Il y a déjà des HoneyPot qui permettent ce genre de truc (avec capture et analyse live. Certains font même du RTBH basé la-dessus.. 😉 )
Rémy -----Original Message----- From: frnog-requ...@frnog.org <frnog-requ...@frnog.org> On Behalf Of David Ponzone Sent: mercredi, 6 mai 2020 11:12 To: Philippe Bourcier <phili...@frnog.org> Cc: frnog-m...@frnog.org Subject: Re: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS Je dis peut-être une connerie (j’en dis plein) mais ça serait pas intéressant pour une telle étude (si le timing le permet) de construire un gros honey-pot, avec du PC windows, Linux, Mac, un peu de serveur, les équipements IoT du marché les plus courants, et voir ce qui se passe ? De nos jours, ça va assez vite si on blinde pas, voir si on laisse des trucs ouverts volontairement. > Le 6 mai 2020 à 11:08, Philippe Bourcier <phili...@frnog.org> a écrit : > > Re, > >> * Comment tu traite des gros pcap. Des gens font de grosses captures >> ? j'ai quitté ce jeux là il y a trop longtemps. A l'époque libpcap >> etait pas top niveau perf et sur des interfaces rapide (>1G) ça défonçait >> n'importe quel CPU. > > Si tu veux juste différencier le résidentiel vs pro vs serveurs, je dirais > que tu n'as surtout pas besoin d'une capture pcap, mais juste d'un log > netflow et d'une base Maxmind Enterprise (ils donnent accès aux bases > gratuitement pour les projets de recherche)... > >> * Comment tu trouve un device IoT dans le lot ? Imagine une >> chromecast chez toi, il aura l'IPv4 publique de ta box. Et si le >> smart bidulle à une puce 2/3/4/5G ça passera par le CG-NAT de l'opérateur ça >> noie le poisson non ? On reconnait ça avec du fingerprinting ? > > Passive fingerprinting ? D'où le pcap ? > > Effectivement, on peut noter qu'il y a quelques challenges techniques pour > pouvoir réaliser cette partie de l'étude de manière fiable... > > > Cordialement, > -- > Philippe Bourcier > web : http://sysctl.org/ > blog : https://www.linkedin.com/today/author/philippebourcier > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
smime.p7s
Description: S/MIME cryptographic signature