
temps réels d'un échantillons des emails qui
sortent de nos DCs.
En plus de passer l'aspirateur, Le VAC fait aussi
le repassage .. non je deconne ;)
Redondance
----------
La redondance d'un VAC est réalisé par un autre
VAC. Avant la fin de mois d'Août, nous allons en
effet installer 3 unités de mitigation VAC dans
3 endroits dans le monde:
- à Strasbourg (SBG)
- à Roubaix (RBX)
- à Beauharnois (BHS)
Les 3 VAC vont fonctionner en parallèle et chaque
VAC va aspirer le trafic le plus proche de lui
pour le nettoyer puis l'injectera sur le réseau
interne que nous avons mis en place entre tous
les DC. Ainsi, une attaque qui vient de Miami,FL
va passer sur BHS, là bas le VAC3 va le nettoyer,
puis le trafic entrera dans le réseau interne
de BHS passera par GRA, par RBX pour arriver par
exemple à SBG vers le serveur qui est le victime
d'une attaque DDoS.
La capacité totale de nos 3 VAC est de 3x160Gbps
c'est à 480Gbps/480Mpps. C'est la plus grande
l'infrastructure de mitigation connue qu'un
fournisseur d'infrastructure met à disposition à
ses clients.
Conséquence
-----------
Le service de protection n'est pas limité ni en
terme de la taille de l'attaque ni en terme de
la durée de l'attaque ni en terme de type de
l'attaque. Nous savons encaisser n'importe
laquelle attaque et l'objectif pour nous est de
vous fournir un service qui va vous protéger
réellement le jour J où vous allez recevoir une
attaque.
La question n'est pas vraiment "Est ce que j'en
ai besoin ?" mais "Est ce que le jour J ça me
protégera ?". Encore la semaine passée un client
m'a contacté en urgence car son site se faisait
attaqué par un gamin pas content. 3 cliques plus
tard, l'attaque passait par le VAC1 et son site
www.prestashop.com redevenait disponible. Chaque
jour, nous recevons jusqu'à 1200 attaques et
nous protégeons en moyenne 700 d'entre vous,
pas vraiment les mêmes chaque jour ..
Service
-------
Nous allons offrir 3 niveaux de service:
- par défaut, inclue dans le prix
le but est de protéger notre infrastructure
et le service du client dans un mode
"best effort". En effet, pour bien protéger
une infra contre une attaque, il faut connaître
ce qui tourne sur le serveur puis mettre en
place la bonne configuration de la mitigation.
Sans contact humain avec le client, on ne
peut que faire du "best effort". C'est ce
niveau de service qu'on va offrir par défaut.
- avec l'utilisation PRO vous allez pouvoir
"bidouiller" et adapter la protection avec
le manager ou l'APIv6. On va vous offrir
les outils suivant:
- le firewall network de 480Gbps avec
la possibilité de mettre 100 lignes
ACL par IP DST. c'est une innovation Ovh.
- le choix parmi plusieurs dizaines de types
de mitigation entre web, smtp, game,
teamspeek, streaming, etc
- la mitigation permanente ou activation
de la détection d'une attaque avec le
passage automatique sur le VAC
- le support se fera sur la mailing lis
ddos@ml.ovh.net
- avec le support VIP, vous allez avoir
l'aide humaine à la configuration 24/24
+ quelqu'un à qui parler lors d'une attaque
afin qu'il vous aider à configurer
rapidement et efficacement la bonne
protection qui bloque l'attaque. L'équipe
VIP va assurer le monitoring de l'attaque
24/24 et va adapter la protection si
l'attaque change.
Prix
----
Tout au long de l'ALPHA, nous avons communiqué
sur le fait qu'une protection contre les attaques
DDoS doit être un service inclue dans le prix
d'un serveur, d'un VPS, d'un pCI, d'un pCC ou
d'une connexion ADSL.
Nous avons été très surpris à lire la même
question qui revenait en boucle: "Combien ça
va coûter ?"
Cela nous a fait beaucoup réfléchir .. beaucoup.
Après les réflexions nous avons eu 3 choix:
- faire comme tout le monde, c'est à dire
proposer un service de mitigation à un
prix assez important, tout en stipulant
que la capacité de la mitigation dépend
du prix et que dans tous les cas il y a
une limite de 10Gbps ou 20Gbps (!!). voir une
limitation dans la durée de l'attaque (!!)
puis il faut payer plus si on veut plus (!!)
bref, un service à la carte, hors de prix
et assez limité. le business modèle standard
de l'ensemble de nos concurrents et fournisseurs
des solutions de mitigation.
- faire "à la pas cher/suffisant", c'est à dire
investir dans une infrastructure (on parle de 3Me)
puis ne pas inclure le coût de la mitigation dans
le prix de chaque service. tout simple l'offrir
mais n'ayant pas de chiffre d'affaire lié à la
mitigation, ne pas mettre des équipes pour s'en
occuper 24/24 et espérer que ça va suffire
le jour J.
- nous avons choisi une 3eme voie: mutualiser
les coûts des VAC et des équipes sur tous les
clients existants et futurs que nous avons
sur nos infrastructures. Dans ce cas de figure
on parle d'une option obligatoire pour tous
les serveurs dédiés existants, tous les VPS et
tous les pCC. Mais comme il s'agit de beaucoup de
clients, l'augmentation de prix du service
est très faible:
- VPS: +0.5e/mois
- KS: +1e/mois
- SP: +1e/mois
- EG: +2e/mois
- MG: +2e/mois
- HG: +3e/mois
- pCC: +5e/mois
- housing: +10e/mois
Cette augmentation de prix de tous les serveurs
existants et futurs nous permettra de continuer
à investir dans l'infrastructure et l'améliorer
pour faire face à des nouvelles attaques.
Elle va s'appliquer à partir du 1 septembre 2013
pour l'ensemble de serveurs existant. Par contre
dans le cas de paiement annuel, nous offrons les
protection anti-DDoS et donc le prix du service
ne change pas.
On parle +0.5e/mois à +10e/mois. Cela peut paraître
faible face aux prix du service anti-DDoS que nos
concurrents proposent. Vous pouvez même dire qu'on
ne peut pas proposer de service de protection contre
les DDoS de qualité pour un prix si faible. Avec
le nombre de clients que nous avons et grâce à la
mutualisation de coûts et des investissements, nous
nous sentons totalement à l'aise pour relever le
défis de devenir l'acteur de référence dans les
protections contre les attaques et de pouvoir vous
protéger le jour J.
Amicalement
Octave