Heu,
Ah bon ? Et pourtant si, on fait du pcap en live sur les DDoS par intervalles réguliers sur nos boitiers répartis aux 4 coins de la planete. Ensuite, le démarrage du Pcap se fait sur la base d'un apprentissage ou sur une regle pré-définie ( avec ou sans xflow) Raphael Le Mercredi, Mai 06, 2020 11:11 CEST, Kavé Salamatian <kave.salamat...@univ-savoie.fr> a écrit: Je confirme la capture des DDos ne se fait jamais en PCAP (il faudrait avoir une capture de paquets en permanence pour capturer un DDOS qui viendrait un jour). Ça se fait avec des traces netflow ou sflow. On ne difficilement détecter par la trace que le paquet est issue d’équipement IoT, mais on peut détecter que c’est un équipement IoT on faisant un scan inverse (en scannant l’adresse de la source de DDoS). Dans certains cas très particuliers, le pattern de génération des No de port source est la signature d’un équipement particulier (c’était le cas sur Mirai). Mais dans l’absolu non d’autant plus qu’un attaquant peut très bien maquiller une attaque en utilisant ce même pattern. Globalement c’est très difficile de récupérer des traces d’attaques de DDos. Les entreprises ne veulent rien donner, car le fait d’avoir subi une attaque de DDos et la cible de cette attaque est une information sensible. J’ai de telles traces fournies par des partenaires académiques en Chine d’attaques sur des réseaux d’entreprise là-bas. Mais je ne peux les partager… À l’évidence, il est beaucoup plus facile pour un français d’avoir accès à des traces internet (de quelle nature que ça soit) en Chine qu’en France. Sur des attaques genre Mirai qui sont générique et qui ne ciblent pas une entreprise en particulier c’est assez facile d’avoir des traces, car les attaques bavent sur des adresses aléatoires. Pour cela il suffit de regarder le pare-feu de plusieurs équipements (les logs de pare-feu ça sert à ça). Voir par exemple (https://networking.ifip.org/2009/Website/proceedings/networking/1569173114.pdf) ça a dix ans, mais ça reste pertinent. Il y’a aussi les réseaux de pot de miel qui ont ces infos et qui le partagent parfois. En tous cas, c’est une bonne idée de faire un tour de la littérature et de voir ce qu’on fait les anciens pour ne pas réinventer la roue.:-) Cordialement, Kv > Le 6 mai 2020 à 10:32, Remi Desgrange <remi.desgra...@camptocamp.com> a écrit > : > > C'est intéressant: > > * Comment tu traite des gros pcap. Des gens font de grosses captures ? j'ai > quitté ce jeux là il y a trop longtemps. A l'époque libpcap etait pas top > niveau perf et sur des interfaces rapide (>1G) ça défonçait n'importe quel > CPU. > * Comment tu trouve un device IoT dans le lot ? Imagine une chromecast chez > toi, il aura l'IPv4 publique de ta box. Et si le smart bidulle à une puce > 2/3/4/5G ça passera par le CG-NAT de l'opérateur ça noie le poisson non ? On > reconnait ça avec du fingerprinting ? > > Bonne chances. > Cordialement/Best Regards, Rémi Desgrange > > On May 6 2020, at 10:11 am, Francois Lesueur <francois.lesu...@insa-lyon.fr> > wrote: >> Bonjour, Je suis enseignant-chercheur à l'INSA Lyon, dans le domaine de la >> sécurité et des systèmes distribués. J'encadre actuellement une étudiante en >> stage qui étudie l'écosystème des DDoS. C'est mon premier message sur cette >> liste, j'espère que je ne serai pas hors-sujet et si je le suis, je m'excuse >> d'avance pour le bruit... Plus précisément, nous nous intéressons à >> qualifier les relais d'attaques (ie, les machines compromises ou louées par >> l'attaquant réel) lors de DDoS volumiques. Ainsi, et sauf erreur de notre >> part, même s'il existe certaines infos sur les tailles de botnet ou les >> services attaqués par DDoS, la contribution des différents types de relais à >> une attaque DDoS semble peu étudiée. Dit autrement, quand on subit un DDoS, >> comment se répartit le trafic reçu entre des accès résidentiels, des >> entreprises compromises, des infras dédiées louées, etc. Et dit encore >> autrement, si l'on veut globalement diminuer le niveau de bruit des DDoS sur >> internet, à quel type de source (sécurisation des accès résidentiels, infras >> dédiées, etc.) devons-nous nous intéresser. Intuitivement, depuis les >> épisodes de Mirai, on pense que l'IoT, domestique ou professionnel, occupe >> une grande part, mais nous aimerions vérifier cela. Et s'il s'agit bien de >> la source majoritaire, alors il sera légitime de s'interroger sur des >> mécanismes de sécurité que l'on pourrait déployer au niveau domestique. >> Concrètement, nous cherchons à avoir accès à des traces d'attaques DDoS >> subies (pcap, netflow). Nous avons un script qui peut-être exécuté soit par >> nous, soit du côté de la capture. En sortie de ce script, il n'y a plus d'IP >> précise ou de data, uniquement des netblocks, et il peut donc être plus >> simple côté confidentialité de l'exécuter du côté de l'organisation qui >> aurait de telles captures. Pour ces captures, on part un peu à l'aventure >> :). Ainsi, on tente si, par hasard, quelqu'un ici aurait accès à cela et >> serait prêt à en discuter. Vous trouverez également un document de >> présentation un peu plus complet que ce mail ici : >> https://filesender.renater.fr/?s=download&token=b5f0abd5-105c-469a-a927-e579befaa5de >> Cordialement, -- François Lesueur Maître de conférences INSA de Lyon / >> Département Télécommunications CITI-Inria / Équipe "DynaMid" Web : >> http://perso.citi-lab.fr/flesueur/ Tél : +33 4 72 43 73 20 >> --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
