Página 1 de 2 12 ÚltimoÚltimo
Resultados 1 a 10 de 20
  1. #1
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Localização
    Rio de Janeiro - RJ
    Posts
    2,289

    Smile [PT] Proteção Anti-DDoS da OVH

    Texto retirado do fórum da OVH Portugal (texto indicado pelo usuário alvaro).

    Olá,
    Na sua qualidade de fornecedor de infraestruturas
    para a Internet, a OVH sempre foi confrontada com
    os ataques informáticos do tipo DDoS, tanto direcionados
    aos nossos serviços, como direcionados aos serviços
    dos nossos clientes.

    Desde o final do ano 2010 com o assunto Wikileaks,
    os DDoS foram assuntos muito debatidos pelos media
    e com os ataques DNS AMP que se generalizaram
    desde o início do ano 2013, qualquer criança pode lançar
    um ataque DDoS de várias dezenas de Gbps e colocar
    em risco uma atividade.

    Do nosso lado, evoluímos as nossas ferramentas de proteção
    ao longo dos tempos com um objetivo simples :
    o serviço de proteção anti-DDoS não pode ser uma opção.
    Pelo contrário, os clientes devem poder beneficiar de um
    serviço do género, "por defeito".

    Desde há 3-4 meses estamos a trabalhar num novo tipo
    de infraestrutura de proteção contra os DDoS, à qual
    chamamos "VAC". VAC, como "vacuum", ou seja, um
    aspirador. A ideia é de fazer com que o tráfego que vem da
    Internet e se trata de "maus pacotes" sejam aspirados e
    apenas passem os "bons pacotes".

    O VAC1, atualmente em ALPHA foi instalado em Roubaix.
    Ele funciona atualmente de forma muito satisfatória e permite-nos
    explicar-vos o que vamos propor acerca das proteções contra
    os ataques DDoS.

    Prevemos o arranque da fase Beta esta semana.
    No dia 16 de Julho, vamos explicar o serviço VAC no nosso
    website e um novo contrato será criado para enquadrar este
    serviço. o objetivo é ter a maior clareza possível quanto
    ao serviço e garantias.

    Hardware
    --------
    O VAC é uma unidade de mitigação capaz de
    limpar até 160Gbps de tráfego
    Ele é composto por 2 routers: um Cisco ASR 90001
    e um Cisco Nexus 7009. No total, num VAC temos
    114 portas 10G, ou seja 1.14 Tbps de capacidade
    de switching/routing. Para a limpeza de tráfego, utilizamos
    2 tipos de hardware : 4 Tilera de 20 Gbps cada um (80 Gbps)
    e 1 TMS 4000 de 30 Gbps.

    A gestão e melhoramento de software nos Tilera são
    assegurados pelas nossas equipas internas. Trata-se
    de código C/C++, gestão de queues e de algoritmos que
    determinam se um pacote é "bom ou mau".
    TMS 4000 é um equipamento com algoritmos desenvolvidos
    pela Arbor.

    O tráfego é aspirado na entrada de um datacenter, limpo
    e depois encaminhado para os routers das salas.
    No caso do VAC1, aspiramos o tráfego ao nível dos 2 principais
    routers de Roubaix e depois fazemos passar esse tráfego por
    5 patamares de limpeza. Cada patamar limpa de forma
    inteligente um tipo de ataque com o intuito de diminuir
    de forma significativa a amplitude do ataque antes de o
    tráfego chegar ao patamar seguinte.
    É graças a estes 5 patamares que somos capazes de tratar
    até 160Gbps de ataques, ao contrário dos nossos concorrentes
    que compram um TMS 4000 com uma placa de roteamento 10G,
    ou seja, quase nada.

    Se receber ataques muito grandes, o contrato de locação é suspenso
    e terá de procurar um outro prestador: é aqui que podemos intervir
    uma vez que não temos limites no tamanho dos ataques que
    podemos gerir...


    Funcionalidades
    ---------------

    Com um VAC, vamos poder fornecer os serviços seguintes :

    - firewall de rede
    - mitigação de ataques DDoS
    - a escolha do tipo de mitigação
    - mitigação permanente
    - a deteção de um ataque e a ativação da mitigação
    - suporte para vos ajudar em caso de um ataque

    Um VAC faz também a aspiração de ataques que podem
    ser gerados dentro da nossa rede. Com efeito, há clientes
    que são vítimas de hacking e os seus serviços são utilizados
    para gerar ataques informáticos. Assim que detetamos estes
    ataques, começamos a sua aspiração no VAC e limpamos o
    tráfego até termos a confirmação dos servidores que estão
    hackeados. Colocamos esses servidores em "rescue-mode".

    Um VAC vai também ajudar na luta contra o SPAM.
    O VAC vai aspirar e duplicar o tráfego de email que sai
    de um datacenter e vai analisar esse tráfego através
    de um sistema anti-spam e anti-virus.
    Iremos poder criar estatísticas sobre o volume de SPAM
    por cada IP source nos nossos datacenters e bloquear o
    fluxo SMTP de um IP assim que considerarmos que se
    trata de um cliente SPAMMER. Um VAC não faz armazenamento
    do tráfego, apenas faz a sua análise. Portanto, não há
    armazenamento dos emails, apenas uma análise em
    tempo real dos emails que saem dos nossos datacenters.

    Redundância
    ----------
    A redundância de um VAC é possibilitada por um outro VAC.
    Antes do fim do mês de Agosto, vamos instalar 3 unidades
    de mitigação VAC em 3 locais no mundo:
    - Estrasburgo (SBG)
    - Roubaix (RBX)
    - Beauhárnois (BHS)

    Os 3 VAC vão funcionar em paralelo e cada VAC vai aspirar
    o tráfego mais próximo de si, para o limpar, e injeta-o na
    rede interna que implementamos entre os nossos datacenters
    Assim, um ataque oriundo de Miami, Flórida vai passar em BHS
    e lá o VAC3 vai limpar esse tráfego e depois o mesmo entra na
    rede interna passando de BHS para GRA, depois por RBX para chegar,
    por exemplo, a SBG ao servidor que é vítima do ataque DDoS.

    A capacidade total dos nossos 3 VACs é de 3*160Gbps, ou seja,
    480Gbps. É a maior infraestrutura de mitigação que hoje em dia
    um fornecedor de infraestruturas coloca à disposição dos seus clientes.

    Consequência
    -----------

    O serviço de proteção não é limitado, nem em termos do tamanho
    do ataque, nem em termos de duração de ataque, nem tipo de ataque.
    Sabemos encaixar qualquer tipo de ataque e o nosso objetivo é
    fornecer-vos um serviço que vos vai proteger realmente no dia em
    que forem vítimas de um ataque.

    A questão não é realmente "Será que tenho necessidade disto?", mas sim
    "Quando receber um ataque, isto vai-me proteger?".
    Ainda na passada semana um cliente me contactou em urgência
    porque o seu site estava a ser atacado por uma criança que não estava
    contente. 3 cliques mais tarde, o ataque passava pelo VAC1 e o seu site
    PrestaShop | Free e-commerce software. Start an online store today ficou novamente disponível. Todos os dias recebemos
    até 1200 ataques e protegemos, em média, 700 de entre vós.
    Não são sempre os mesmos todos os dias...

    Serviço
    -------
    Vamos colocar à disposição 3 níveis de serviço:

    - Por defeito, incluído no preço;
    O objetivo é o de proteger a nossa infraestrutura
    e o serviço dos cliente num modo "best effort".
    Com efeito, para proteger eficientemente um serviço
    de um ataque, é necessário conhecer o que está a
    correr no servidor e depois implementar os mecanismos
    mais adequados para a mitigação.
    Sem contacto humano com o cliente, não podemos fazer
    senão "best effort". É o que este nível de serviço oferece.

    - com a utilização PRO (tuning) irá poder "bricolar"
    e adaptar a proteção com o Manager ou a APIv6.
    Vamos disponibilizar as ferramentas seguintes :

    - firewall de rede de 480Gbps com a possibilidade
    de colocar 100 linhas ACL por cada IP DST. Trata-se
    de uma inovação OVH.


    - a escolha entre vários tipos de mitigação
    entre web, smtp, game, teamspeek, streaming, etc

    - a mitigação permanente ou a ativação da deteção
    de um ataque com passagem automática para o VAC

    - o suporte far-se-á na mailing list ddos@ml.ovh.net

    - com o suporte VIP, vai poder ter ajuda humana
    na configuração 24/24 horas
    + alguém com quem falar aquando de um ataque
    para que possa ter ajuda na configuração
    rápida e eficaz da "boa proteção" contra o ataque
    a equipa VIP irá monitorizar 24/24 horas o ataque
    e adaptar a proteção, caso o ataque sofra mutações.

    Fonte: http://forum.ovh.pt/showthread.php?t=836
    Proteção anti-DDoS

  2. #2
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Localização
    Rio de Janeiro - RJ
    Posts
    2,289
    Continuação...

    Preço
    ----
    Ao longo de todo o teste ALPHA, comunicamos
    que a proteção contra ataques iria ser algo incluído
    no preço de locação de um servidor, de um VPS, pCI,
    pCC ou de uma ligação ADSL.

    Ficamos surpreendidos de ler vezes sem conta a mesma pergunta:
    "Quanto é que isso vai custar?"

    Isso fez-nos pensar bastante, mesmo bastante.

    Após as reflexões, guardamos 3 escolhas:

    - fazer como fazem todos, ou seja, propor um serviço
    de mitigação a um preço bastante alto, estipulando que
    a capacidade da mitigação depende do preço e que
    há um limite de 10 Gbps ou 20 Gbps (!!) no máximo.
    Ou, uma limitação da duração do ataque (!!) e é preciso
    pagar mais se quiser continuar a ter o ataque filtrado (!!).
    Em suma, um serviço "à la carte", fora de preço e muito
    limitado.
    O business model padrão do conjunto dos concorrentes
    e fornecedores de serviços de mitigação.

    - fazer as coisas da forma "não muito caro / isto chega",
    ou seja, investir na infraestrutura (estamos a falar de
    3 milhões de Euros) e depois não incluir o preço da mitigação
    no preço de cada serviço. O serviço seria simplesmente
    fornecido, mas não existiriam "números" a comunicar,
    as nossas equipas não iriam estar vigilantes 24/24 horas
    e esperar que no dia D as coisas corressem bem.

    - escolhemos a 3 via: partilhar os custos do VAC e das
    equipas e dividi-lo por todos os clientes, existentes e
    futuros, que usam as nossas infraestruturas.
    Neste caso falamos de uma opção obrigatória para
    todos os servidores dedicados existentes, todos os VPS
    e todos os pCC. Mas, como se trata de muitos clientes,
    o aumento do preço do serviço é muito baixo:
    - VPS: +0.5Euro/mês
    - KS: +1Euro/mês
    - SP: +1Euro/mês
    - EG: +2Euro/mês
    - MG: +2Euro/mês
    - HG: +3E/mês
    - pCC: +5E/mês
    - housing: +10Euro/mês

    Este aumento de preço de todos os servidores existentes
    e futuros irá permitir-nos continuar a investir na infraestrutura
    e melhorá-la de forma a podermos fazer face a novos ataques.

    Este aumento será aplicado a partir de 1 de Setembro de 2013
    para todos os servidores existentes.
    Nos casos de pagamentos anuais, vamos oferecer-vos a proteção
    e o preço do serviço não tem alterações.

    Estamos a falar de entre +0,5 Euro a +10 Euro / mês. Isso pode
    parecer pouco face aos preços que se praticam por serviços
    anti-DDoS no mercado. Até poderá mesmo dizer que não vamos
    conseguir propor um bom serviço por um preço tão baixo.
    Com o número de clientes que já temos e graças à partilha
    dos custos por todos, sentimo-nos totalmente confortáveis
    para nos tornarmos um ator de referência nas proteções contra
    ataques e de poder proteger-vos quando chegar o fatídico dia D.


    Fonte: http://forum.ovh.pt/showthread.php?t=836
    Proteção anti-DDoS

  3. #3
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Posts
    15,002
    Vale lembrar que o texto é de Junho de 2013, quando o sistema ainda estava em desenvolvimento e testes iniciais.

    Ontem a OVH informou, através de Twitter e posteriomente em artigo (infelizmente em francês), que a solução proprietária desenvolvida para minimizar ataques DDoS entrou em produção e SLA será atualizada para expressar os termos garantia do serviço.

    A partir de agora vários tipos de ataques serão automaticamente identificados e roteados para o sistema de defesa enquanto durar o incidente. Será possivel também manter servidores sob proteção continua por tempo indeterminado, estando sendo atacados ou não.

  4. #4
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Localização
    Rio de Janeiro - RJ
    Posts
    2,289
    Mais um texto, este é de 08/08/2013 e comunica sobre o Beta.

    Bom dia,
    Após meses de R&D e após os testes Alpha
    e a fase pré-Beta, estamos bastante contentes
    de vos poder propor o teste BETA da nossa
    solução exclusiva denominada "VAC".

    Não é possível resumir num email tudo o que o
    "VAC" faz e poderá fazer por si e pela sua infraestrutura
    alojada na OVH. O VAC ainda não faz chá nem café,
    mas vai assegurar a disponibilidade do seu
    projeto quando este for alvo de ataques DDoS

    Para descobrir a solução e compreender o seu funcionamento,
    criamos um pequeno sub-site com o máximo de
    informações úteis possível. É um site um pouco
    técnico, mas trata-se de um tema complexo e
    particularmente apaixonante.

    A fase BETA irá durar, sensivelmente, 2 semanas.
    Apenas falta o ManagerV6 para que possamos
    passar para uma versão estável.

    A capacidade do nosso VAC é de 3x160Gbps, ou seja
    480Gbps/480Mpps. Não limitamos as proteções nem
    ao nível da amplitude do ataque, nem ao nível da duração,
    nem quanto ao tipo de ataque.
    O objetivo é de estar ao vosso lado também nos momentos
    mais difíceis....

    Para saber mais
    Anti-DDoS : Nos solutions Anti-DDoS - OVH

    Se têm questões, não hesitem em subscrever
    a mailing list ddos@ml.ovh.net
    e participar das discussões.

    Amigavelmente,
    Octave

    Fonte: http://forum.ovh.pt/showthread.php?t=862

  5. #5
    Guru Junior
    Data de Ingresso
    Feb 2012
    Posts
    215
    Certo,

    vi que tem 2 tipos de proteção.
    Pessoal e profissional.
    A pessoal é gratuita e a profissional custa quanto?

  6. #6
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Posts
    15,002
    Citação Postado originalmente por IgorSantos11 Ver Post
    Certo,

    vi que tem 2 tipos de proteção.
    Pessoal e profissional.
    A pessoal é gratuita e a profissional custa quanto?
    Não é bem assim.

    Existe a proteção padrão, que é automaticamente ativada quando ocorre um ataque e desativada finda ameaça, e a proteção PRO, na qual o cliente pode manter ativada 24x7x365 e tem outras facilidades como firewall e acesso a log do ataque. Para a proteção PRO é preciso pagar a taxa de utilização profissional. Acredito que no Manager 6 vai ficar mais claro.

  7. #7
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Posts
    15,002
    Em maio um brasileiro estava reclamando no WHT-US das trapalhadas da OVH e mostrava um traceroute para provar a via(da)gem dos pacotes nos filtros em desenvolvimento:

    1 <1 ms <1 ms <1 ms 192.168.2.251
    2 6 ms 6 ms 6 ms gvt-l0.b1a.jai.gvt.net.br [X.X.X.X]
    3 6 ms 5 ms 5 ms corporativo.gvt.net.br [X.X.X.X]
    4 10 ms 7 ms 7 ms 187.115.221.33.static.host.gvt.net.br [X.X.X.X]
    5 8 ms 11 ms 11 ms gvt-te-0-0-0-0-rt02.spo.gvt.net.br [189.59.249.41]
    6 8 ms 8 ms * 193.6.125.189.static.impsat.net.br [189.125.6.193]
    7 8 ms 8 ms 8 ms telecomitalia-1.ar4.GRU1.gblx.net [64.208.27.86]
    8 118 ms 117 ms * xe-1-0-1.miami15.mia.seabone.net [195.22.199.7]
    9 134 ms 132 ms * mia-1-6k.fl.us [178.32.135.208]
    10 133 ms * * 198.27.73.197
    11 * 481 ms * ldn-1-6.uk.eu [178.32.135.79]
    12 273 ms * 272 ms rbx-g1-a9.fr.eu [213.251.130.73]
    13 280 ms * 277 ms vac1-0-a9.fr.eu.vaccum [178.33.100.149]
    14 257 ms * 245 ms vac1-1-n7.fr.eu.firewall [178.33.100.152]
    15 270 ms * 271 ms vac1-2-n7.fr.eu.tilera [37.187.36.245]
    16 277 ms * 276 ms vac1-3-n7.fr.eu.arbor [37.187.36.254]

    Do you see the 'vaccum, firewall, tilera, arbor ?'
    Bom, agora que está em produção, é "grátis", fui verificar o traceroute para o meu servidor OVH na França e ................. depois de muito esforço, chega em NY, e segue para Chicago, se embola em Chicago, volta para Washington, vai para a Europa que o pariu e completa o RTT em "modestos" 300ms !!!! A tecnologia dessa proteção deve ser cansar os bits até desistirem de chegar ao servidor. Que M!
    Última edição por 5ms; 03-09-2013 às 23:42.

  8. #8
    Aspirante a Evangelist
    Data de Ingresso
    Feb 2012
    Localização
    Lisboa, Portugal
    Posts
    403
    Se funcionar mesmo bem, os 480Gbps vão ser poucos..
    Sampling Line - Serviços e Internet, Lda.
    PTServidor - Alojamento Web, Domínios, Lojas, VPS, Radios, Dedicados, Housing/Colocation
    Blog PTServidor | Registrar Oficial FCCN|MS Partner|R1Soft

  9. #9
    Web Hosting Master
    Data de Ingresso
    Aug 2011
    Localização
    /home
    Posts
    896
    Vai ter de hosting anunciando " VPS servers, with DDos protection Free! - Low Cost Wooooo! "

  10. #10
    Guru Junior
    Data de Ingresso
    Feb 2012
    Posts
    215
    Pessoal,

    Estava pensando em contratar um servidor na OVH para testar essa proteção DDoS.

    Aqui está a minha dúvida, o servidor é o mesmo, os valores são diferentes...

    $79 + paga somente 1 vez para cada ip adicional:
    SP1 Dedicated server - OVH

    40.99€ + 1€ para cada ip por mês:
    Ficha do servidor dedicado Mini SP - OVH

    Como vou comprar o dedicado para virutalização, acho que a primeira opção (em dólar) seja a melhor por causa dos ips adicionais, estou correto?

    Abraços,
    Igor Barros.

Tags para este Tópico

Permissões de Postagem

  • Você não pode iniciar novos tópicos
  • Você não pode enviar respostas
  • Você não pode enviar anexos
  • Você não pode editar suas mensagens
  •