Bonjour, Je suis enseignant-chercheur à l'INSA Lyon, dans le domaine de la sécurité et des systèmes distribués. J'encadre actuellement une étudiante en stage qui étudie l'écosystème des DDoS. C'est mon premier message sur cette liste, j'espère que je ne serai pas hors-sujet et si je le suis, je m'excuse d'avance pour le bruit...
Plus précisément, nous nous intéressons à qualifier les relais d'attaques (ie, les machines compromises ou louées par l'attaquant réel) lors de DDoS volumiques. Ainsi, et sauf erreur de notre part, même s'il existe certaines infos sur les tailles de botnet ou les services attaqués par DDoS, la contribution des différents types de relais à une attaque DDoS semble peu étudiée. Dit autrement, quand on subit un DDoS, comment se répartit le trafic reçu entre des accès résidentiels, des entreprises compromises, des infras dédiées louées, etc. Et dit encore autrement, si l'on veut globalement diminuer le niveau de bruit des DDoS sur internet, à quel type de source (sécurisation des accès résidentiels, infras dédiées, etc.) devons-nous nous intéresser. Intuitivement, depuis les épisodes de Mirai, on pense que l'IoT, domestique ou professionnel, occupe une grande part, mais nous aimerions vérifier cela. Et s'il s'agit bien de la source majoritaire, alors il sera légitime de s'interroger sur des mécanismes de sécurité que l'on pourrait déployer au niveau domestique. Concrètement, nous cherchons à avoir accès à des traces d'attaques DDoS subies (pcap, netflow). Nous avons un script qui peut-être exécuté soit par nous, soit du côté de la capture. En sortie de ce script, il n'y a plus d'IP précise ou de data, uniquement des netblocks, et il peut donc être plus simple côté confidentialité de l'exécuter du côté de l'organisation qui aurait de telles captures. Pour ces captures, on part un peu à l'aventure :). Ainsi, on tente si, par hasard, quelqu'un ici aurait accès à cela et serait prêt à en discuter. Vous trouverez également un document de présentation un peu plus complet que ce mail ici : https://filesender.renater.fr/?s=download&token=b5f0abd5-105c-469a-a927-e579befaa5de Cordialement, -- François Lesueur Maître de conférences INSA de Lyon / Département Télécommunications CITI-Inria / Équipe "DynaMid" Web : http://perso.citi-lab.fr/flesueur/ Tél : +33 4 72 43 73 20 --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
