RE: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Michel Py]

>> Richard Klein a écrit :
>> Une question que je me pose sur 100% de data mondial combien
>> représente le DDos, autres attaques et flux blackhole?

> Raphael Maunier a écrit :
> Impossible d'avoir des datas fiables. Personne partage
> 100% de ses datas et de ses attaques

+1


Francois Lesueur, j'ai une idée pour toi :
Tu ouvres un nouveau site web du genre lesgensdedroitesonttousdescons.fr, avec 
le contenu qui va bien.
Sur la même IP, tu mets aussi lesgensdegauchesonttousdescons.fr, et n'oublie 
pas les centristes et l'extrême-droite et l'extrême-gauche aussi, faut ratisser 
large. Ton DDoS que tu peux mesurer n'est pas loin :P



>> Richard Klein a écrit :
>> Ce pourcentage d'attaque est équivalent a combien en euros/dollars?
>> Le cout n'est pas tant la surfacturation sur 1 mois de la BP, mais
>> l'impact économique si l'infra est par terre pendant x heures.

> Raphael Maunier a écrit :
> Ce cout est bien souvent largement supérieur pour certains au cout
> total de la solution annuelle de protection DDoS

Je plussoie, mais qu'à moitié. Ce raisonnement, c'est valable pour les petits 
mais pas pour les tier-1. Une DDoS, qui c'est que çà emmerde (à part la cible, 
mais çà ne compte pas) ? Je dirais le petit hébergeur qui n'a qu'un petit 
tuyau. Les tier-2 et les CDN çà ne va pas leur plaire, mais comparé à l'argent 
qu'ils peuvent se faire en revendant les solutions de mitigation, c'est des 
cacahouètes. Quand aux tier-1, j'ai bien l'impression qu'ils s'en foutent.

> Chouette, encore plus de DDoS, c'est cool j'aurais plus de clients :)

:P juste ce que je disais !!!

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Raphael Maunier]

On 07/05/2020 20:10, Damien Wetzel wrote:

Bonsoir à tous,

Etant revendeur de solutions anti ddos,WAF, je trouve ce milieu un peu confus
car les termes sont flous.

Premierement qu'est ce un DDOS ? est ce que cela implique forcement une notion 
de
volume donc de bande passante ?

oui, "facile a bloquer"

est ce que ca ne va que jusqu'aux niveaux IP/TCP ?

oui, moins facile on dira

  quid de HTTP ?
et oui, difficile s'il n'y a que de la protection L4, s'il y a du L7, 
c'est plus simple, mais si c'est violent c'est beaucoup plus "couteux" 
en ingénierie lorsque c'est complexe


De mon point de vue les attaques DDOS volumetriques importantes pour les 
fournisseurs de contenus utilisant des
CDN semblent relativement rares à moins d'être dans des secteurs specifiques 
comme le gaming ou autre.


Tout ce qui est e-commerce ou avec un soupçon de "politique" ( genre 
meme site comme MSF, si si  ... ) se fait tester au moins plusieurs fois 
par jour.




Cordialement,
Damien

Michel Py writes:
  > > Richard Klein a écrit :
  > > Une question que je me pose sur 100% de data mondial combien
  > > représente le DDos, autres attaques et flux blackhole?
  >
  > J'aimerais bien savoir aussi mais c'est quasiment impossible à mesurer.
  >
  > > Ce pourcentage d'attaque est équivalent a combien en euros/dollars?
  > > Si cela représente un bruit de fond il est évident que personne ne 
bougera.
  >
  > AMHA, le status quo est déjà établi. Il y a deux facteurs économiques qui 
vont au contraire de faire quelque chose pour limiter les DDoS :
  >
  > 1. Le trafic des DDoS est facturable pareil que le trafic légit.
  > 2. C'est une opportunité commerciale de vendre au client une solution 
anti-DDoS.
  >
  > Les DDoS, malheureusement, représentent un marché qui fait vivre beaucoup 
de monde; je ne vois pas çà s'arrêter.
  >
  > Michel.
  >
  >
  > ---
  > Liste de diffusion du FRnOG
  > http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Raphael Maunier]

On 07/05/2020 19:12, Richard Klein wrote:

Bonjour,

Une question que je me pose sur 100% de data mondial combien représente le
DDos, autres attaques et flux blackhole?


Impossible d'avoir des datas fiables. Personne partage 100% de ses datas 
et de ses attaques



Ce pourcentage d'attaque est équivalent a combien en euros/dollars?


Le cout n'est pas tant la surfacturation sur 1 mois de la BP, mais 
l'impact économique si l'infra est par terre pendant x heures.


Ce cout est bien souvent largement supérieur pour certains au cout total 
de la solution annuelle de protection DDoS



Si cela représente un bruit de fond il est évident que personne ne bougera.
Par contre si une etude sérieuse demontre l'intérêt de mettre un filtrage
ou des contres mesures cela bougera
des attaques il y en a tout le temps. C'est un bruit de fond pour les 
gens qui font de la protection, on parle de qq 10aines de giga en flux . 
C'est peanuts pour nous, mais pour qqn qui n'a que 2 ou 3 ports 10G, 
c'est beaucoup

Nos boxs a la maison sous Android si elles étaient un peux plus open
seraient une bonne sonde pour ce type d'études avec une apk installé pour
remonter les stats et mettre en place du filtrage 

Chouette, encore plus de DDoS, c'est cool j'aurais plus de clients :)

Richard

Le jeu. 7 mai 2020 à 19:00, Michel Py 
a écrit :


Francois Lesueur a écrit :
Par exemple, quel impact si on commençait à instrumenter les routeurs

domestiques (libres

genre openwrt, brique internet, ou box) pour que, collaborativement,

chaque routeur puisse

détecter si son LAN est en train de participer à un DDoS et ainsi le

couper à la source ?

Au-delà des questions de déploiement (les sources n'ont pas forcément

d'incentive à le faire),

C'est bien là ou est le problème. Je pense que 80% du volume venant de
l'accès résidentiel compromis est une hypothèse valable, mais l'histoire a
déjà prouvé que tout le monde s'en fout : même en enlevant la chose
relativement nouvelle de l'IoT, çà fait des lustres qu'on aurait pu, en
plus de Windows Firewall, incorporer un machin qui détecterait au niveau du
PC de Claude Michu que ce PC est en train de faire des trucs pas propres,
même si l'antivirus n'a rien vu venir. Et personne n'a rien fait.

En ce qui concerne les FAI, ils sont déjà pas foutus de détecter les
paquets spoofés (je ne dis pas que c'est facile), donc modifier leur
machinbox pour ce que tu suggeste je ne vois pas çà arriver.


quel serait l'impact de ce lieu de mitigation ? Probablement élevé, mais

à quel

point ? Serait-ce suffisant pour pouvoir se passer de Cloudflare, par

exemple ?

Cà serait une super idée, ceci dit; mais je ne pense pas. Vu la volumétrie
actuelle, les gens comme Harbor ont de beaux jours devant eux, AMHA.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Cumulus...

[Philippe Bourcier]

Re,

> https://blogs.nvidia.com/blog/2020/05/04/nvidia-acquires-cumulus

Alors en fait l'histoire complète c'est plutôt :
 - Nvidia acquires Mellanox
 - Les switchs Mellanox tournent notamment sous Cumulus (Peut-être mieux 
qu'avec l'OS par défaut?)
 - Nvidia acquires Cumulus

#CQFD :)


Cordialement,
--
Philippe Bourcier
web : http://sysctl.org
blog : https://www.linkedin.com/today/author/philippebourcier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Prochaine assemblée générale du RIPE - Vote pour le renouvellement de trois siège au board

[Hugues Voiturier]

Elad -spambot- Cohen, maintenant disponible en Français dans toutes vos boites 
mail favorites... (tocard.)

J’en suis à 6 mails là, ça a le mérite de me faire découvrir des alias dont 
j’ignorais l’existence...

Hugues
AS57199 - AS50628

> On 7 May 2020, at 09:45, Clement Cavadore  wrote:
> 
> Je l'ai rapporté sur la mailing "member-discuss", sans le nommer:
> https://www.ripe.net/ripe/mail/archives/members-discuss-unmoderated/202
> 0-May/32.html
> 
> Espérons que ca passe la modération (ca devrait, j'imagine, vu que je
> suis resté générique sans attaque personnelle, même si tout le monde
> saura de qui il s'agit) :-)
> 
> 
> Clément
> 
> On Thu, 2020-05-07 at 09:33 +0200, thomas via frnog wrote:
>> enfreindre le copyright de la base Ripe pour spammer sa propre
>> promotion  Je rêve. 
>> 
>> Encore un cas d abuse de la base des LIR a reporter @ supp...@ripe.ne
>> t. 
>> 
>> 
>> 
>> Le 7 mai 2020 09:03, "Paul Rolland (ポール・ロラン)"  a
>> écrit :
>> Bonjour,
>> 
>> On Thu, 7 May 2020 04:07:48 +0200
>> Arnaud Launay  wrote:
>> 
>>> Le Fri, May 01, 2020 at 01:54:30PM +0200, Clement Cavadore a écrit:
 Outre le mariole dont on a initialement parlé (Elad Cohen), qui
>> est  
>>>  
>>> Il vient d'envoyer un spam^W mail^W spam, probablement à tous les
>>> membres du RIPE... Il a le droit de faire ce genre de trucs ? Ce
>> 
>> De mon cote, j'ai recu et j'ai bien rigole ! Serieusement, je me
>> demande comment j'allais faire dans les 10 prochaines annees sans
>> implementer IPv4+. Me voila maintenant rassure, la transition entre
>> IPv4 et
>> IPv6 est toute trouvee...
>> 
>> Bon vendredi (oui, en France, c'est a nouveau vendredi), mais grace a
>> lui,
>> je sais que ce sera le cas.
>> 
>> Paul
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
>> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Cumulus...

[David Ponzone]

https://blogs.nvidia.com/blog/2020/05/04/nvidia-acquires-cumulus/

David Ponzone



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Fournisseur licence ASR

[Hervé BRY]

Le jeu. 7 mai 2020 à 19:11,  a écrit :

> Connaissez vous Optinoc ? (https://www optinoc com)
>

On dirait le nom du café du coin en face d'un datacenter: "Au p'tit NOC" ;)

Hervé BRY
Administrateur Système
Geneanet (http://www.geneanet.org)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Michel Py]

> Damien Wetzel a écrit :
> De mon point de vue les attaques DDOS volumetriques importantes pour les
> fournisseurs de contenus utilisant des CDN semblent relativement rares à
> moins d'être dans des secteurs specifiques comme le gaming ou autre.

Il est clair que le CDN complique la vie de l'attaqueur, car les CDN ont une 
surface d'attaque gigantesque : quand je regarde ton site web il est à Pasadena 
en Californie à même pas 20ms de chez moi, donc c'est clair que le DNS adaptif 
a bien fait son boulot. Il y a eu un hoquet ceci dit, pendant quelques secondes 
le cache que j'accédais n'était pas à jour.

Ceci étant dit, une bonne attaque DDoS ne va pas se fier au DNS adaptif du CDN.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Michel Py]

> Damien Wetzel a écrit :
> Premierement qu'est ce un DDOS ?

Littérallement, Distributed Denial Of Service. On sature la cible par 
différents moyens jusqu'à ce qu'elle soit tellement saturée qu'elle ne réponde 
plus.

> est ce que cela implique forcement une notion de volume

Oui, mais pas forcément en Bps. Cà peut être en Pps aussi.

> donc de bande passante ?

Variable. Il y a des DDoS qui sont basées sur la bande passante uniquement : si 
on sait que la cible a 10G de bande passante, possiblement avec des paquets de 
taille importante, en envoyant 15G on la tue.
Mais il y a aussi des DDoS qui ne sont pas basés sur la bande passante, par 
exemple une attaque SYN/ACK.

> est ce que ca ne va que jusqu'aux niveaux IP/TCP ?

Non, ca peut aller jusqu'au niveau 7.

> quid de HTTP ?

Certainement, HTTP est une cible pour une attaque SYN/ACK qui sature le serveur 
web, pas le réseau.

Il y a une multitude de possibilités pour faire de la DDoS, la volumétrie en 
bande passante n'étant qu'un des choix possibles.

P.S : sur ton site www, quand je clique sur les onglets j'ai çà :
Forbidden You don't have permission to access /services on this server.

Michel.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Damien Wetzel]

Bonsoir à tous,

Etant revendeur de solutions anti ddos,WAF, je trouve ce milieu un peu confus
car les termes sont flous.

Premierement qu'est ce un DDOS ? est ce que cela implique forcement une notion 
de
volume donc de bande passante ? est ce que ca ne va que jusqu'aux niveaux 
IP/TCP ? quid de HTTP ?

De mon point de vue les attaques DDOS volumetriques importantes pour les 
fournisseurs de contenus utilisant des
CDN semblent relativement rares à moins d'être dans des secteurs specifiques 
comme le gaming ou autre.

Cordialement,
Damien

Michel Py writes:
 > > Richard Klein a écrit :
 > > Une question que je me pose sur 100% de data mondial combien
 > > représente le DDos, autres attaques et flux blackhole?
 > 
 > J'aimerais bien savoir aussi mais c'est quasiment impossible à mesurer.
 > 
 > > Ce pourcentage d'attaque est équivalent a combien en euros/dollars?
 > > Si cela représente un bruit de fond il est évident que personne ne bougera.
 > 
 > AMHA, le status quo est déjà établi. Il y a deux facteurs économiques qui 
 > vont au contraire de faire quelque chose pour limiter les DDoS :
 > 
 > 1. Le trafic des DDoS est facturable pareil que le trafic légit.
 > 2. C'est une opportunité commerciale de vendre au client une solution 
 > anti-DDoS.
 > 
 > Les DDoS, malheureusement, représentent un marché qui fait vivre beaucoup de 
 > monde; je ne vois pas çà s'arrêter.
 > 
 > Michel.
 > 
 > 
 > ---
 > Liste de diffusion du FRnOG
 > http://www.frnog.org/

-- 



~
Damien WETZEL (ATANAR TECHNOLOGIES)("`-/")_.-'"``-._
http://www.atanar.com  . . `; -._)-;-,_`)
  (v_,)'  _  )`-.\  ``-'
Phone:+33 9 67 35 09 05_.- _..-_/ / ((.'
- So much to do, so little time -   ((,.-'   ((,/
~


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Fournisseur licence ASR

[David Ponzone]

https://www.societe.com/societe/optinoc-850573932.html 


Perso, j’éviterais en paiement comptant.

Je pense qu’il y a des gens plus fiables pour ça, j’en connais au moins un qui 
va te faire un mail direct, sauf s’il est parti à la plage pour 3 jours :)

> Le 7 mai 2020 à 19:10, cont...@doriangaliana.fr a écrit :
> 
> Hello la Ml,
> 
> J'ai été approché par un fournisseur pour une licence d'ASR 1001-X ( ça tombe 
> bien j'en cherchais une !).
> Leur prix est vraiment, vraiment, vraiment bas et du coup je vous avoues 
> planner dans le doute le plus total.
> 
> D’où mes questions :
> 
> Connaissez vous Optinoc ? (https://www optinoc com)
> Si oui avez vous déjà passé une commande chez eux ?
> 
> Ou encore avez vous eu des retours d'autres personnes à leurs propos ?
> 
> Je n'ai pas vraiment envie de lâcher 2.2k€ dans la nature sans garantie :)
> 
> Merci à vous pour vos retours,
> 
> Dorian
> 
> AS208196
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Fournisseur licence ASR

[David Ponzone]

2200€ pour quoi comme licence ?

> Le 7 mai 2020 à 19:10, cont...@doriangaliana.fr a écrit :
> 
> Hello la Ml,
> 
> J'ai été approché par un fournisseur pour une licence d'ASR 1001-X ( ça tombe 
> bien j'en cherchais une !).
> Leur prix est vraiment, vraiment, vraiment bas et du coup je vous avoues 
> planner dans le doute le plus total.
> 
> D’où mes questions :
> 
> Connaissez vous Optinoc ? (https://www optinoc com)
> Si oui avez vous déjà passé une commande chez eux ?
> 
> Ou encore avez vous eu des retours d'autres personnes à leurs propos ?
> 
> Je n'ai pas vraiment envie de lâcher 2.2k€ dans la nature sans garantie :)
> 
> Merci à vous pour vos retours,
> 
> Dorian
> 
> AS208196
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Michel Py]

> Richard Klein a écrit :
> Une question que je me pose sur 100% de data mondial combien
> représente le DDos, autres attaques et flux blackhole?

J'aimerais bien savoir aussi mais c'est quasiment impossible à mesurer.

> Ce pourcentage d'attaque est équivalent a combien en euros/dollars?
> Si cela représente un bruit de fond il est évident que personne ne bougera.

AMHA, le status quo est déjà établi. Il y a deux facteurs économiques qui vont 
au contraire de faire quelque chose pour limiter les DDoS :

1. Le trafic des DDoS est facturable pareil que le trafic légit.
2. C'est une opportunité commerciale de vendre au client une solution anti-DDoS.

Les DDoS, malheureusement, représentent un marché qui fait vivre beaucoup de 
monde; je ne vois pas çà s'arrêter.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Richard Klein]

Bonjour,

Une question que je me pose sur 100% de data mondial combien représente le
DDos, autres attaques et flux blackhole?
Ce pourcentage d'attaque est équivalent a combien en euros/dollars?
Si cela représente un bruit de fond il est évident que personne ne bougera.
Par contre si une etude sérieuse demontre l'intérêt de mettre un filtrage
ou des contres mesures cela bougera
Nos boxs a la maison sous Android si elles étaient un peux plus open
seraient une bonne sonde pour ce type d'études avec une apk installé pour
remonter les stats et mettre en place du filtrage 

Richard

Le jeu. 7 mai 2020 à 19:00, Michel Py 
a écrit :

> > Francois Lesueur a écrit :
> > Par exemple, quel impact si on commençait à instrumenter les routeurs
> domestiques (libres
> > genre openwrt, brique internet, ou box) pour que, collaborativement,
> chaque routeur puisse
> > détecter si son LAN est en train de participer à un DDoS et ainsi le
> couper à la source ?
> > Au-delà des questions de déploiement (les sources n'ont pas forcément
> d'incentive à le faire),
>
> C'est bien là ou est le problème. Je pense que 80% du volume venant de
> l'accès résidentiel compromis est une hypothèse valable, mais l'histoire a
> déjà prouvé que tout le monde s'en fout : même en enlevant la chose
> relativement nouvelle de l'IoT, çà fait des lustres qu'on aurait pu, en
> plus de Windows Firewall, incorporer un machin qui détecterait au niveau du
> PC de Claude Michu que ce PC est en train de faire des trucs pas propres,
> même si l'antivirus n'a rien vu venir. Et personne n'a rien fait.
>
> En ce qui concerne les FAI, ils sont déjà pas foutus de détecter les
> paquets spoofés (je ne dis pas que c'est facile), donc modifier leur
> machinbox pour ce que tu suggeste je ne vois pas çà arriver.
>
> > quel serait l'impact de ce lieu de mitigation ? Probablement élevé, mais
> à quel
> > point ? Serait-ce suffisant pour pouvoir se passer de Cloudflare, par
> exemple ?
>
> Cà serait une super idée, ceci dit; mais je ne pense pas. Vu la volumétrie
> actuelle, les gens comme Harbor ont de beaux jours devant eux, AMHA.
>
> Michel.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Fournisseur licence ASR

[contact]

Hello la Ml,

J'ai été approché par un fournisseur pour une licence d'ASR 1001-X ( ça 
tombe bien j'en cherchais une !).
Leur prix est vraiment, vraiment, vraiment bas et du coup je vous avoues 
planner dans le doute le plus total.


D’où mes questions :

Connaissez vous Optinoc ? (https://www optinoc com)
Si oui avez vous déjà passé une commande chez eux ?

Ou encore avez vous eu des retours d'autres personnes à leurs propos ?

Je n'ai pas vraiment envie de lâcher 2.2k€ dans la nature sans garantie 
:)


Merci à vous pour vos retours,

Dorian

AS208196


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Michel Py]

> Francois Lesueur a écrit :
> Par exemple, quel impact si on commençait à instrumenter les routeurs 
> domestiques (libres
> genre openwrt, brique internet, ou box) pour que, collaborativement, chaque 
> routeur puisse
> détecter si son LAN est en train de participer à un DDoS et ainsi le couper à 
> la source ?
> Au-delà des questions de déploiement (les sources n'ont pas forcément 
> d'incentive à le faire),

C'est bien là ou est le problème. Je pense que 80% du volume venant de l'accès 
résidentiel compromis est une hypothèse valable, mais l'histoire a déjà prouvé 
que tout le monde s'en fout : même en enlevant la chose relativement nouvelle 
de l'IoT, çà fait des lustres qu'on aurait pu, en plus de Windows Firewall, 
incorporer un machin qui détecterait au niveau du PC de Claude Michu que ce PC 
est en train de faire des trucs pas propres, même si l'antivirus n'a rien vu 
venir. Et personne n'a rien fait.

En ce qui concerne les FAI, ils sont déjà pas foutus de détecter les paquets 
spoofés (je ne dis pas que c'est facile), donc modifier leur machinbox pour ce 
que tu suggeste je ne vois pas çà arriver.

> quel serait l'impact de ce lieu de mitigation ? Probablement élevé, mais à 
> quel
> point ? Serait-ce suffisant pour pouvoir se passer de Cloudflare, par exemple 
> ?

Cà serait une super idée, ceci dit; mais je ne pense pas. Vu la volumétrie 
actuelle, les gens comme Harbor ont de beaux jours devant eux, AMHA.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Duchet Rémy]

> Mais est-ce que c'est vraiment du DDoS ?
Le Ddos n'est-il pas une attaque en soit ? Différente, certes, mais une attaque 
quand même. 

De mon point de vue, il me semble qu'il y a de plus en plus d'attaques 
structurés et distribués. 
Peut-être lié, justement, au fait du FTTH, et du nombre d'hébergeurs "peu 
regardant".

Rémy


smime.p7s
Description: S/MIME cryptographic signature

Re: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[raphael]

Heu,


Ah bon ? Et pourtant si, on fait du pcap en live sur les DDoS par intervalles 
réguliers sur nos boitiers répartis aux 4 coins de la planete.
Ensuite, le démarrage du Pcap se fait sur la base d'un apprentissage ou sur une 
regle pré-définie ( avec ou sans xflow)

Raphael

Le Mercredi, Mai 06, 2020 11:11 CEST, Kavé Salamatian 
 a écrit:
 Je confirme la capture des DDos ne se fait jamais en PCAP (il faudrait avoir 
une capture de paquets en permanence pour capturer un DDOS qui viendrait un 
jour). Ça se fait avec des traces netflow ou sflow. On ne difficilement 
détecter par la trace que le paquet est issue d’équipement IoT, mais on peut 
détecter que c’est un équipement IoT on faisant un scan inverse (en scannant 
l’adresse de la source de DDoS). Dans certains cas très particuliers, le 
pattern de génération des No de port source est la signature d’un équipement 
particulier (c’était le cas sur Mirai). Mais dans l’absolu non d’autant plus 
qu’un attaquant peut très bien maquiller une attaque en utilisant ce même 
pattern.

Globalement c’est très difficile de récupérer des traces d’attaques de DDos. 
Les entreprises ne veulent rien donner, car le fait d’avoir subi une attaque de 
DDos et la cible de cette attaque est une information sensible. J’ai de telles 
traces fournies par des partenaires académiques en Chine d’attaques sur des 
réseaux d’entreprise là-bas. Mais je ne peux les partager…
À l’évidence, il est beaucoup plus facile pour un français d’avoir accès à des 
traces internet (de quelle nature que ça soit) en Chine qu’en France.

Sur des attaques genre Mirai qui sont générique et qui ne ciblent pas une 
entreprise en particulier c’est assez facile d’avoir des traces, car les 
attaques bavent sur des adresses aléatoires. Pour cela il suffit de regarder le 
pare-feu de plusieurs équipements (les logs de pare-feu ça sert à ça). Voir par 
exemple 
(https://networking.ifip.org/2009/Website/proceedings/networking/1569173114.pdf)
 ça a dix ans, mais ça reste pertinent. Il y’a aussi les réseaux de pot de miel 
qui ont ces infos et qui le partagent parfois.

En tous cas, c’est une bonne idée de faire un tour de la littérature et de voir 
ce qu’on fait les anciens pour ne pas réinventer la roue.:-)

Cordialement,

Kv




> Le 6 mai 2020 à 10:32, Remi Desgrange  a écrit 
> :
>
> C'est intéressant:
>
> * Comment tu traite des gros pcap. Des gens font de grosses captures ? j'ai 
> quitté ce jeux là il y a trop longtemps. A l'époque libpcap etait pas top 
> niveau perf et sur des interfaces rapide (>1G) ça défonçait n'importe quel 
> CPU.
> * Comment tu trouve un device IoT dans le lot ? Imagine une chromecast chez 
> toi, il aura l'IPv4 publique de ta box. Et si le smart bidulle à une puce 
> 2/3/4/5G ça passera par le CG-NAT de l'opérateur ça noie le poisson non ? On 
> reconnait ça avec du fingerprinting ?
>
> Bonne chances.
> Cordialement/Best Regards, Rémi Desgrange
>
> On May 6 2020, at 10:11 am, Francois Lesueur  
> wrote:
>> Bonjour, Je suis enseignant-chercheur à l'INSA Lyon, dans le domaine de la 
>> sécurité et des systèmes distribués. J'encadre actuellement une étudiante en 
>> stage qui étudie l'écosystème des DDoS. C'est mon premier message sur cette 
>> liste, j'espère que je ne serai pas hors-sujet et si je le suis, je m'excuse 
>> d'avance pour le bruit... Plus précisément, nous nous intéressons à 
>> qualifier les relais d'attaques (ie, les machines compromises ou louées par 
>> l'attaquant réel) lors de DDoS volumiques. Ainsi, et sauf erreur de notre 
>> part, même s'il existe certaines infos sur les tailles de botnet ou les 
>> services attaqués par DDoS, la contribution des différents types de relais à 
>> une attaque DDoS semble peu étudiée. Dit autrement, quand on subit un DDoS, 
>> comment se répartit le trafic reçu entre des accès résidentiels, des 
>> entreprises compromises, des infras dédiées louées, etc. Et dit encore 
>> autrement, si l'on veut globalement diminuer le niveau de bruit des DDoS sur 
>> internet, à quel type de source (sécurisation des accès résidentiels, infras 
>> dédiées, etc.) devons-nous nous intéresser. Intuitivement, depuis les 
>> épisodes de Mirai, on pense que l'IoT, domestique ou professionnel, occupe 
>> une grande part, mais nous aimerions vérifier cela. Et s'il s'agit bien de 
>> la source majoritaire, alors il sera légitime de s'interroger sur des 
>> mécanismes de sécurité que l'on pourrait déployer au niveau domestique. 
>> Concrètement, nous cherchons à avoir accès à des traces d'attaques DDoS 
>> subies (pcap, netflow). Nous avons un script qui peut-être exécuté soit par 
>> nous, soit du côté de la capture. En sortie de ce script, il n'y a plus d'IP 
>> précise ou de data, uniquement des netblocks, et il peut donc être plus 
>> simple côté confidentialité de l'exécuter du côté de l'organisation qui 
>> aurait de telles captures. Pour ces captures, on part un peu à l'aventure 
>> :). Ainsi, on tente si, par hasard, quelqu'un ici aurait 

Re: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Francois Lesueur]

Bonjour,

Le 06/05/2020 à 19:22, Michel Py a écrit :
> Cà ne va pas être facile d'obtenir des données valides, car ni les 
> entreprises visées ni les vendeurs de solutions de mitigation n'ont intérêt à 
> publier leur données.

Et oui, c'est clair :). D'ailleurs, c'est aussi pour ça que ça nous
intéresse, justement. Tout le monde a un sentiment sur la provenance des
DDoS, certains ont des éléments d'analyse et de preuve (c'est,
évidemment, le cas des Cloudflare & co, et probablement pas mal
d'autres, notamment ici, ont une vision claire des choses). Mais pour le
reste, on dépend souvent d'infos de seconde main ou d'analyses opaques.
Dans ce travail, on ne cherche pas à faire de l'innovation ou à lancer
des fusées dans l'espace, mais à essayer d'amener des éléments sur le
sujet dans la connaissance commune partagée. À notre (toute) petite
échelle, évidemment.

Et comme c'est (pour l'instant) un stage et qu'on a déjà des traces qui
nous permettent de valider le travail de stage (du point de vue
scolarité), on a pas grand risque à tenter !

>> c'est une première piste pour essayer d'évaluer
>> le "taux de spoofing" par différence entre TCP et UDP.
> 
> Quel intérêt de le connaitre ? Non seulement çà change tout le temps, en plus 
> çà change probablement en fonction de la cible. Le profil d'attaque DDoS qui 
> viserait ton serveur de jeux n'est probablement pas le même que si c'était un 
> site web gouvernemental ou une publication politisée.

Si on arrive à évaluer/cadrer dans une fourchette ce taux de spoofing,
ça peut nous permettre d'estimer un intervalle de confiance sur nos
résultats d'analyse. On aura des hypothèses à faire, qui seront
discutables mais qu'on essaiera d'analyser et de valider au mieux (mais
si déjà on pose des hypothèses claires, ce sera un bon début). Ensuite,
le fait de poser une estimation sur ce taux de spoofing peut nous
permettre, par exemple, si on dit que "80% du volume des DDoS vient
d'accès résidentiel compromis", savoir si on parle 80% +/- 5%, ou 80%
+/- 50% :). Et si on refait le même genre d'analyse 3 ans plus tard, et
que le DDoS résidentiel est passé à 85% grâce au FTTH, savoir si ces 5%
sont pertinents ou dans la marge d'erreur.

Idéalement, dans ce travail, on aimerait avoir une analyse publique,
diffusable, criticable, et qui permette d'estimer l'impact que pourrait
avoir certains types de contre-mesures contre les DDoS. Par exemple,
quel impact si on commençait à instrumenter les routeurs domestiques
(libres genre openwrt, brique internet, ou box) pour que,
collaborativement, chaque routeur puisse détecter si son LAN est en
train de participer à un DDoS et ainsi le couper à la source ? Au-delà
des questions de déploiement (les sources n'ont pas forcément
d'incentive à le faire), quel serait l'impact de ce lieu de mitigation ?
Probablement élevé, mais à quel point ? Serait-ce suffisant pour pouvoir
se passer de Cloudflare, par exemple ?

Cordialement,
François Lesueur


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Distributeurs Mellanox

[Les News]

+ Franck en CC

Bruno

> Le 7 mai 2020 à 09:56, Christian ROLLAND  a écrit :
> 
> Bonjour la liste,
> 
> Nous sommes à la recherche d'un distributeur Mellanox pour la partie IP, dans 
> un premier temps, éventuellement la partie IB dans le futur. Notre 
> distributeur actuel nous a lâché.
> 
> Merci d'avance,
> 
> Christian ROLLAND
> -- 
> Christian ROLLANDESRF
> Network AdministratorEuropean Synchrotron Radiation Facility
> Phone : +33 (0)476 88 20 69  71 avenue des Martyrs
> Email : roll...@esrf.eu  38000 GRENOBLE - FRANCE
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Distributeurs Mellanox

[Franck Jonas]

Bonjour Christian
Merci de me contacter en MP pour de plus amples infos
Merci
Amicalement


Franck Jonas
Regional Sales Manager France
Mellanox Technologies
Cell: +33 7 86 49 74 56
Email: fran...@mellanox.com
 

 
 
 

Le 07/05/2020 10:09, « frnog-requ...@frnog.org au nom de Christian ROLLAND » 
 a écrit :



On 07/05/2020 10:03, Guillaume Tournat via frnog wrote:
> Bonjour,
> 
> Deux liens qui répondent à la question :
> 
> https://www.mellanox.com/how-to-buy/distributors
> 
> https://www.mellanox.com/how-to-buy/emea-resellers
> 
> 
> gu!llaume
> 
Oui.
Je précise ma pensée : qui éviter dans ces deux listes ?
Désolé pour cet oubli dans mon message initial.

  Christian
-- 
Christian ROLLANDESRF
Network AdministratorEuropean Synchrotron Radiation Facility
Phone : +33 (0)476 88 20 69  71 avenue des Martyrs
Email : roll...@esrf.eu  38000 GRENOBLE - FRANCE


---
Liste de diffusion du FRnOG

https://eur03.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2Fdata=02%7C01%7Cfranckj%40mellanox.com%7C41c3a99569d54205437d08d7f25ded5a%7Ca652971c7d2e4d9ba6a4d149256f461b%7C0%7C1%7C637244357557177497sdata=wwGTuzeyYTqkX94kvRHcILoOk8kmJEZZ8BtzYQNIK5k%3Dreserved=0


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Distributeurs Mellanox

[Christian ROLLAND]

On 07/05/2020 10:03, Guillaume Tournat via frnog wrote:

Bonjour,

Deux liens qui répondent à la question :

https://www.mellanox.com/how-to-buy/distributors

https://www.mellanox.com/how-to-buy/emea-resellers


gu!llaume


Oui.
Je précise ma pensée : qui éviter dans ces deux listes ?
Désolé pour cet oubli dans mon message initial.

  Christian
--
Christian ROLLANDESRF
Network AdministratorEuropean Synchrotron Radiation Facility
Phone : +33 (0)476 88 20 69  71 avenue des Martyrs
Email : roll...@esrf.eu  38000 GRENOBLE - FRANCE


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Distributeurs Mellanox

[Guillaume Tournat via frnog]

Bonjour,

Deux liens qui répondent à la question :

https://www.mellanox.com/how-to-buy/distributors

https://www.mellanox.com/how-to-buy/emea-resellers


gu!llaume


Le 07/05/2020 à 09:56, Christian ROLLAND a écrit :

Bonjour la liste,

Nous sommes à la recherche d'un distributeur Mellanox pour la partie 
IP, dans un premier temps, éventuellement la partie IB dans le futur. 
Notre distributeur actuel nous a lâché.


Merci d'avance,

  Christian ROLLAND



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] Distributeurs Mellanox

[Christian ROLLAND]

Bonjour la liste,

Nous sommes à la recherche d'un distributeur Mellanox pour la partie IP, 
dans un premier temps, éventuellement la partie IB dans le futur. Notre 
distributeur actuel nous a lâché.


Merci d'avance,

  Christian ROLLAND
--
Christian ROLLANDESRF
Network AdministratorEuropean Synchrotron Radiation Facility
Phone : +33 (0)476 88 20 69  71 avenue des Martyrs
Email : roll...@esrf.eu  38000 GRENOBLE - FRANCE


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Prochaine assemblée générale du RIPE - Vote pour le renouvellement de trois siège au board

[Clement Cavadore]

Je l'ai rapporté sur la mailing "member-discuss", sans le nommer:
https://www.ripe.net/ripe/mail/archives/members-discuss-unmoderated/202
0-May/32.html

Espérons que ca passe la modération (ca devrait, j'imagine, vu que je
suis resté générique sans attaque personnelle, même si tout le monde
saura de qui il s'agit) :-)


Clément

On Thu, 2020-05-07 at 09:33 +0200, thomas via frnog wrote:
> enfreindre le copyright de la base Ripe pour spammer sa propre
> promotion  Je rêve. 
> 
> Encore un cas d abuse de la base des LIR a reporter @ supp...@ripe.ne
> t. 
> 
> 
> 
> Le 7 mai 2020 09:03, "Paul Rolland (ポール・ロラン)"  a
> écrit :
> Bonjour,
> 
> On Thu, 7 May 2020 04:07:48 +0200
> Arnaud Launay  wrote:
> 
> > Le Fri, May 01, 2020 at 01:54:30PM +0200, Clement Cavadore a écrit:
> > > Outre le mariole dont on a initialement parlé (Elad Cohen), qui
> est  
> > 
> > Il vient d'envoyer un spam^W mail^W spam, probablement à tous les
> > membres du RIPE... Il a le droit de faire ce genre de trucs ? Ce
> 
> De mon cote, j'ai recu et j'ai bien rigole ! Serieusement, je me
> demande comment j'allais faire dans les 10 prochaines annees sans
> implementer IPv4+. Me voila maintenant rassure, la transition entre
> IPv4 et
> IPv6 est toute trouvee...
> 
> Bon vendredi (oui, en France, c'est a nouveau vendredi), mais grace a
> lui,
> je sais que ce sera le cas.
> 
> Paul
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Prochaine assemblée générale du RIPE - Vote pour le renouvellement de trois siège au board

[thomas via frnog]

enfreindre le copyright de la base Ripe pour spammer sa propre promotion  Je rêve. Encore un cas d abuse de la base des LIR a reporter @ supp...@ripe.net. Le 7 mai 2020 09:03, "Paul Rolland (ポール・ロラン)"  a écrit :Bonjour,

On Thu, 7 May 2020 04:07:48 +0200
Arnaud Launay  wrote:

> Le Fri, May 01, 2020 at 01:54:30PM +0200, Clement Cavadore a écrit:
> > Outre le mariole dont on a initialement parlé (Elad Cohen), qui est  
> 
> Il vient d'envoyer un spam^W mail^W spam, probablement à tous les
> membres du RIPE... Il a le droit de faire ce genre de trucs ? Ce

De mon cote, j'ai recu et j'ai bien rigole ! Serieusement, je me
demande comment j'allais faire dans les 10 prochaines annees sans
implementer IPv4+. Me voila maintenant rassure, la transition entre IPv4 et
IPv6 est toute trouvee...

Bon vendredi (oui, en France, c'est a nouveau vendredi), mais grace a lui,
je sais que ce sera le cas.

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Prochaine assemblée générale du RIPE - Vote pour le renouvellement de trois siège au board

[Paul Rolland (ポール・ロラン)]

Bonjour,

On Thu, 7 May 2020 04:07:48 +0200
Arnaud Launay  wrote:

> Le Fri, May 01, 2020 at 01:54:30PM +0200, Clement Cavadore a écrit:
> > Outre le mariole dont on a initialement parlé (Elad Cohen), qui est  
> 
> Il vient d'envoyer un spam^W mail^W spam, probablement à tous les
> membres du RIPE... Il a le droit de faire ce genre de trucs ? Ce

De mon cote, j'ai recu et j'ai bien rigole ! Serieusement, je me
demande comment j'allais faire dans les 10 prochaines annees sans
implementer IPv4+. Me voila maintenant rassure, la transition entre IPv4 et
IPv6 est toute trouvee...

Bon vendredi (oui, en France, c'est a nouveau vendredi), mais grace a lui,
je sais que ce sera le cas.

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/