OVH promet des serveurs à l'épreuve des attaques DDoS
Les attaques DDoS (Distributed Denial of Service) sont un mode d'attaque de plus en plus répandu pour bloquer un serveur, car il est simple à mettre en œuvre et ne nécessite pas de s'infiltrer dans le serveur cible. Une telle attaque peut par exemple se faire "simplement" en utilisant un grand nombre de machines via un botnet pour saturer le serveur cible en lui envoyant un flot de requêtes largement supérieur à ses capacités de traitement.
OVH, qui est aujourd'hui l'un des plus gros hébergeurs mondiaux, est en train de déployer dans ses infrastructures un système de protection anti-DDoS qu'il annonce comme capable "d'encaisser n’importe quelle attaque". Concrètement, il s'agit d'un ensemble d'équipements, baptisé VAC (pour "vacuum cleaner", aspirateur en anglais), qui surveillent en permanence le trafic entrant dans le datacenter. En cas de suspicion d'attaque vers un serveur donné, le trafic vers ce serveur est re-routé en quelques dizaines de secondes vers des équipements de filtrages, qui vont se charger d'éliminer les requêtes illégitimes, pour ne conserver que le trafic normal. Ainsi, le serveur cible n'est pas saturé et peut continuer à traiter les requêtes presque sans ralentissement (le passage dans le VAC induit tout de même une augmentation de latence de quelques dizaines de millisecondes). La capacité de filtrage de chacun des VAC (il y en a trois, se répartissant géographiquement les flux) est de 160 Gbit/s. De quoi filtrer effectivement de grosses attaques, mais pas forcément les plus violentes... Espérons qu'OVH ne fera pas les frais d'attaques de hackers piqués au vif par cette annonce d'invulnérabilité... Rappelons que certaines sources estimaient à 300 Gbit/s le débit de l'attaque DDoS subie par Spamhaus il y a quelques mois.
Ces équipements seront également utilisés pour la lutte contre le spam : tout le trafic mail sortant des serveurs OVH sera dupliqué vers les VAC (l'envoi ne sera donc pas ralenti par le traitement), qui vont analyser ces mails pour s'assurer qu'il ne s'agit pas d'envoi massif de spam. En cas de détection de spam, le trafic SMTP sortant du serveur concerné sera temporairement bloqué. Si l'intention est louable, cette solution est par contre un peu plus discutable, car elle implique une analyse systématique de tous les mails envoyés par des serveurs OVH. L'hébergeur précise que les VAC n'ont aucune capacité de stockage, et qu'ils ne font qu'analyser les flux qui les traversent, mais il vaudra mieux se méfier un minimum, l'utilisation d'un tel système pouvant éventuellement être détournée...
La façon dont ces protections vont être mises en place sur le plan commercial risque par contre d'énerver plus d'un client d'OVH. En effet, jugeant probablement que pour être vraiment efficace, cette protection doit couvrir tous les serveurs (les performances d'un serveur non touché par une attaque peuvent être réduites à cause de la bande passante consommée par le serveur attaqué), OVH ne souhaite pas l'offrir gratuitement, en raison de son coût (3 millions d'euros par VAC). Mais l'hébergeur ne souhaite pas non plus augmenter le prix affiché pour ses serveurs. Du coup, la protection anti-DDoS sera commercialement considérée comme une option, facturée en plus du serveur (de 0.5€ à 10€ par mois selon la gamme), mais cette "option" sera... obligatoire. Si on peut comprendre le recours à cette solution pour augmenter le tarif des offres existantes, elle est particulièrement mesquine pour les nouvelles offres lancées fin juillet, alors que la mise en place de ces VAC était déjà actée... Et ce d'autant plus que sur ces serveurs, qui démarrent à 3€ par mois, le surcoût représente jusqu'à 33% du prix affiché. L'option sera par contre offerte pour ceux qui opteront pour un paiement annuel de leur serveur.