Il y a déjà des HoneyPot qui permettent ce genre de truc (avec capture et 
analyse live. Certains font même du RTBH basé la-dessus.. 😉 )

Rémy

-----Original Message-----
From: frnog-requ...@frnog.org <frnog-requ...@frnog.org> On Behalf Of David 
Ponzone
Sent: mercredi, 6 mai 2020 11:12
To: Philippe Bourcier <phili...@frnog.org>
Cc: frnog-m...@frnog.org
Subject: Re: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

Je dis peut-être une connerie (j’en dis plein) mais ça serait pas intéressant 
pour une telle étude (si le timing le permet) de construire un gros honey-pot, 
avec du PC windows, Linux, Mac, un peu de serveur, les équipements IoT du 
marché les plus courants, et voir ce qui se passe ?
De nos jours, ça va assez vite si on blinde pas, voir si on laisse des trucs 
ouverts volontairement.

> Le 6 mai 2020 à 11:08, Philippe Bourcier <phili...@frnog.org> a écrit :
> 
> Re,
> 
>> * Comment tu traite des gros pcap. Des gens font de grosses captures 
>> ? j'ai quitté ce jeux là il y a trop longtemps. A l'époque libpcap 
>> etait pas top niveau perf et sur des interfaces rapide (>1G) ça défonçait 
>> n'importe quel CPU.
> 
> Si tu veux juste différencier le résidentiel vs pro vs serveurs, je dirais 
> que tu n'as surtout pas besoin d'une capture pcap, mais juste d'un log 
> netflow et d'une base Maxmind Enterprise (ils donnent accès aux bases 
> gratuitement pour les projets de recherche)...
> 
>> * Comment tu trouve un device IoT dans le lot ? Imagine une 
>> chromecast chez toi, il aura l'IPv4 publique de ta box. Et si le 
>> smart bidulle à une puce 2/3/4/5G ça passera par le CG-NAT de l'opérateur ça 
>> noie le poisson non ? On reconnait ça avec du fingerprinting ?
> 
> Passive fingerprinting ? D'où le pcap ?
> 
> Effectivement, on peut noter qu'il y a quelques challenges techniques pour 
> pouvoir réaliser cette partie de l'étude de manière fiable...
> 
> 
> Cordialement,
> --
> Philippe Bourcier
> web : http://sysctl.org/
> blog : https://www.linkedin.com/today/author/philippebourcier
> 
> 
> ---------------------------
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Attachment: smime.p7s
Description: S/MIME cryptographic signature

Répondre à