Bonjour, Le 06/05/2020 à 19:22, Michel Py a écrit : > Cà ne va pas être facile d'obtenir des données valides, car ni les > entreprises visées ni les vendeurs de solutions de mitigation n'ont intérêt à > publier leur données.
Et oui, c'est clair :). D'ailleurs, c'est aussi pour ça que ça nous intéresse, justement. Tout le monde a un sentiment sur la provenance des DDoS, certains ont des éléments d'analyse et de preuve (c'est, évidemment, le cas des Cloudflare & co, et probablement pas mal d'autres, notamment ici, ont une vision claire des choses). Mais pour le reste, on dépend souvent d'infos de seconde main ou d'analyses opaques. Dans ce travail, on ne cherche pas à faire de l'innovation ou à lancer des fusées dans l'espace, mais à essayer d'amener des éléments sur le sujet dans la connaissance commune partagée. À notre (toute) petite échelle, évidemment. Et comme c'est (pour l'instant) un stage et qu'on a déjà des traces qui nous permettent de valider le travail de stage (du point de vue scolarité), on a pas grand risque à tenter ! >> c'est une première piste pour essayer d'évaluer >> le "taux de spoofing" par différence entre TCP et UDP. > > Quel intérêt de le connaitre ? Non seulement çà change tout le temps, en plus > çà change probablement en fonction de la cible. Le profil d'attaque DDoS qui > viserait ton serveur de jeux n'est probablement pas le même que si c'était un > site web gouvernemental ou une publication politisée. Si on arrive à évaluer/cadrer dans une fourchette ce taux de spoofing, ça peut nous permettre d'estimer un intervalle de confiance sur nos résultats d'analyse. On aura des hypothèses à faire, qui seront discutables mais qu'on essaiera d'analyser et de valider au mieux (mais si déjà on pose des hypothèses claires, ce sera un bon début). Ensuite, le fait de poser une estimation sur ce taux de spoofing peut nous permettre, par exemple, si on dit que "80% du volume des DDoS vient d'accès résidentiel compromis", savoir si on parle 80% +/- 5%, ou 80% +/- 50% :). Et si on refait le même genre d'analyse 3 ans plus tard, et que le DDoS résidentiel est passé à 85% grâce au FTTH, savoir si ces 5% sont pertinents ou dans la marge d'erreur. Idéalement, dans ce travail, on aimerait avoir une analyse publique, diffusable, criticable, et qui permette d'estimer l'impact que pourrait avoir certains types de contre-mesures contre les DDoS. Par exemple, quel impact si on commençait à instrumenter les routeurs domestiques (libres genre openwrt, brique internet, ou box) pour que, collaborativement, chaque routeur puisse détecter si son LAN est en train de participer à un DDoS et ainsi le couper à la source ? Au-delà des questions de déploiement (les sources n'ont pas forcément d'incentive à le faire), quel serait l'impact de ce lieu de mitigation ? Probablement élevé, mais à quel point ? Serait-ce suffisant pour pouvoir se passer de Cloudflare, par exemple ? Cordialement, François Lesueur --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
