> Francois Lesueur a écrit : > - ce qu'on cherche à évaluer, ce n'est pas le bruit de fond d'internet > (c'est moi qui avais mis ce mot-là dans mon mail initial, my bad) mais la > structuration d'une vraie attaque contre une vraie cible. La construction > d'un honeypot, par exemple donc, n'était pas une piste intéressante.
J'aillais faire la même remarque. Ce que Rémy et moi faisons, je le rapproche plus du bruit de fond (considérable) de l'Internet plutôt que de DDoS. Scan de ports, test de vulnérabilités, brute-force des mots de passe, tout çà c'est "business as usual" qui arrive tous les jours, et je ne pense pas être ciblé en particulier, tout le monde est dans le même bateau. Une DDoS, AMHA c'est ciblé, on attaque quelqu'un ou quelque chose de précis. Cà ne va pas être facile d'obtenir des données valides, car ni les entreprises visées ni les vendeurs de solutions de mitigation n'ont intérêt à publier leur données. > c'est une première piste pour essayer d'évaluer > le "taux de spoofing" par différence entre TCP et UDP. Quel intérêt de le connaitre ? Non seulement çà change tout le temps, en plus çà change probablement en fonction de la cible. Le profil d'attaque DDoS qui viserait ton serveur de jeux n'est probablement pas le même que si c'était un site web gouvernemental ou une publication politisée. > Rémy Duchet a écrit : > Il y a déjà des HoneyPot qui permettent ce genre de truc (avec capture > et analyse live. Certains font même du RTBH basé la-dessus.. 😉 ) ;-) Mais est-ce que c'est vraiment du DDoS ? Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
