C'est intéressant: * Comment tu traite des gros pcap. Des gens font de grosses captures ? j'ai quitté ce jeux là il y a trop longtemps. A l'époque libpcap etait pas top niveau perf et sur des interfaces rapide (>1G) ça défonçait n'importe quel CPU. * Comment tu trouve un device IoT dans le lot ? Imagine une chromecast chez toi, il aura l'IPv4 publique de ta box. Et si le smart bidulle à une puce 2/3/4/5G ça passera par le CG-NAT de l'opérateur ça noie le poisson non ? On reconnait ça avec du fingerprinting ?
Bonne chances. Cordialement/Best Regards, Rémi Desgrange On May 6 2020, at 10:11 am, Francois Lesueur <francois.lesu...@insa-lyon.fr> wrote: > Bonjour, Je suis enseignant-chercheur à l'INSA Lyon, dans le domaine de la > sécurité et des systèmes distribués. J'encadre actuellement une étudiante en > stage qui étudie l'écosystème des DDoS. C'est mon premier message sur cette > liste, j'espère que je ne serai pas hors-sujet et si je le suis, je m'excuse > d'avance pour le bruit... Plus précisément, nous nous intéressons à qualifier > les relais d'attaques (ie, les machines compromises ou louées par l'attaquant > réel) lors de DDoS volumiques. Ainsi, et sauf erreur de notre part, même s'il > existe certaines infos sur les tailles de botnet ou les services attaqués par > DDoS, la contribution des différents types de relais à une attaque DDoS > semble peu étudiée. Dit autrement, quand on subit un DDoS, comment se > répartit le trafic reçu entre des accès résidentiels, des entreprises > compromises, des infras dédiées louées, etc. Et dit encore autrement, si l'on > veut globalement diminuer le niveau de bruit des DDoS sur internet, à quel > type de source (sécurisation des accès résidentiels, infras dédiées, etc.) > devons-nous nous intéresser. Intuitivement, depuis les épisodes de Mirai, on > pense que l'IoT, domestique ou professionnel, occupe une grande part, mais > nous aimerions vérifier cela. Et s'il s'agit bien de la source majoritaire, > alors il sera légitime de s'interroger sur des mécanismes de sécurité que > l'on pourrait déployer au niveau domestique. Concrètement, nous cherchons à > avoir accès à des traces d'attaques DDoS subies (pcap, netflow). Nous avons > un script qui peut-être exécuté soit par nous, soit du côté de la capture. En > sortie de ce script, il n'y a plus d'IP précise ou de data, uniquement des > netblocks, et il peut donc être plus simple côté confidentialité de > l'exécuter du côté de l'organisation qui aurait de telles captures. Pour ces > captures, on part un peu à l'aventure :). Ainsi, on tente si, par hasard, > quelqu'un ici aurait accès à cela et serait prêt à en discuter. Vous > trouverez également un document de présentation un peu plus complet que ce > mail ici : > https://filesender.renater.fr/?s=download&token=b5f0abd5-105c-469a-a927-e579befaa5de > Cordialement, -- François Lesueur Maître de conférences INSA de Lyon / > Département Télécommunications CITI-Inria / Équipe "DynaMid" Web : > http://perso.citi-lab.fr/flesueur/ Tél : +33 4 72 43 73 20 > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
