Je vais peut-être dire une grosse bêtise mais bon, l'usage d'UTM physique ou virtuel fait le job. Analyse, traces, notification, ré-écriture, capture en continue si il faut etc...
Xavier -----Message d'origine----- De : Alarig Le Lay [mailto:ala...@swordarmor.fr] Envoyé : vendredi 24 mars 2017 10:12 À : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Détecter les protocoles de broadcast non grata On ven. 24 mars 09:58:33 2017, Jérôme BERTHIER wrote: > Salut, > > Le 24/03/2017 à 09:20, Alarig Le Lay a écrit : > > DHCP, RA, CDP, ARP spoofing et autres protocoles > > Si c'est pour le détecter, faut se tourner vers sFlow je pense. C’est bien pour détecter. Le filtrage se fera par notification aux admins puis changement du VLAN rattaché au port de l’équipement incriminé. Il n’est pas compliqué du tout d’avoir un linux branché sur le switch et de tcpdump une interface, donc je ne sais pas si sFlow est utile dans ce cas. Ma question porte plus sur ce que je fais du trafic une fois récupéré. J’ai toujours utilisé tcpdump à la main en regardant ce qui sort quand je devais analyser mon trafic, je ne l’ai jamais de manière automatique. -- alarig --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/