Hello, Pour le point précis de l'analyse rapide de PCAP épais, j'étais tombé sur l'outil *Brim *qui complète Wireshark. J'ai pas testé, mais l'interface à l'air jolie, et les fonctions de recherche de trames et de deepdive sur les paquets à l'air super simple et rapide par rapport à Wireshark. le Git : https://github.com/brimsec/brim <https://slack-redir.net/link?url=https%3A%2F%2Fgithub.com%2Fbrimsec%2Fbrim&v=3> le lien pour télécharger l'outil sur Windows : https://www.brimsecurity.com/download/ <https://slack-redir.net/link?url=https%3A%2F%2Fwww.brimsecurity.com%2Fdownload%2F&v=3> une démo sur youtube : https://www.youtube.com/watch?v=InT-7WZ5Y2Y <https://slack-redir.net/link?url=https%3A%2F%2Fwww.youtube.com%2Fwatch%3Fv%3DInT-7WZ5Y2Y&v=3>
Autrement pour ton type de recherche, je pense que ce serait intéressant de contacter les éditeurs de solution anti-DDOS du marché pour leur expliquer la démarche, type Akamai, Cloudflare, Radware, voire même des Cloud Provider (Azure, AWS, GCP). Ce sont eux qui auront les données brutes les plus intéressantes et les plus globales. Sinon il faut directement aller toquer à la porte des services de RaaS pour louer vous même des botnets et faire des attaques contre votre infra, ou interroger leurs admins :) Adrien. Le mer. 6 mai 2020 à 11:08, Philippe Bourcier <phili...@frnog.org> a écrit : > Re, > > > * Comment tu traite des gros pcap. Des gens font de grosses captures ? > j'ai quitté ce jeux là il y > > a trop longtemps. A l'époque libpcap etait pas top niveau perf et sur > des interfaces rapide (>1G) > > ça défonçait n'importe quel CPU. > > Si tu veux juste différencier le résidentiel vs pro vs serveurs, je dirais > que tu n'as surtout pas besoin d'une capture pcap, mais juste d'un log > netflow et d'une base Maxmind Enterprise (ils donnent accès aux bases > gratuitement pour les projets de recherche)... > > > * Comment tu trouve un device IoT dans le lot ? Imagine une chromecast > chez toi, il aura l'IPv4 > > publique de ta box. Et si le smart bidulle à une puce 2/3/4/5G ça > passera par le CG-NAT de > > l'opérateur ça noie le poisson non ? On reconnait ça avec du > fingerprinting ? > > Passive fingerprinting ? D'où le pcap ? > > Effectivement, on peut noter qu'il y a quelques challenges techniques pour > pouvoir réaliser cette partie de l'étude de manière fiable... > > > Cordialement, > -- > Philippe Bourcier > web : http://sysctl.org/ > blog : https://www.linkedin.com/today/author/philippebourcier > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
