Important : Radionomy : Pas de pare-feu !

[alexx.radio]

Bonjour à tous !

J'aimerais vous avertir de quelque chose, c'est à propos de la technique de Radionomy !

Le serveur dédié qui s'occupe d'héberger le freeware "Liquidsoap's" n'est pas du tout protégé par un pare-feu !

En effet, l'un de mes amis à eux plusieurs soucis avec une personne (externe de ce forum) qui aurait lancé de nombreuses (attaques DoS) sur son adresse URL d'encodage en live. D'après mes sources, la radio n'arrêtait pas de redémarrer et d'être endommagé par les nombreuses requêtes envoyées sur celle-ci !

Néanmoins, cela m'étonne beaucoup, car normalement, Radionomy est protégé par un pare-feu pour ce genre d'attaques. Je me suis donc renseigné auprès de plusieurs personnes et donc aucune protection anti-DoS, n'est installée sur le serveur réservé aux IP/URL du live.

Je vous suggère donc de rester sur vos pas, et de ne pas confier vos accès à n'importe qui !

Cordialement,

[C.B]

Edit ; j'avais pas vu que la présentation avait été faite.

Ca m'étonne de la part de Radionomy... Jamais eu ce genre de problèmes en tout cas

[alexx.radio]

Edit ; j'avais pas vu que la présentation avait été faite.

Ca m'étonne de la part de Radionomy... Jamais eu ce genre de problèmes en tout cas

Pas de soucis ;)

[Benjamin Sévrain]

Tu sais combien ca coute un pare-feu hardware permettant de filtrer une attaque type dDos ?

Tu connais l'état financier de radionomy ?

Je pense que tu as la réponse à ta question :)

[alexx.radio]

Tu sais combien ca coute un pare-feu hardware permettant de filtrer une attaque type dDos ?

Tu connais l'état financier de radionomy ?

Je pense que tu as la réponse à ta question :)

Le budget doit être effectivement énorme.

Je les ai contacté pour leur faire part de ces soucis techniques, voir déjà s'ils peuvent faire quelque chose pour éviter ce genre d'attaque DoS.

Je leur ai conseillé un bon pare-feu gratuit et performant, si "Liquidsoap's harbor main page" est installé sous Debian 5 ;)

[Benjamin Sévrain]

Je leur ai conseillé un bon pare-feu gratuit et performant, si "Liquidsoap's harbor main page" est installé sous Debian 5 ;)

Un logiciel quoi.. Genre iptables.

Aucun intérêt vis à vis de dDos.

Imagine une porte (tu appelles ça carte réseau), un nombre de personne (Mbps).

La porte permet d'accueillir au même instant "t" 100 personnes par exemples (100 Mbps).

Si 101 personnes veulent rentrer sur le même instant "t", la porte est surcharger et une personne doit attendre pour rentrer.

Même principe avec un dDos, logiciel ou non, ça ne changera rien. :)

Le seul moyen d'en éviter, c'est des firewall hardware mis en amont sur le réseau.

[Pascal]

Le budget doit être effectivement énorme.

Je les ai contacté pour leur faire part de ces soucis techniques, voir déjà s'ils peuvent faire quelque chose pour éviter ce genre d'attaque DoS.

Je leur ai conseillé un bon pare-feu gratuit et performant, si "Liquidsoap's harbor main page" est installé sous Debian 5 ;)

Aucun pare-feu logiciel ne peut contenir un DDos aussi performant soit-il...

Un pare-feu matériel ne peut également pas resister éternellement a une attaque DDos (en tout cas, pas un seul en frontal). Et en plus, comme l'a dit Benjamin, ca coute cher, tout le monde n'a pas les moyens d'acheter un Cisco ASA...

Apres, c'est possible que Radionomy ne soit pas capable de protéger convenablement le serveur d'une petite attaque... Mais ca c'est une autre histoire. ;)

[alexx.radio]

Un logiciel quoi.. Genre iptables.

Aucun intérêt vis à vis de dDos.

Imagine une porte (tu appelles ça carte réseau), un nombre de personne (Mbps).

La porte permet d'accueillir au même instant "t" 100 personnes par exemples (100 Mbps).

Si 101 personnes veulent rentrer sur le même instant "t", la porte est surcharger et une personne doit attendre pour rentrer.

Même principe avec un dDos, logiciel ou non, ça ne changera rien. :)

Le seul moyen d'en éviter, c'est des firewall hardware mis en amont sur le réseau.

Normalement le réseau s'avère à 1 Gbit/s de connexion. Il est clair qu'une attaque DoS ne soit pas freinée complètement avec du freeware (enfin bon) il faut connaitre un minimum de programmation.

J'ai un hardware sur chacun de mes serveurs fournis par OVH et ça résiste aux attaques.

[Benjamin Sévrain]

"Normalement le réseau s'avère à 1 Gbit/s de connexion"

Ca dépend de ta machine et de ton prestataire. Mais le principe reste le même... Si je t'envois 1,2 Gbps dans ta carte réseau, ton serveur tu pourras plus en faire grand chose...

Tu n'as peux être simplement... aucune attaque ? ;)

Ou alors des débits léger.

Une attaque dDos n'est ni freinée complètement, ni partiellement par un logiciel. Au mieux tu vas drop les paquets sur la couche réseau pour éviter que ton logiciel en question (apache par exemple) ai à gérer les requêtes bidons.

Pascal > Y'a une boite qui à sorti un truc très intéressant (et probablement hors de prix) en particulier pour l'UDP (que les ASA ne peuvent pas vraiment filtrer convenablement...: Arbor Peakflow SP

[Thunderya]

Le budget doit être effectivement énorme.

Je les ai contacté pour leur faire part de ces soucis techniques, voir déjà s'ils peuvent faire quelque chose pour éviter ce genre d'attaque DoS.

Je leur ai conseillé un bon pare-feu gratuit et performant, si "Liquidsoap's harbor main page" est installé sous Debian 5 ;)

Au passage, le logiciel s'appelle tout simplement "Liquidsoap" ... le reste, c'est le nom de la page. Pour le reste, Benjamin a extrêmement bien résumé le problème avec des exemples très concrets, mais tu ne sembles pas le comprendre. Je suis certain qu'en relisant ses propos tu comprendras mieux le problème, car il ne peut être plus concret.

Normalement le réseau s'avère à 1 Gbit/s de connexion. Il est clair qu'une attaque DoS ne soit pas freinée complètement avec du freeware (enfin bon) il faut connaitre un minimum de programmation.

J'ai un hardware sur chacun de mes serveurs fournis par OVH et ça résiste aux attaques.

Que le logiciel soit un freeware ou autre, cela ne changera donc rien. Et aucun rapport avec le fait de connaître la programmation. Quant aux firewalls matériels disponibles chez OVH, il faut garder à l'esprit qu'ils ont des limites et qu'ils ne peuvent pas tout encaisser. Le plus cher, qui coûte tout de même 1184€ TTC (puis 250€/mois), ne peut accueillir que 450mbps de traffic maximum ... ce qui est quand même assez léger en cas de grosse attaque, et cela m'étonnerait que tu aies pu t'offrir ce genre de matériel pour une utilisation personnelle. Tu comprendras donc bien qu'il est impossible pour Radionomy de s'offrir ce genre de protections quand on sait effectivement ses faibles capacités financières, pour le moment. Ce n'est pas pour rien que même les grands sites qui sont victimes de grosses attaques DDoS ne réussissent pas à gérer ces situations.

Mais concernant ton problème actuel, il existe des solutions très efficaces pour éviter à ton serveur Radionomy ce genre de désagréments ... il suffit de faire marcher tes neurones et tu trouveras tout seul !

[alexx.radio]

Au passage, le logiciel s'appelle tout simplement "Liquidsoap" ... le reste, c'est le nom de la page. Pour le reste, Benjamin a extrêmement bien résumé le problème avec des exemples très concrets, mais tu ne sembles pas le comprendre. Je suis certain qu'en relisant ses propos tu comprendras mieux le problème, car il ne peut être plus concret.

Que le logiciel soit un freeware ou autre, cela ne changera donc rien. Et aucun rapport avec le fait de connaître la programmation. Quant aux firewalls matériels disponibles chez OVH, il faut garder à l'esprit qu'ils ont des limites et qu'ils ne peuvent pas tout encaisser. Le plus cher, qui coûte tout de même 1184€ TTC (puis 250€/mois), ne peut accueillir que 450mbps de traffic maximum ... ce qui est quand même assez léger en cas de grosse attaque, et cela m'étonnerait que tu aies pu t'offrir ce genre de matériel pour une utilisation personnelle. Tu comprendras donc bien qu'il est impossible pour Radionomy de s'offrir ce genre de protections quand on sait effectivement ses faibles capacités financières, pour le moment. Ce n'est pas pour rien que même les grands sites qui sont victimes de grosses attaques DDoS ne réussissent pas à gérer ces situations.

Mais concernant ton problème actuel, il existe des solutions très efficaces pour éviter à ton serveur Radionomy ce genre de désagréments ... il suffit de faire marcher tes neurones et tu trouveras tout seul !

J'ai tout simplement réglé ça avec Radionomy aux alentours de l'après-midi. Effectivement, ils ont répondu à ma solution en blacklistant les IP attaquantes.

Je n'ai strictement pas acheté mon propre pare-feu puisque c'est OVH qui me fournit tout ça dans leur datacanter. Après tout, ça freine pas toutes les attaques, mais un peu, c'est déjà l'essentiel !

Pour information, les IP provenait d'OVH sur des VM d'un certain hébergeur que je ne citerai pas puisque qu'apparemment sa réputation est déjà assez médiocre sur le net.

Et pour finir, même si ça changera pas grand-chose, Radionomy s'avère à mettre en place en freeware un blacklistage d'IP automatique au bout d'un certain nombre de requêtes envoyées sur le serveur. À savoir, que les IP des lives ne restent pas fixes.

[iMaxence]

Salut à tous,

Je confirme Radionomy n'a pas de Parefeu