Bonjour, Je vois avec plaisir que le sujet a pris. par mon activité professionnele, je suis le sujet de manière assez proche. Comme évoqué dans le sujet, pour 90% des attaques les plus volumétriques, résoudre le problème du spoofing serait vraiment bénéfique. Avec l'avènement du cloud, j'ai vu passer aussi des attaques passant par des VM piratées/louées pour un laps de temps de très court probablement avec des identifiants CB servant de générateurs de trafic bruts UDP sur des ports aléatoires au débit assez important.
Les resolveurs DNS répondant à tout le monde ainsi que les serveurs LDAP ouverts vers internet un UDP sans authentification, sont aussi une belle plaie. Pour terminer sur tes questions précises, j'ai vu passer une étude très intéressante (à laquelle DECIX a activement contribué) qui consistait entre autres à louer des services de plusieurs DDOS Stressers pour s'autoattaquer et identifier les serveurs relais utilisés par différents DDOS stressers en nombre, débit généré par chaque relais et constance de leur présence sur une durée longu : "DDoS Hide & Seek: On the Effectiveness of a Booter Services Takedown" https://www.de-cix.net/Files/1294bfa5ab32ebdfe8a1013b478099f80f0fd9fb/Research-paper-DDoS-Hide-and-Seek-On-the-Effectiveness-of-a-Booter-Services-Takedown.pdf D'autre part, au niveau académique, ce professeur associé s'est beaucoup intéressé à la thématique DDOS, sujet principal de son PhD "DDoS-as-a-Service - Investigating Booter Websites". ( et fait partie des co-auteurs de l'étude au-dessus) https://people.utwente.nl/j.j.santanna https://ris.utwente.nl/ws/portalfiles/portal/18494043/jjsantanna_thesis.pdf Bien à vous, Alain Iltchev Le mer. 6 mai 2020 à 10:11, Francois Lesueur <[email protected]> a écrit : > Bonjour, > > Je suis enseignant-chercheur à l'INSA Lyon, dans le domaine de la > sécurité et des systèmes distribués. J'encadre actuellement une > étudiante en stage qui étudie l'écosystème des DDoS. C'est mon premier > message sur cette liste, j'espère que je ne serai pas hors-sujet et si > je le suis, je m'excuse d'avance pour le bruit... > > Plus précisément, nous nous intéressons à qualifier les relais > d'attaques (ie, les machines compromises ou louées par l'attaquant réel) > lors de DDoS volumiques. Ainsi, et sauf erreur de notre part, même s'il > existe certaines infos sur les tailles de botnet ou les services > attaqués par DDoS, la contribution des différents types de relais à une > attaque DDoS semble peu étudiée. Dit autrement, quand on subit un DDoS, > comment se répartit le trafic reçu entre des accès résidentiels, des > entreprises compromises, des infras dédiées louées, etc. Et dit encore > autrement, si l'on veut globalement diminuer le niveau de bruit des DDoS > sur internet, à quel type de source (sécurisation des accès > résidentiels, infras dédiées, etc.) devons-nous nous intéresser. > > Intuitivement, depuis les épisodes de Mirai, on pense que l'IoT, > domestique ou professionnel, occupe une grande part, mais nous aimerions > vérifier cela. Et s'il s'agit bien de la source majoritaire, alors il > sera légitime de s'interroger sur des mécanismes de sécurité que l'on > pourrait déployer au niveau domestique. > > Concrètement, nous cherchons à avoir accès à des traces d'attaques DDoS > subies (pcap, netflow). Nous avons un script qui peut-être exécuté soit > par nous, soit du côté de la capture. En sortie de ce script, il n'y a > plus d'IP précise ou de data, uniquement des netblocks, et il peut donc > être plus simple côté confidentialité de l'exécuter du côté de > l'organisation qui aurait de telles captures. > > Pour ces captures, on part un peu à l'aventure :). Ainsi, on tente si, > par hasard, quelqu'un ici aurait accès à cela et serait prêt à en > discuter. Vous trouverez également un document de présentation un peu > plus complet que ce mail ici : > > https://filesender.renater.fr/?s=download&token=b5f0abd5-105c-469a-a927-e579befaa5de > > Cordialement, > -- > François Lesueur > Maître de conférences > INSA de Lyon / Département Télécommunications > CITI-Inria / Équipe "DynaMid" > Web : http://perso.citi-lab.fr/flesueur/ > Tél : +33 4 72 43 73 20 > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
