DoS attack on OVH caused server to not be accessible

Announcements about Eurobilltracker or this forum

Moderators: avij, Phaseolus, eddydevries, dserrano5, Nerzhul, claudio vda

Post Reply
EuroBillTracker
Euro-Expert
Euro-Expert
Posts: 704
Joined: Mon Feb 04, 2002 2:53 pm
Location: Paris, France
Contact:

DoS attack on OVH caused server to not be accessible

Post by EuroBillTracker »

Here is the message
Salut,
Nous avons eu un grave problème depuis 6h30 environ sur
notre reseau. Le routeur n'arrivait plus à monter les
sessions bgp même après plusieurs reboot, changement
de firmware etc. Une carte mere du routeur (carte MSM) a grillé
au passage. pas grave puisqu'on a en 2 qui fonctionnent en spare.
Nous avons finalement décidé de reprendre les sessions bgp sur
les routeurs de FreeT pour refaire fonctionner les installations
et isoler problème par problème. Le routage est revenu vers 10h,
mais une surcharge anormale continuait à rendre la
connexion difficile. Nous avons isolé reseau interne
par reseau (switch par switch). Une attaque faite par
plusieurs machines hébergées sur notre reseau (les serveurs
dédiés) a saturé le routeur principal (800Mbs) et a cassé
les sessions bgp. Les machines qui attaquaient ont été
hackées et il s'agit e 4 machines sous windows nt (on en
5-6 seulement en tout !). L'attaque a été fait en broadcast
sur plusieurs classe /24 ce qui a permit d'avoir avec 400Mbs
initiaux les 800Mbs de flood qui ont cassé le routeur.
Nous avons debranché par precautions toutes les machines
nt et verifier exactement le type des packets.

Nous allons reprendre les sessions bgp sur notre routeur
dans la journée. D'autre part, nous allons acheter lundi
un 2ème blackd full (comme le principal) et monter tous
les switchs de distribution en ospf sur les 2 routeurs
en parallele. Une securisation bgp sera faite sur ce 2ème
blackd et sur hebus qui est sur th2 (par les 2 fibres).
Toutes ces securisations ont été déjà programmées et
devaient se faire d'un jour à l'autre ! grr :/

D'autre part, par défaut aujourd'hui la configuration
ethernet des serveurs dédiés est de 100Mbs alors qu'il y a
très peu des machines qui ont besoins plus de 10Mbs.
Nous allons donc changer la syncro à 10Mbs full duplex
et passer à 100Mbs seulement au besoins.

Désolé pour la panne.

Octave
Post Reply

Return to “Announcements”