URGENTE E IMPORTANTE DNS resolver et DNS AMP

En ovh.es esta funcionando perfectamente el VAC ahora les enseño mi trafico y veran la direrencia ...

http://imageshack.us/photo/my-images/199/vxje.png/

Que yo sepa RME no tengo ningun dato extra en el manager, es mas para activarme el VAC he debido de hacerlo todo a traves de un correo de OVH Francia.

Te confirmo que esta habilitado, en estos momentos yo tengo un dedicado protegido con el VAC

Ok, ¿alguien que tenga el VAC en su dedicado ha recibido ataques DDOS? para ver si el anti-ddos funciona bien o no

Te confirmo que esta habilitado, en estos momentos yo tengo un dedicado protegido con el VAC

aca en Peru aun es 17 xD falta 5 horas para 18 :P

ya es 17 y aun no veo noticias de vac lo ando esperando con ansias...

Es tu opinión y se respeta pero tienes una pequeña equivocación OVH tiene muchos Ataques DDOS de lammers que se pillan botnets de 10$ de palo.
Como lo sé? Porque yo tengo colegas y tenía colegas que tenian servidores tanto de gaming como de empresas hosting.
Créeme que esto lleva desde hace 2 años, y por fín que ahora lo ponen, algunos usuarios se quejan del incremento?

Por pagar 1E más por cada servidor o 3e/ más ?

Es curioso, ver como un colega que tenia una comunidad muy grande, tanto de hosting como de "ofrecer cosas gratis" ts3, etc etc. Tenia casi 50 Servidores Kemsirve y varios servers de 1GBPS dejándose más de 4000E al mes para que se los tiraran cada 2x3 niñatos.

ASi que sí, el 50% de los usuarios créeme que lo ha pedido.
O acaso me tengo que mamar yo, que mi mákina tenga pérdidas de paquetes o se caiga, como ha pasado otras veces xke han atacado el switch donde está alojada otra máquina y me tengo que joder yo, por qué ?

Pues es lo mismo.
Si no quereis, iros a otra empresa, hay muchas empresas fuera de OVH en Francia que también dan buen precio y dan 1 Gbps de linea.

Eso sí, si os atacan a base de DDoS y os nullrutean la ip, después no vengais llorando

Yo creo que es un poco tomadura de pelo. No estamos aquí para pagar las inversiones que OVH hace para ponerse a la cabeza del mercado y menos así, que te lo encasqueten de este modo, subidas de precios de contratos ya firmados. Cada vez lo están haciendo más y más, primero con las ips, ahora con esto ... Las condiciones no son negociables, el cliente ya no decide si quiere aceptar esos cambios o no, lo único que uno puede decidir es irse o quedarse, no dan más opción.

Es por eso que me parece mal el modo en el que lo hacen. Si están sufriendo ataques y quieren mejorar su servicio, su red en general, me parece bien que lo hagan, que implanten ese sobrecoste en los servidores futuros o den la opción de adquirir el "nuevo servicio", o que simple y llanamente que la mejora de su infraestructura salga de los beneficios que tienen mes a mes, año a año, que eso ya sale de los bolsillos de sus clientes... ¿O es que acaso cuando cubran la inversión, esos millones a los que han hecho referencia, van a volver a bajar los precios?

Que me parece fabulosa la mejora ... pero el modo no augura nada bueno ... un recargo del 10% de sobreprecio por algo que no se ha pedido explícitamente? Buf ...

Entiendo todos los puntos de vista, pero tras leer el comunicado en español y releerlo en ingles aun no me ha quedado claro si por defecto todas las conexiones pasan por el VAC o solamente si se detecta un ataque.

Es un euro más o 3 euros. AL MES, No 50.
Y aqui por 1-3 euros os quejais más?

A mi personalmente me da igual, pero si tienes un servidor de 9,99€ +iva, y pasa a costar 10,99€ + iva, es una subida del 10% aproximadamente.

Lo dicho, por mi perfecto, pero para la gente con poco presupuesto le va a molestar pagar 12€ +iva al año de más.

A mi personalmente me da igual, pero si tienes un servidor de 9,99€ +iva, y pasa a costar 10,99€ + iva, es una subida del 10% aproximadamente.

Lo dicho, por mi perfecto, pero para la gente con poco presupuesto le va a molestar pagar 12€ +iva al año de más.

Creo que es mas que económico.
M´ximo que te van a subir es entre 1-3 euros si no es un server HG o PCC...

DE qué os quejais?
Es un euro más o 3 euros. AL MES, No 50.
Una protección así dedicada en Voxility, R.O cuesta casi 40.000e AL MES y entre 1000$/m compartida...

Y en otras empresas TCP tunel proxy de 10-20Gbps te cobran mas de 50-500$ al mes.
Y aqui por 1-3 euros os quejais más?
enfin ...

Vaya decepción, yo creía que el servicio normal estaba incluido gratuitamente.
Es decir, segun esto que dices, a partir de el dia que sea todos los servidores lo incluyen obligatoriamente a costa de subirles el precio?

Si es como dices me parece una pena, a los servidores grandes no importa demasiado, pero a los que valen menos de 20 euros al mes si que es un aumento importante.

Buenos días,

Como proveedor de infraestructuras para Internet, Ovh se ha visto
confrontado a ataques informáticos tipo DDoS, tanto para nuestras
infraestructuras, como los servicios de nuestros clientes. Desde finales de
2010 con el caso de Wikileaks, los DDoS han estado en primera plana y
con el DNS AMP que se ha generalizado desde pricipios de 2013, cualquier
niño puede lanzar un DDoS de varias decenas de Gbps y poner en peligro
una actividad.

Por nuestro lado, hemos evolucionados las herramientas de protección a
través del tiempo con un objetivo sencillo : el servicio de protección
anti-DDoS no puede ser una opción. Al contrario, los clientes deben
disfrutar este servicio por defecto.

Desde hace 3-4 meses trabajamos en un nuevo tipo de infraestructura de
protección contra los DDoS que hemos llamado "VAC". VAC como "vaccum"
es decir aspiradora. La idea es pasar una aspiradora en el tráfico que viene
de Internet hacia su servicio y sacar los paquetes erróneos dejando sólo
los paquetes correctos.

El VAC1, actualmente en ALFA, ha sido instalado en Roubaix. Funciona
suficientemente bien como para que se pueda explicar lo que Ovh va a
proponer sobre la protección contra los ataques DDoS.

Se ha planificado el inicio de la BETA esta semana. El 16 de julio vamos a
explicar el servicio VAC en nuestro sitio web y un nuevo contrato verá la
luz para encuadrar este servicio. El objetivo es ser lo más claro posible y
de proporcionaros mayores garantías.


Hardware
-----------
El VAC es una unidad de mitigación capaz de limpiar
hasta 160Gbps / 160Gpps de tráfico.

Está compuesto de 2 routers : un Cisco ASR 9001 y un Cisco Nexus 7009.
En su totalidad, en un VAC tenemos 114 puertos 10G es decir 1.14Tbps de
capacidad de switching/routing. Para la limpieza del tráfico utilizamos 2
tipos de hardware : 4 Tilera de 20Gbps cada uno (80Gbps) y 1 TMS 4000
de 30Gbps.

El desarrollo software en los Tilera es asegurado por nuestros equipos
internos. Se trata de un código C/C++ de bajo nivel, gestión de colas y
algoritmos que determinan si un paquete es correcto o incorrecto. TMS
4000 es un chasis con los algoritmos desarrollados por Arbor.

El tráfico se aspira a la entrada de un datacenter, limpiado y después
enrutado hacia los routers de las salas. En el caso del VAC1, se aspira el
tráfico al nivel de los 2 principales routers de Roubaix, después se le hace
pasar por 5 niveles de limpieza.

Cada nivel limpia inteligentemente un tipo de ataque con el objetivo de
disminuir el tamaño del ataque de manera significativa antes de pasar el
resto del ataque al nivel siguiente. Y así todo el rato. Es gracias a estos
5 niveles que se puede tratar hasta 160Gbps de ataque donde la
competencia compran un chasis TMS 4000 de Arbor con una tarjeta de 10G
y solo son capaces de filtrar como máximo 10G es decir nada de nada.

Si recibís ataques demasiado grandes, el contrato se rompe y debéis
buscar una nueva empresa de alojamiento : es en ese momento en el que
intervenimos ya que no tenemos límite en el tamaño de los ataque que
sabemos gestionar...

Funcionalidades
------------------
Con un VAC, vamos a poder proporcionar los siguientes servicios :
- un firewall network
- mitigación de ataques DDoS
- elección del tipo de mitigación
- mitigación permanente
- detección de un ataque y activación de la mitigación
- soporte para ayudarle en caso de un ataque

Un VAC también hace la aspiración de ataques que nuestra red pueda
generar. A veces a los clientes les hackean los servidores que son
utilizados para lanzar ataques. Cuando se detectan estos ataques, se
aspiran también en el VAC y se limpia a la espera de detectar los
servidores que están hackeados para ponerlos en rescue.

Un VAC participará también en la lucha contra el spam. En efecto, el VAC
aspirará y duplicará "el tráfico email saliente" de un DC para que sea
analizado por un anti-spam y un anti-virus.

Vamos a a poder hacer estadísticas del número de spam por IP SRC en
nuestros DCs y después bloquear el flujo SMTP de una IP cuando se
estime que se trata de un spamer. Un VAC no hace almacenamiento, es un
analizador de tráfico, no hay por tanto almacenamiento de los emails sino
solo el análisis en tiempo real de una muestra de emails que salen de
nuestros DCs.

Además de pasar la aspiradora, el VAC también también plancha ... estoy
bromeando


Redundancia
-------------
La redundancia de un VAC se realiza por otro VAC. Antes de finales de
Agosto, vamos a instalar 3 uninades de mitigación VAC en 3 lugares en el
mundo:
- en Estrasburgo (SBG)
- en Roubaix (RBX)
- en Beauharnois (BHS)

Los 3 VAC van a funcionar en paralelo y cada VAC aspirará el tráfico más
próximo a él para limpiarlo e inyectarlo en la red interna que hemos
puesto en marcha entre todos nuestros DC. De esta forma, un ataque que
viene desde Miami,Fl pasará por BHS, allí el VAC3 lo limpiará, después el
tráfico entrará en la red interna de BHS pasará por GRA, por RBX para
llegar por ejemplo a SBG hacia el servidor que es victima de un ataque
DDoS.

La capacidad total de nuestros 3 VAC es de 3x160Gbps es de
480Gbps/480Mpps. Es la infraestructura más grande que un proveedor
de infraestructuras pone a disposición de sus clientes.

Consecuencia
---------------

El servicio de protección no está limitado ni en términos del tamaño del
ataque ni en términos de la duración del ataque ni en términos del tipo
de ataque. Vamos a encajar cualquier ataque y el objetivo para nosotros es
de proporcionar un servicio que va a protegeros realmente el día D
cuando se va a recibir un ataque.

La pregunta no es realmente " ¿ Lo necesito ? " sino "¿ El día D me
protegerá ? ". La semana pasada un cliente me contactó de urgencia ya
que su sitio web estaba siendo atacado por un crio no muy contento. 3 clics
más tarde, el ataque pasaba por el VAC1 y su sitio web
www.prestashop.com volvía a estar disponible. Cada día, recibimos hasta
1200 ataques y protegemos una media de 700 entre vosotros, no siempre
los mismos cada día...

Servicio
---------

Vamos a ofrecer 3 niveles de servicio:

--- por defecto, incluido en los precios : el objetivo es proteger nuestra
infraestructura y el servicio del cliente en un modo "best effort". En efecto,
para proteger correctamente una infraestructura contra un ataque, hay que
conocer lo que hay dentro del servidor y después poner en marcha la
configuración correcta de la mitigación.

Sin contacto humano con el cliente, solo podemos hacer un "best effort".
Este es el nivel de servicio que vamos a dar por defecto.

--- con el uso PRO : podréis "chapucear" y adaptar la protección con el
manager o la APIv6. Se os va a ofrecer las siguientes herramientas :

- el firewall network de 480Gbps con la posibilidad de poner 100 lineas ACL
por IP DST. es una innovación OVH.

- la elección entre varias decenas de tipos de mitigación entre web, smtp,
game, teamspeak, streaming, etc

- la mitigación permanente o activación de la detección de un ataque con el
paso automático sobre el VAC

- el soporte se hará en la mailing list ddos@ml.ovh.net

--- con el soporte VIP, tendréis ayuda humana en la configuración 24/24 +
alguien a quien hablar durante un ataque para que os ayude a configurar
rápidamente y eficazmente la protección correcta que bloquee el ataque.

El equipo VIP se asegurará del monitoring del ataque 24h/24 y adaptará la
protección si el ataque cambia.


Precio
-------

A lo largo de la ALFA, hemos comunicado en el hecho que una protección
contra los ataques DDoS tiene que ser un servicio incluido en el precio de
un servidor, de un VPS, de un pCI o de un pCC.

Hemos estado muy sorprendidos al leer la misma pregunta que volvía en
bucle : "¿ Cuanto va a costar ?"

Esto nos ha hecho pensar mucho ... mucho.


Después de reflexionar hemos tenido 3 elecciones :

- hacer como todo el mundo, es decir proponer un servicio de mitigación a
un precio bastante importante, estipulando que la capacidad de mitigación
depende del precio y que en todos los casos hay un límite de 10Gbps o
20Gbps (!!). Incluso tener una limitación en la duración del ataque (!!)
y después hay que pagar más si se quiere más (!!) Bueno, un servicio a la
carta, fuera de precio y bastante limitado. El negocio modelo estándar del
conjunto de nuestra competencia y proveedores de soluciones de
mitigación.

- hacer "a lo barato/suficiente", es decir invertir en una infraestructura
(estamos hablando de 3M€) y después no incluir el precio de la mitigación
en el precio de cada servicio. Muy simple de ofrecer pero no tiene
beneficios asociado a la mitigación, no poner equipos para ocuparse 24h/24
y esperar que será suficiente el día D.

- hemos elegido una tercera vía : compartir los costes de los VAC y de los
equipos en todos los clientes existentes y futuros que tenemos en nuestras
infraestructuras. En este caso hablamos de una opción obligatoria para
todos los servidores existentes, todos los VPS y todos los pCC. Pero
como se trata de muchos clientes, el aumento de precio del servicio es
muy reducido :

- VPS: +0.5e/mes
- KS: +1e/mes
- SP: +1e/mes
- EG: +2e/mes
- MG: +2e/mes
- HG: +3e/mes
- pCC: +5e/mes

Este aumento de precio de todos los servidores existentes y futuros nos
permitirá continuar a invertir en la infraestructura y mejorar para hacer
frente a nuevos ataques.

Se va a aplicar a partir del 1 septiembre 2013 para el conjunto de los
servidores existentes. En contra en el caso del pago anual, regalamos
la protección anti-DDoS y por tanto el precio no cambia.

Estamos hablando de +0.5e/mes à +5e/mes. Esto puede parecer poco
frente al precio del servicio anti-DDoS que nuestra competencia propone.

Podéis decir que no podemos proporcionar un servicio de protección contra
los DDoS de calidad por un precio tan bajo. Con el número de clientes que
tenemos y gracias a que se compartan los gastos y de las inversiones, nos
sentimos totalmente confiados para afrontar el desafío de ser un
personaje de referencia en la protección contra
los ataques y de poder protegeros el día D.

Cordialmente,
Octave

La opción gratuita no existe. Suben el precio de TODOS los servidores (incluyendo existentes). En un kimsufi por ejemplo la subida es de 1 €, o sea un 10% del precio del servidor si hablamos del más barato.

Hasta hace poco valía la pena conservar servidores de OVH antiguos porque se mantenían las condiciones, pero últimamente no tienen ningún problema en cambiar el precio (hacia arriba) de servidores ya en uso, y en cambio es imposible que te lo ajusten a la baja si el servidor que ya tienes es igual o peor que las nuevas gamas.

Y eso sin contar que por cierre de no se qué edificio en Rubaix algunos servidores directamente los dan de baja con un par de meses de preaviso, y ninguna "atención comercial". Joder, vale que son servidores que tienen 5 años, pero si los hemos mantenido a pesar de estar totalmente obsoletos es precisamente porque hacían su trabajo y no teníamos ganas de migrar.

En fin, OVH muy bien en algunas cosas pero en esto la verdad es que bastante mal.

Hmm... y como se podría encaminar una IP failover por ese nuevo sistema? Hay que enviar una solicitud o algo por el estilo? saludos!

Desde hace algún tiempo existe la posibilidad de contratar una ip fail-over sólo para UDP, que según el panel de control "no dispone de protección"

Desactivar el UDP por completo es algo más fuerte ya que afectaría a los servidores DNS.

Pues para vender eso como un producto final me parece que le falta muuuucho por mejorar.

Tengo una IP Fail-Over que lleva una semana encaminada por ese sistema y es horrible la pérdida de conectividad.

Problemas destacables:
- En muchas ocasiones al intentar acceder a una web no establece conexión a la primera "Conexión reinicializada etc..."
- En el caso de un servidor VOIP (TeamSpeak) caídas masivas de usuarios a ciertas horas.
- Fallo de monitorización de servicios externos.
- Problema al descargar e-mails desde cuentas POP configuradas en GMail.
- Soporte nulo: listas de correo inaccesibles, ni twitter olesovhcom.
- Problema con herramientas Google Webmaster "el robot de Google no puede acceder a tu sitio.

Durante las últimas 24 horas, el robot de Google ha encontrado 1 errores al intentar acceder a robots.txt. Para asegurarnos de que no hemos rastreado ninguna página que aparezca en ese archivo, hemos pospuesto el rastreo. La tasa de error general de robots.txt de tu sitio es de 100.0%."

Se que este feedback será ignorado, pero bueno.

No obstante el precio me parece correcto siempre y cuando funcione bien. Lo que no me parece tan correcto es que se vuelva a pasar por el forro miles de contratos, hoy es 1 euro mañana serán 10 y pasado a saber...

En mi opinión personal (si es posible tecnicamente) deberíais habilitar una opción en el manager OVH para limitar el trafico UDP que usualmente se usa para ataques y algunos servidores no lo utilizan para nada.