OVH vient de donner le coup d'envoi du VAC, son service maison de protection contre les attaques DDoS (déni de service). Pour le moment en version bêta, il est proposé gratuitement à l'ensemble des clients disposant d'un serveur dédié, mais il deviendra payant à partir du 1er septembre. Question tarif, il faudra compter entre 0,50 € et 10 € par mois. De son côté, OVH assure pouvoir « encaisser n'importe quelle attaque ».
OVH : les attaques DDoS se généralisent, un coup d'aspirateur pour régler le problème
Dans un long message posté fin juin sur ses forums, Octave Klaba, PDG d'OVH, dévoilait en détail son offre anti-DDoS. Un phénomène qui, selon lui, a pris de l'ampleur au cours des dernières années : « depuis la fin 2010 avec l'affaire de Wikileaks, les DDoS ont fait les unes des médias et avec le DNS AMP qui s'est généralisé depuis début de l'année 2013, n'importe lequel gamin peut lancer un DDoS de plusieurs dizaines de Gbps et mettre en péril une activité ».
Afin de pallier ce problème, une solution maison était mise en place : le VAC pour « vacuum », ou aspirateur en anglais. Elle se compose de deux routeurs Cisco (ASR 9001 et Nexus 7009) qui sont capables de « nettoyer » jusqu'à 160 Gbps de trafic. Au total, trois couples sont installés : un à Roubaix, un à Strasbourg et un autre à Beauharnois au Canada (voir notre dossier).
Ils fonctionnent tous les trois en parallèle et ils aspirent le trafic le plus proche d'eux. Ainsi, une attaque émise depuis Miami en Floride et visant un serveur dédié en France passera par le VAC de Beauharnois avant de transiter sur le réseau interne d'OVH. La société précise qu'il faut entre 15 et 120 secondes pour activer la mitigation et commencer à filtrer le trafic entrant à travers le VAC. De son côté, le serveur continue de répondre normalement aux requêtes. De plus amples informations sont disponibles sur cette page.
« Nous savons encaisser n'importe quelle attaque »
Octave Klaba qui a largement communiqué sur le sujet sur son compte Twitter ces dernières semaines, semble très satisfait de son infrastructure et précise que « le service de protection n'est pas limité ni en terme de la taille de l'attaque ni en terme de la durée de l'attaque ni en terme de type de l'attaque. Nous savons encaisser n'importe quelle attaque et l'objectif pour nous est de vous fournir un service qui va vous protéger réellement le jour J où vous allez recevoir une attaque ». Reste à voir ce qu'il en sera dans la pratique et si la promesse pourra être tenue dans toutes les situations.
Il ajoute que cette protection va plus loin que les attaque DDoS : « le VAC va aspirer et dupliquer "le trafic email sortant" d'un datacenter pour le faire analyser par un anti-spam et un anti-virus. Nous allons pouvoir faire les statistiques du nombre de spam par IP SRC dans nos Datacenters puis bloquer le flux SMTP d'une IP lorsqu'on estime qu'il s'agit d'un spammeur ».
Il ajoute qu'« un VAC ne fait pas de stockage, c'est un analysateur de trafic, il n'y a donc pas de stockage des emails mais juste l'analyse en temps réel d'un échantillon des emails qui sortent de nos Datacenters ». Une fonction intéressante sur le papier, mais qui risque tout de même de faire grincer quelques dents, surtout en cette période où l'affaire Prism est dans toutes les mémoires.
Une option obligatoire de 0,50 € à 10 € par mois, mais gratuite avec un paiement annuel
Quoi qu'il en soit, la mise en place des VAC a un coût non négligeable, estimé à environ 3 millions d'euros par le PDG de la société. L'hébergeur a décidé de le mutualiser et de proposer sa solution à tous les clients via « une option obligatoire pour tous les serveurs dédiés existants ».
Notez que les clients qui ont souscrit à l'option « Utilisation professionnelle » pourront en plus profiter de l'API, d'une mitigation permanente (plus besoin d'attendre entre 15 et 120 secondes donc) ainsi que de nombreuses options de personnalisation.
Voici la liste des tarifs suivant le type de serveur dédié dont vous disposez :
- VPS : + 0.5 € par mois
- KS : + 1 € par mois
- SP : + 1 € par mois
- EG : + 2 € par mois
- MG : + 2 € par mois
- HG : + 3 € par mois
- pCC : + 5 € par mois
- Housing: + 10 € par mois
Cela concerne aussi bien les clients existants que les nouveaux. Octave Klaba précise par contre que cette « option obligatoire » sera gratuite dans le cas d'un paiement annuel. Quoi qu'il en soit, elle est offerte durant la phase bêta qui devrait se terminer le 1er septembre. Après, il faudra obligatoirement payer... ou changer d'hébergeur.
Commentaires (133)
#1
octave il changera jamais… pour la securité, il met une option qui devient obligatoire si tu as un dédié….
#2
Je sens que l’on va bien rire dans pas longtemps " />
#3
“challenge accepted” " />
#4
On a déjà entendu ça quelque part, on voit comment ça a fini.
Jaimelesartistes, tout ça… " />
#5
comment chauffer les hackeurs du monde entier ^^
#6
#7
#8
Une option obligatoire payante ? Alors déjà, si c’est obligatoire, par définition ce n’est pas une option. Et d’autre part, je pense pas que ce soit très légal…
#9
Au moins avec tous les ddos qui vont arriver suite à cette annonce on va pouvoir voir à quel point elle est efficace cette protection.
#10
#11
#12
Pas de DDOS possible, ils ne livrent plus les serveurs " />
#13
Elle se compose de deux routeurs Cisco (ASR 9001 et Nexus 7009) qui sont capables de « nettoyer » jusqu’à 160 Gbps de trafic.
Le Nexus 7009 n’est pas un routeur mais un switch.
#14
J’aimerai pas être à la place du chef de projet qui chapeaute tout ça…
Ca met toujours mal à l’aise quand le boss vante votre travail auprès d’un client en martelant que d’un point de vu sécurité, c’est “in-vio-lable” ! Alors quand c’est une boite internationale, leader et que le PDG fait une annonce tout exprès, vous vous doutez que vous allez être vite mis à l’épreuve…
#15
Oh tu en fais ce que tu veux du Nexus 7009 :)
#16
Il y a plus simple pour contrer une attaque DDoS,suffit de couper le(s) serveur(s)
—>[Parti dans une dimension ou captain obvious est un héros Marvel]
#17
160Gb/s, c’est pas un peu faible pour se permettre de dire que ça peut encaisser n’importe quoi ?
Y a pas eu réçamment une attaque plus grosse (contre le site de lutte anti-spam) ?
Surtout que 160Gb/s c’est le débit maximum au niveau réseau (4 ports Ethernet 40Gbps) mais est-ce que cette petite bête de chez cisco saura séparer le trafic DDOS et normal à cette vitesse ?
Je trouve qu’il s’avance super vite ce PDG, et encore une fois va y avoir des déçu je pense.
#18
#19
On croise pas mal de personnes qui se plaignent de cette protection, genre ping qui explose, serveur de jeu identifié comme ddos etc
#20
ça risque d’être chaud de tenter le diable " />
D’un autre côté c’est le meilleur moyen de tester les défenses
et d’analyser les logs des renifleurs
" />
#21
#22
#23
#24
Ils ont surement effectués des tests avec des machines hors production.
Ou alors cette annonce serait vraiment suicidaire ^^
“Effet Streisand” … les test commencent maintenant " />
#25
#26
#27
OVH vient de donner le coup d’envoi du VAC
Valve ne va pas être content. " />
#28
Il tente le diable le Octave là…
Ca sent le défi pour kikoolols….
Enfin bon, OVH ne se repose pas sur ses lauriers, évolution et amélioration permamente, etc… C’est à la fois très bien, et un peu chiant quand même ce genre de solutions…
Après, j’imagine que c’est aussi pour lui une manière de réduire un peu les couts en BP, tout benef….
A voir la solidité de son truc sur le moyen terme.
#29
#30
Waaa.
Je viens tout juste de réaliser l’ultra minimaliste du site web de Cisco (us).
C’est impressionnant et en même temps, laid mais efficace.
Edit`AH non, en fait c’est chrome qui massacrait ma page lorsque zoom 200%
#31
#32
#33
Octave, le gars qui nous sort depuis des années qu’on ne peut absolument rien faire contre les attaques DDoS, nous annonce aujourd’hui fièrement une solution miracle contre les attaques DDoS, comme si OVH était le premier hébergeur au monde à adopter ce genre de solution…
#34
160Gbps de bande passante max par datacenter, ca fait pas besef : 160 serveurs a 1Gbps a fond en meme temps…
Roubaix accueille 35000 serveurs, 4Mbps par personne :x
#35
#36
“depuis la fin 2010 avec l’affaire de Wikileaks, les DDoS ont fait les unes des médias et avec le DNS AMP qui s’est généralisé depuis début de l’année 2013, n’importe lequel gamin peut lancer un DDoS de plusieurs dizaines de Gbps et mettre en péril une activité”
Félicitons nous !
OVH permettra aux géants du web de continuer leur business, quand bien même la plèbe manifestera son mécontentement suites à des révélations non-autorisées de Wikileaks.
/avenir-radieux
#37
#38
Pas bête du tout, c’est probablement la façon la moins coûteuse d’organiser un test.
Il n’est pas débile, il sait très bien ce qui l’attend en faisant une telle annonce. Nous pouvons en déduire que c’est ce qu’il souhaite.
#39
#40
Y’en a qu’ont essayé, ils ont eu des problèmes " />
#41
#42
Comment faire payer à tout le monde la facture d’un service utile à quelques uns…
#43
Reste plus qu’a aller poster un petit message sur 4chan pour leur demander de tester la fonctionnalité " />
#44
#45
#46
#47
#48
Avis à tous ceux qui utilisent les services d’OVH : vous allez avoir des emmerdes dans pas longtemps.
#49
Haha, si ça s’est pas bien joué. Baisser les prix des serveurs pour en vendre par palette et rajouter une “option” obligatoire derrière pour se faire plus de marge avec un service qui ne concerne pas tout le monde.
Ceux qui ont des petits kimsufi n’ont clairement pas tous besoin de ça. Même si tout le monde peut subire ce type d’attaque, tous les clients n’estiment pas forcément nécessaire de payer pour s’en protéger par rapport à l’utilisation qu’ils ont de leur serveur. Un serveur de jeu ou un site perso indisponible pendant une journée c’est pas dramatique.
Bref, c’est le genre de pratique qui font que je n’accorde aucune estime et aucune confiance à OVH.
#50
#51
Il y a attaque et attaque ! Leurs serveurs à coups de hache ou de C4 et je suis sûr qu’ils préfèreront le DDoS. " />
#52
#53
#54
#55
#56
#57
bha le client qui veut pas payer l’option, il change de prestataire… Si les CGV changent, ils peuvent mettre fin au contrat sans contrainte. Donc y a pas de soucis à ce niveau.
Après faut voir si la techno est suffisament efficace. ;D
#58
#59
#60
#61
Ouch ca s’enchaîne chez ovh, d’abord un hack sans offrir la moindre compensation ni excuses aux clients, ensuite les annulations de commande ks, et mnt ca o_o je suis mutu chez eux et mon abo annuel expire dans qq jours, je voulais passer à un ks 2g mais j’crois que j’vais voir ailleurs :/ pas que 1 euro en plus me gêne, mais la com’ déplorable et l’attitude “deal with it” qui va avec.
#62
#63
#64
#65
que cette « option obligatoire » sera gratuite dans le cas d’un paiement annuel
un paradoxe ?
#66
Autant pour un usage personnel, il n’y a pas de problème, autant pour un usage pro, je me priverai volontiers d’un service qui fait de “l’analyse de trafic en temps réel”. " />
D’autre part, les cleaning centers ne sont pas aussi efficaces qu’il ne le dit, ils enrayent certes les attaques “basiques”, mais une attaque bien construite peut mettre à mal même son VAC.
#67
#68
Pour la mitigation c’est carrément pratique pour tout le monde:
En offrant des serveurs a 3€ HT/ mois on se doute bien que bien qu’ils ne vont pas tous êtres administrés par des sysadmin compétents.
#69
#70
#71
C’est peut-être un troll pour faire des test grandeur nature qui sait ? " />
#72
#73
Octave Klaba pyromane dans le massif de l’Esterel de l’informatique avec un lance flamme.
" /> il veut faire une guerre économique à la NSA? vont-ils pouvoir augmenter leur capacité pour suivre ?" />
#74
#75
https://twitter.com/olesovhcom/statuses/366202046908608513
on en a déjà plein et le VAC les gèrent bien. mais les attaques restent petites: du genre 60-70Gbps.
Il est confiant Octave " />
#76
#77
Bon, donc si j’ai bien saisis le principe, les “VAC” filtrent le trafic qui vient du reste d’Internet avant qu’il n’entre sur le réseau d’OVH.
Bien, mais si le DDOS vient du réseau interne d’OVH ? Des serveurs dédiés troués y’en a à la pelle, surtout avec les Jean-Kevin qui s’improvisent admin sys avec des Kimsufi à 3 €…
#78
Je suis client OVH depuis plus de 5 ans et j’apprends que je vais me prendre une augmentation de tarif via PCInpact…
Après avoir facturé les IP fail-over qui étaient gratuites dans un Pack Serveur
Maintenant une option pas optionnelle puisque obligatoire : “si tu veux pas que ta boutique brule il faut nous prendre une assurance !” " />
Et bien sur une fois que t’as pris l’option “OBLIGATOIRE” tu paye aussi les déboires du filtrage qui va avoir ses ratés !
Mais sinon y a une échappatoire ? payer à l’année ? pour un service dont on ne connais pas encore la qualité vu que ce machin vient d’être mis en service !
Un dédié a 30~50E/mois à l’année c’est 360~600E, on est loin de l’équivalent abonnement GSM…
Clairement Octave met encore une amende a tout ses clients non friqués qu’il ne supporte plus et en plus le fait limite avec des méthode mafieuses ! (la sécurité obligatoire…)
#79
Octave a l’air confiant, un peu trop… Je lui souhaite de ne pas connaître de fausse note…
#80
#81
#82
#83
#84
Les emails c’est de la correspondance privée, dont en principe c’est illégal de les analyser.
Le fait, commis de mauvaise foi, d’ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d’en prendre frauduleusement connaissance, est puni d’un an d’emprisonnement et de 45000 euros d’amende.
Est puni des mêmes peines le fait, commis de mauvaise foi, d’intercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie électronique ou de procéder à l’installation d’appareils conçus pour réaliser de telles interceptions.
#85
Bon et bien depuis la dernière annonce aussi impulsive que puérile, et ça… je n’irais définitivement pas héberger mon serveur IRC chez eux.
Quelqu’un connaîtrait un bon hébergeur pour cette utilisation ?
#86
#87
#88
#89
#90
Effectivement, tu peux prendre un serveur et le garder 10 ans tu es un pro et c’est pas facile de changer de serveur… oui… mais si tu es un pro c’est aussi ton boulot de ne pas mettre tous tes œufs dans le même panier. Puis si tu es pro c’est aussi ton boulot ou celui de tes collègues de gérer / sauvegarder et changer de serveur en cas de problème.
Depuis les nouvelles offres d’ovh, online “s’amuse” à téléphoner aux clients qui résilient leur contrat en faisant de nouvelles propositions. Si vous êtes chez Online et que vous voulez une promo, faites semblant de vouloir partir. C’est cadeau ^^
#91
On dirais que OVH a investie massivement dans le maïs…pop corn party en vue !!!" />
#92
#93
A faire tester d’urgence par PRISM pour voir si il peut pomper tout OVH sans faire tomber ses serveur un bon challenge en perspective….
NSA par ce que je le vaut veut bien.
" />
#94
#95
#96
#97
#98
#99
#100
#101
bon, l’option est pas à 50€ non plus…
perso j’accueille plutôt ça comme une bonne nouvelle et avec la récente baisse des prix ça me donne assez envie.
la guerre entre Online et OVH bat son plein!
#102
Vu le prix, je me contenterai de la version gratuite d’Incapsula.com " />
#103
#104
#105
#106
Je me marre d’avance.
#107
Un Kimsufi ne sert pas (ou en tout cas ne devrait pas servir) à y placer des données sensibles. Il y a peu de chances de se faire DDoS à grande échelle.
Cette offre de serveurs est plutôt destinée pour les petits besoins (perso par exemple, ou pro à titre d’essai).
Donc la protection ne peut être que bénéfique.
Maintenant cela ne concerne que les nouveaux contrats, et donc ça ne touche que ceux qui vont en commander. Pour les autres (dont je fais partie) ça ne change rien.
#108
Moi ce qui me choque surtout c’est que normalement, lorsque tu loues un serveur, tu loues l’accès qui va avec. Grosso modo, ton fournisseur est sensé te garantir un accès à ton serveur. Donc la logique voudrait que, dans le but de permettre cet accès, le fournisseur fasse le nécessaire pour maintenir la continuité du service.
Dans ce cas précis, OVH demande à ses utilisateurs de payer pour continuer à à assurer le service qu’ils sont sensé fournir… c’est quand même fort de café…
#109
C’est pas ça, un DDoS c’est particulier quand même. Et ça touche jamais que le serveur visé mais bien tous les autres clients qui ne sont pas visés.
Et à 3€ le premier serveur dédié (enfin OVH sépare la gamme Kimsufi du reste de ses “vrais” serveurs dédiés), je crois le service rendu plutôt honnête.
#110
#111
#112
En même temps, ils ont déjà attiré le respect en 2009 quand ils ont su contrer des attaques DDOS majeurs provenant d’Europe de l’Est (Lettonie, Ukraine, etc).
Plus d’un hébergeur aurait explosé mais pas eux.
Les pirates avaient mis tous leurs moyens devant autant de résistance.
#113
Obligatoire et payant vaut mieux que ça soit un cassable car sinon les clients vont encore raler.
#114
Si il avait dit que c’est inviolable après avoir subit une vraie DDos, cela ne m’aurait pas fait tiquer, puis dire ça sans avoir de recul
#115
Ou comment forcer les clients qui font de la relocation avec grand nombre de serveur en prix annuel, au risque de voir perdre une partie de leur marge.
Bravo Octave, OVH avance dans le bon sens de la bande de naze… Tu avais qu’à juste augmenter tes tarifs, et le justifier avec la protection du réseau en plus: ça serait fichtrement mieux passé.
#116
bon , mais les pirates, toujours ont la solution " />
#117
tiens, octave cherche à mettre à l’épreuve son nouveau jouet gratuitement " />
#118
Je propose que PCI mette en place, optionnellement, une option optionnelle, obligatoire de 10 €/mois pour les abonnés.
#119
il faudrait qu’il revoit la définition de option " />
#120
je crois qu’il faudrait surtout que monsieur Klaba se paie un conseiller en communication car c’est assez désastreux dans l’ensemble.
“on” aime bien les gens qui parlent vrai, mais y’a des limites
#121
le VAC va aspirer et dupliquer “le trafic email sortant” d’un datacenter pour le faire analyser par la NSA
" />
#122
Curieuse façon de faire pour virer un administrateur réseau " />
#123
#124
J’ai pas bien compris pourquoi les purs hébergements ne sont pas touchés. Si un KS à 3€ est susceptible de publier des informations propres à déchaîner les foudres d’un botnet, un PHP mutualisé aussi… " />
Ah zut, je viens de lui donner une idée…
#125
#126
#127
Et avec le DYSON de la femme de ménage d’OVH dans le tuyau sa résiste aussi
" />
#128
#129
Il y a énormément de monde qui ont dit la même chose… " />
#130
#131
#132
#133