Re: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Francois Lesueur]

Le 09/05/2020 à 11:08, Archange a écrit :
> Ça me fait penser au Turris Omnia, mais qui fonctionne plutôt en mode honey 
> pot pour la collecte de donnés (en même temps, les gens avec ce genre de 
> routeurs chez eux sont a priori moins susceptibles d’avoir un Windows 
> compromis derrière).

Oui, je pense que le Turris, openwrt, les briques internet, ce sont des
bonnes cibles pour expérimenter ce genre de choses. Ça n'a pas d'impact
sur le poids global (peu importe ceux qui ont un windows derrière, la
proportion d'accès derrière ces routeurs est assez négligeable). Mais ça
peut servir de PoC, et voir ce qu'on peut apporter comme feature pour le
valoriser.

Par exemple, si on détecte (par collaboration avec d'autres) qu'on a un
device sur notre réseau qui participe à un DDoS, alors ça veut dire
qu'on est capable de faire un dashboard sur ce routeur qui affiche
l'état de santé/compromission des devices de notre réseau domestique. Et
donc, en tant qu'utilisateur, pouvoir constater qu'on a un device
compromis, c'est cool ! C'est juste le principe d'un IDS, les réseaux
domestiques deviennent de petits SI, donc exploiter des mécaniques d'IDS
semble sensé, modulo qu'on trouve le bon format/affichage/adaptation à
l'usage (qui n'est pas un admin mais un utilisateur domestique). J'ai
perdu les noms, mais il y a des choses comme ça qui existent, qui
supervisent un peu l'IoT local. Mais je ne sais plus s'il y a des choses
libres.

François


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Francois Lesueur]

Hello,

Le 08/05/2020 à 03:02, Michel Py a écrit :
> 
> Francois Lesueur, j'ai une idée pour toi :
> Tu ouvres un nouveau site web du genre lesgensdedroitesonttousdescons.fr, 
> avec le contenu qui va bien.
> Sur la même IP, tu mets aussi lesgensdegauchesonttousdescons.fr, et n'oublie 
> pas les centristes et l'extrême-droite et l'extrême-gauche aussi, faut 
> ratisser large. Ton DDoS que tu peux mesurer n'est pas loin :P
> 

Héhé, oui, et vues les lignes éditoriales ça doit être assez facile à
faire et un beau projet pour un stagiaire d'école en journalisme ? Bon,
je mets ça dans mes pistes et si ça se fait je t'appelle :)

> Je plussoie, mais qu'à moitié. Ce raisonnement, c'est valable pour les petits 
> mais pas pour les tier-1. Une DDoS, qui c'est que çà emmerde (à part la 
> cible, mais çà ne compte pas) ? Je dirais le petit hébergeur qui n'a qu'un 
> petit tuyau. Les tier-2 et les CDN çà ne va pas leur plaire, mais comparé à 
> l'argent qu'ils peuvent se faire en revendant les solutions de mitigation, 
> c'est des cacahouètes. Quand aux tier-1, j'ai bien l'impression qu'ils s'en 
> foutent.

Je pense pareil (et les CDN offrent un service qui est tout autant le
CND historique que l'anti-ddos, justement). Et du coup, ces attaques
volumétriques, on est bien sur quelque chose qui "déséquilibre"
internet, en compliquant énormément l'arrivée de nouveaux petits acteurs
(pour la diversité) au bénéfice des gros qui sont déjà en place. C'est
un peu la guerre de l'internet artisanal contre l'internet du business
(?), la raison imposerait d'accepter que le business a gagné, mais je
fais partie de ceux qui ont du mal à le reconnaître et l'accepter :)

>> Chouette, encore plus de DDoS, c'est cool j'aurais plus de clients :)
> 
> :P juste ce que je disais !!!

Clair :)

François


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Archange]

Le 7 mai 2020 19:12:04 GMT+02:00, Richard Klein  a écrit 
:
>Bonjour,
>
>Une question que je me pose sur 100% de data mondial combien représente le
>DDos, autres attaques et flux blackhole?
>Ce pourcentage d'attaque est équivalent a combien en euros/dollars?
>Si cela représente un bruit de fond il est évident que personne ne bougera.
>Par contre si une etude sérieuse demontre l'intérêt de mettre un filtrage
>ou des contres mesures cela bougera
>Nos boxs a la maison sous Android si elles étaient un peux plus open
>seraient une bonne sonde pour ce type d'études avec une apk installé pour
>remonter les stats et mettre en place du filtrage 

Ça me fait penser au Turris Omnia, mais qui fonctionne plutôt en mode honey pot 
pour la collecte de donnés (en même temps, les gens avec ce genre de routeurs 
chez eux sont a priori moins susceptibles d’avoir un Windows compromis 
derrière).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Michel Py]

> Alain Iltchev a écrit :
> https://www.de-cix.net/Files/1294bfa5ab32ebdfe8a1013b478099f80f0fd9fb/Research-paper-DDoS-Hide-and-Seek-On-the-Effectiveness-of-a-Booter-Services-Takedown.pdf
> https://people.utwente.nl/j.j.santanna
> https://ris.utwente.nl/ws/portalfiles/portal/18494043/jjsantanna_thesis.pdf

Très intéressant, je ne connaissais pas.

> Avec l'avènement du cloud, j'ai vu passer aussi des attaques passant par des 
> VM piratées/
> louées pour un laps de temps de très court probablement avec des identifiants 
> CB servant
> de générateurs de trafic bruts UDP sur des ports aléatoires au débit assez 
> important.

Oui hélas, on peut louer une VM avec GigE pour presque rien ces jour-ci, et les 
scripts de déploiement sont bien rodés.
Cloud Based DDoS As a Service :-(

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Damien Wetzel]

En fait il serait interressant de connaitre les statistiques d' attaques DDOS 
niveau réseau sur les CDNs
car je suppose malgré tout qu'ils doivent bien être attaqués et que même en 
ayant beaucoup de POPs, les attaquants
doivent pouvoir faire des dégats en ciblent un POP en particulier.

Je connais des gens qui mettent un CDN uniquement comme outil de protection 
DDOS réseau
utilisé en proxy sans fonction de cache, je pense que c'est plutot inutile car 
en cas
d'attaque soutenue, ils seraient débranchés par le CDN.

Je n'ai encore jamais été témoin d'attaques DDOS http qui bypassent le CDN
et bombarde l'origine, je suppose que ca doit arriver mais que c'est 
relativement rare.
Cordialement,
Damien 


Michel Py writes:
 > > Damien Wetzel a écrit :
 > > De mon point de vue les attaques DDOS volumetriques importantes pour les
 > > fournisseurs de contenus utilisant des CDN semblent relativement rares à
 > > moins d'être dans des secteurs specifiques comme le gaming ou autre.
 > 
 > Il est clair que le CDN complique la vie de l'attaqueur, car les CDN ont une 
 > surface d'attaque gigantesque : quand je regarde ton site web il est à 
 > Pasadena en Californie à même pas 20ms de chez moi, donc c'est clair que le 
 > DNS adaptif a bien fait son boulot. Il y a eu un hoquet ceci dit, pendant 
 > quelques secondes le cache que j'accédais n'était pas à jour.
 > 
 > Ceci étant dit, une bonne attaque DDoS ne va pas se fier au DNS adaptif du 
 > CDN.
 > 
 > Michel.
 > 

-- 



~
Damien WETZEL (ATANAR TECHNOLOGIES)("`-/")_.-'"``-._
http://www.atanar.com  . . `; -._)-;-,_`)
  (v_,)'  _  )`-.\  ``-'
Phone:+33 9 67 35 09 05_.- _..-_/ / ((.'
- So much to do, so little time -   ((,.-'   ((,/
~


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Alain Iltchev]

Bonjour,

Je vois avec plaisir que le sujet a pris. par mon activité professionnele,
je suis le sujet de manière assez proche. Comme évoqué dans le sujet, pour
90% des attaques les plus volumétriques, résoudre le problème du spoofing
serait vraiment bénéfique. Avec l'avènement du cloud, j'ai vu passer aussi
des attaques passant par des VM piratées/louées pour un laps de temps de
très court probablement avec des identifiants CB servant de générateurs de
trafic bruts UDP sur des ports aléatoires au débit assez important.

 Les resolveurs DNS répondant à tout le monde ainsi que les serveurs LDAP
ouverts vers internet un UDP sans authentification, sont aussi une belle
plaie.

Pour terminer sur tes questions précises, j'ai vu passer une étude très
intéressante (à laquelle DECIX a activement contribué)  qui consistait
entre autres à louer des services de plusieurs DDOS Stressers pour
s'autoattaquer et identifier les serveurs relais utilisés par différents
DDOS stressers en nombre, débit généré par chaque relais et constance de
leur présence sur une durée longu : "DDoS Hide & Seek: On the Effectiveness
of a Booter Services Takedown"

https://www.de-cix.net/Files/1294bfa5ab32ebdfe8a1013b478099f80f0fd9fb/Research-paper-DDoS-Hide-and-Seek-On-the-Effectiveness-of-a-Booter-Services-Takedown.pdf

D'autre part, au niveau académique, ce professeur associé s'est beaucoup
intéressé à la thématique DDOS, sujet principal de son PhD
"DDoS-as-a-Service - Investigating Booter Websites". ( et fait partie des
co-auteurs de l'étude au-dessus)

https://people.utwente.nl/j.j.santanna
https://ris.utwente.nl/ws/portalfiles/portal/18494043/jjsantanna_thesis.pdf

Bien à vous,

Alain Iltchev

Le mer. 6 mai 2020 à 10:11, Francois Lesueur 
a écrit :

> Bonjour,
>
> Je suis enseignant-chercheur à l'INSA Lyon, dans le domaine de la
> sécurité et des systèmes distribués. J'encadre actuellement une
> étudiante en stage qui étudie l'écosystème des DDoS. C'est mon premier
> message sur cette liste, j'espère que je ne serai pas hors-sujet et si
> je le suis, je m'excuse d'avance pour le bruit...
>
> Plus précisément, nous nous intéressons à qualifier les relais
> d'attaques (ie, les machines compromises ou louées par l'attaquant réel)
> lors de DDoS volumiques. Ainsi, et sauf erreur de notre part, même s'il
> existe certaines infos sur les tailles de botnet ou les services
> attaqués par DDoS, la contribution des différents types de relais à une
> attaque DDoS semble peu étudiée. Dit autrement, quand on subit un DDoS,
> comment se répartit le trafic reçu entre des accès résidentiels, des
> entreprises compromises, des infras dédiées louées, etc. Et dit encore
> autrement, si l'on veut globalement diminuer le niveau de bruit des DDoS
> sur internet, à quel type de source (sécurisation des accès
> résidentiels, infras dédiées, etc.) devons-nous nous intéresser.
>
> Intuitivement, depuis les épisodes de Mirai, on pense que l'IoT,
> domestique ou professionnel, occupe une grande part, mais nous aimerions
> vérifier cela. Et s'il s'agit bien de la source majoritaire, alors il
> sera légitime de s'interroger sur des mécanismes de sécurité que l'on
> pourrait déployer au niveau domestique.
>
> Concrètement, nous cherchons à avoir accès à des traces d'attaques DDoS
> subies (pcap, netflow). Nous avons un script qui peut-être exécuté soit
> par nous, soit du côté de la capture. En sortie de ce script, il n'y a
> plus d'IP précise ou de data, uniquement des netblocks, et il peut donc
> être plus simple côté confidentialité de l'exécuter du côté de
> l'organisation qui aurait de telles captures.
>
> Pour ces captures, on part un peu à l'aventure :). Ainsi, on tente si,
> par hasard, quelqu'un ici aurait accès à cela et serait prêt à en
> discuter. Vous trouverez également un document de présentation un peu
> plus complet que ce mail ici :
>
> https://filesender.renater.fr/?s=download=b5f0abd5-105c-469a-a927-e579befaa5de
>
> Cordialement,
> --
> François Lesueur
> Maître de conférences
> INSA de Lyon / Département Télécommunications
> CITI-Inria / Équipe "DynaMid"
> Web : http://perso.citi-lab.fr/flesueur/
> Tél : +33 4 72 43 73 20
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Michel Py]

>> Richard Klein a écrit :
>> Une question que je me pose sur 100% de data mondial combien
>> représente le DDos, autres attaques et flux blackhole?

> Raphael Maunier a écrit :
> Impossible d'avoir des datas fiables. Personne partage
> 100% de ses datas et de ses attaques

+1


Francois Lesueur, j'ai une idée pour toi :
Tu ouvres un nouveau site web du genre lesgensdedroitesonttousdescons.fr, avec 
le contenu qui va bien.
Sur la même IP, tu mets aussi lesgensdegauchesonttousdescons.fr, et n'oublie 
pas les centristes et l'extrême-droite et l'extrême-gauche aussi, faut ratisser 
large. Ton DDoS que tu peux mesurer n'est pas loin :P



>> Richard Klein a écrit :
>> Ce pourcentage d'attaque est équivalent a combien en euros/dollars?
>> Le cout n'est pas tant la surfacturation sur 1 mois de la BP, mais
>> l'impact économique si l'infra est par terre pendant x heures.

> Raphael Maunier a écrit :
> Ce cout est bien souvent largement supérieur pour certains au cout
> total de la solution annuelle de protection DDoS

Je plussoie, mais qu'à moitié. Ce raisonnement, c'est valable pour les petits 
mais pas pour les tier-1. Une DDoS, qui c'est que çà emmerde (à part la cible, 
mais çà ne compte pas) ? Je dirais le petit hébergeur qui n'a qu'un petit 
tuyau. Les tier-2 et les CDN çà ne va pas leur plaire, mais comparé à l'argent 
qu'ils peuvent se faire en revendant les solutions de mitigation, c'est des 
cacahouètes. Quand aux tier-1, j'ai bien l'impression qu'ils s'en foutent.

> Chouette, encore plus de DDoS, c'est cool j'aurais plus de clients :)

:P juste ce que je disais !!!

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Raphael Maunier]

On 07/05/2020 20:10, Damien Wetzel wrote:

Bonsoir à tous,

Etant revendeur de solutions anti ddos,WAF, je trouve ce milieu un peu confus
car les termes sont flous.

Premierement qu'est ce un DDOS ? est ce que cela implique forcement une notion 
de
volume donc de bande passante ?

oui, "facile a bloquer"

est ce que ca ne va que jusqu'aux niveaux IP/TCP ?

oui, moins facile on dira

  quid de HTTP ?
et oui, difficile s'il n'y a que de la protection L4, s'il y a du L7, 
c'est plus simple, mais si c'est violent c'est beaucoup plus "couteux" 
en ingénierie lorsque c'est complexe


De mon point de vue les attaques DDOS volumetriques importantes pour les 
fournisseurs de contenus utilisant des
CDN semblent relativement rares à moins d'être dans des secteurs specifiques 
comme le gaming ou autre.


Tout ce qui est e-commerce ou avec un soupçon de "politique" ( genre 
meme site comme MSF, si si  ... ) se fait tester au moins plusieurs fois 
par jour.




Cordialement,
Damien

Michel Py writes:
  > > Richard Klein a écrit :
  > > Une question que je me pose sur 100% de data mondial combien
  > > représente le DDos, autres attaques et flux blackhole?
  >
  > J'aimerais bien savoir aussi mais c'est quasiment impossible à mesurer.
  >
  > > Ce pourcentage d'attaque est équivalent a combien en euros/dollars?
  > > Si cela représente un bruit de fond il est évident que personne ne 
bougera.
  >
  > AMHA, le status quo est déjà établi. Il y a deux facteurs économiques qui 
vont au contraire de faire quelque chose pour limiter les DDoS :
  >
  > 1. Le trafic des DDoS est facturable pareil que le trafic légit.
  > 2. C'est une opportunité commerciale de vendre au client une solution 
anti-DDoS.
  >
  > Les DDoS, malheureusement, représentent un marché qui fait vivre beaucoup 
de monde; je ne vois pas çà s'arrêter.
  >
  > Michel.
  >
  >
  > ---
  > Liste de diffusion du FRnOG
  > http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Raphael Maunier]

On 07/05/2020 19:12, Richard Klein wrote:

Bonjour,

Une question que je me pose sur 100% de data mondial combien représente le
DDos, autres attaques et flux blackhole?


Impossible d'avoir des datas fiables. Personne partage 100% de ses datas 
et de ses attaques



Ce pourcentage d'attaque est équivalent a combien en euros/dollars?


Le cout n'est pas tant la surfacturation sur 1 mois de la BP, mais 
l'impact économique si l'infra est par terre pendant x heures.


Ce cout est bien souvent largement supérieur pour certains au cout total 
de la solution annuelle de protection DDoS



Si cela représente un bruit de fond il est évident que personne ne bougera.
Par contre si une etude sérieuse demontre l'intérêt de mettre un filtrage
ou des contres mesures cela bougera
des attaques il y en a tout le temps. C'est un bruit de fond pour les 
gens qui font de la protection, on parle de qq 10aines de giga en flux . 
C'est peanuts pour nous, mais pour qqn qui n'a que 2 ou 3 ports 10G, 
c'est beaucoup

Nos boxs a la maison sous Android si elles étaient un peux plus open
seraient une bonne sonde pour ce type d'études avec une apk installé pour
remonter les stats et mettre en place du filtrage 

Chouette, encore plus de DDoS, c'est cool j'aurais plus de clients :)

Richard

Le jeu. 7 mai 2020 à 19:00, Michel Py 
a écrit :


Francois Lesueur a écrit :
Par exemple, quel impact si on commençait à instrumenter les routeurs

domestiques (libres

genre openwrt, brique internet, ou box) pour que, collaborativement,

chaque routeur puisse

détecter si son LAN est en train de participer à un DDoS et ainsi le

couper à la source ?

Au-delà des questions de déploiement (les sources n'ont pas forcément

d'incentive à le faire),

C'est bien là ou est le problème. Je pense que 80% du volume venant de
l'accès résidentiel compromis est une hypothèse valable, mais l'histoire a
déjà prouvé que tout le monde s'en fout : même en enlevant la chose
relativement nouvelle de l'IoT, çà fait des lustres qu'on aurait pu, en
plus de Windows Firewall, incorporer un machin qui détecterait au niveau du
PC de Claude Michu que ce PC est en train de faire des trucs pas propres,
même si l'antivirus n'a rien vu venir. Et personne n'a rien fait.

En ce qui concerne les FAI, ils sont déjà pas foutus de détecter les
paquets spoofés (je ne dis pas que c'est facile), donc modifier leur
machinbox pour ce que tu suggeste je ne vois pas çà arriver.


quel serait l'impact de ce lieu de mitigation ? Probablement élevé, mais

à quel

point ? Serait-ce suffisant pour pouvoir se passer de Cloudflare, par

exemple ?

Cà serait une super idée, ceci dit; mais je ne pense pas. Vu la volumétrie
actuelle, les gens comme Harbor ont de beaux jours devant eux, AMHA.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Michel Py]

> Damien Wetzel a écrit :
> De mon point de vue les attaques DDOS volumetriques importantes pour les
> fournisseurs de contenus utilisant des CDN semblent relativement rares à
> moins d'être dans des secteurs specifiques comme le gaming ou autre.

Il est clair que le CDN complique la vie de l'attaqueur, car les CDN ont une 
surface d'attaque gigantesque : quand je regarde ton site web il est à Pasadena 
en Californie à même pas 20ms de chez moi, donc c'est clair que le DNS adaptif 
a bien fait son boulot. Il y a eu un hoquet ceci dit, pendant quelques secondes 
le cache que j'accédais n'était pas à jour.

Ceci étant dit, une bonne attaque DDoS ne va pas se fier au DNS adaptif du CDN.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Michel Py]

> Damien Wetzel a écrit :
> Premierement qu'est ce un DDOS ?

Littérallement, Distributed Denial Of Service. On sature la cible par 
différents moyens jusqu'à ce qu'elle soit tellement saturée qu'elle ne réponde 
plus.

> est ce que cela implique forcement une notion de volume

Oui, mais pas forcément en Bps. Cà peut être en Pps aussi.

> donc de bande passante ?

Variable. Il y a des DDoS qui sont basées sur la bande passante uniquement : si 
on sait que la cible a 10G de bande passante, possiblement avec des paquets de 
taille importante, en envoyant 15G on la tue.
Mais il y a aussi des DDoS qui ne sont pas basés sur la bande passante, par 
exemple une attaque SYN/ACK.

> est ce que ca ne va que jusqu'aux niveaux IP/TCP ?

Non, ca peut aller jusqu'au niveau 7.

> quid de HTTP ?

Certainement, HTTP est une cible pour une attaque SYN/ACK qui sature le serveur 
web, pas le réseau.

Il y a une multitude de possibilités pour faire de la DDoS, la volumétrie en 
bande passante n'étant qu'un des choix possibles.

P.S : sur ton site www, quand je clique sur les onglets j'ai çà :
Forbidden You don't have permission to access /services on this server.

Michel.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Damien Wetzel]

Bonsoir à tous,

Etant revendeur de solutions anti ddos,WAF, je trouve ce milieu un peu confus
car les termes sont flous.

Premierement qu'est ce un DDOS ? est ce que cela implique forcement une notion 
de
volume donc de bande passante ? est ce que ca ne va que jusqu'aux niveaux 
IP/TCP ? quid de HTTP ?

De mon point de vue les attaques DDOS volumetriques importantes pour les 
fournisseurs de contenus utilisant des
CDN semblent relativement rares à moins d'être dans des secteurs specifiques 
comme le gaming ou autre.

Cordialement,
Damien

Michel Py writes:
 > > Richard Klein a écrit :
 > > Une question que je me pose sur 100% de data mondial combien
 > > représente le DDos, autres attaques et flux blackhole?
 > 
 > J'aimerais bien savoir aussi mais c'est quasiment impossible à mesurer.
 > 
 > > Ce pourcentage d'attaque est équivalent a combien en euros/dollars?
 > > Si cela représente un bruit de fond il est évident que personne ne bougera.
 > 
 > AMHA, le status quo est déjà établi. Il y a deux facteurs économiques qui 
 > vont au contraire de faire quelque chose pour limiter les DDoS :
 > 
 > 1. Le trafic des DDoS est facturable pareil que le trafic légit.
 > 2. C'est une opportunité commerciale de vendre au client une solution 
 > anti-DDoS.
 > 
 > Les DDoS, malheureusement, représentent un marché qui fait vivre beaucoup de 
 > monde; je ne vois pas çà s'arrêter.
 > 
 > Michel.
 > 
 > 
 > ---
 > Liste de diffusion du FRnOG
 > http://www.frnog.org/

-- 



~
Damien WETZEL (ATANAR TECHNOLOGIES)("`-/")_.-'"``-._
http://www.atanar.com  . . `; -._)-;-,_`)
  (v_,)'  _  )`-.\  ``-'
Phone:+33 9 67 35 09 05_.- _..-_/ / ((.'
- So much to do, so little time -   ((,.-'   ((,/
~


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Michel Py]

> Richard Klein a écrit :
> Une question que je me pose sur 100% de data mondial combien
> représente le DDos, autres attaques et flux blackhole?

J'aimerais bien savoir aussi mais c'est quasiment impossible à mesurer.

> Ce pourcentage d'attaque est équivalent a combien en euros/dollars?
> Si cela représente un bruit de fond il est évident que personne ne bougera.

AMHA, le status quo est déjà établi. Il y a deux facteurs économiques qui vont 
au contraire de faire quelque chose pour limiter les DDoS :

1. Le trafic des DDoS est facturable pareil que le trafic légit.
2. C'est une opportunité commerciale de vendre au client une solution anti-DDoS.

Les DDoS, malheureusement, représentent un marché qui fait vivre beaucoup de 
monde; je ne vois pas çà s'arrêter.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Richard Klein]

Bonjour,

Une question que je me pose sur 100% de data mondial combien représente le
DDos, autres attaques et flux blackhole?
Ce pourcentage d'attaque est équivalent a combien en euros/dollars?
Si cela représente un bruit de fond il est évident que personne ne bougera.
Par contre si une etude sérieuse demontre l'intérêt de mettre un filtrage
ou des contres mesures cela bougera
Nos boxs a la maison sous Android si elles étaient un peux plus open
seraient une bonne sonde pour ce type d'études avec une apk installé pour
remonter les stats et mettre en place du filtrage 

Richard

Le jeu. 7 mai 2020 à 19:00, Michel Py 
a écrit :

> > Francois Lesueur a écrit :
> > Par exemple, quel impact si on commençait à instrumenter les routeurs
> domestiques (libres
> > genre openwrt, brique internet, ou box) pour que, collaborativement,
> chaque routeur puisse
> > détecter si son LAN est en train de participer à un DDoS et ainsi le
> couper à la source ?
> > Au-delà des questions de déploiement (les sources n'ont pas forcément
> d'incentive à le faire),
>
> C'est bien là ou est le problème. Je pense que 80% du volume venant de
> l'accès résidentiel compromis est une hypothèse valable, mais l'histoire a
> déjà prouvé que tout le monde s'en fout : même en enlevant la chose
> relativement nouvelle de l'IoT, çà fait des lustres qu'on aurait pu, en
> plus de Windows Firewall, incorporer un machin qui détecterait au niveau du
> PC de Claude Michu que ce PC est en train de faire des trucs pas propres,
> même si l'antivirus n'a rien vu venir. Et personne n'a rien fait.
>
> En ce qui concerne les FAI, ils sont déjà pas foutus de détecter les
> paquets spoofés (je ne dis pas que c'est facile), donc modifier leur
> machinbox pour ce que tu suggeste je ne vois pas çà arriver.
>
> > quel serait l'impact de ce lieu de mitigation ? Probablement élevé, mais
> à quel
> > point ? Serait-ce suffisant pour pouvoir se passer de Cloudflare, par
> exemple ?
>
> Cà serait une super idée, ceci dit; mais je ne pense pas. Vu la volumétrie
> actuelle, les gens comme Harbor ont de beaux jours devant eux, AMHA.
>
> Michel.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Michel Py]

> Francois Lesueur a écrit :
> Par exemple, quel impact si on commençait à instrumenter les routeurs 
> domestiques (libres
> genre openwrt, brique internet, ou box) pour que, collaborativement, chaque 
> routeur puisse
> détecter si son LAN est en train de participer à un DDoS et ainsi le couper à 
> la source ?
> Au-delà des questions de déploiement (les sources n'ont pas forcément 
> d'incentive à le faire),

C'est bien là ou est le problème. Je pense que 80% du volume venant de l'accès 
résidentiel compromis est une hypothèse valable, mais l'histoire a déjà prouvé 
que tout le monde s'en fout : même en enlevant la chose relativement nouvelle 
de l'IoT, çà fait des lustres qu'on aurait pu, en plus de Windows Firewall, 
incorporer un machin qui détecterait au niveau du PC de Claude Michu que ce PC 
est en train de faire des trucs pas propres, même si l'antivirus n'a rien vu 
venir. Et personne n'a rien fait.

En ce qui concerne les FAI, ils sont déjà pas foutus de détecter les paquets 
spoofés (je ne dis pas que c'est facile), donc modifier leur machinbox pour ce 
que tu suggeste je ne vois pas çà arriver.

> quel serait l'impact de ce lieu de mitigation ? Probablement élevé, mais à 
> quel
> point ? Serait-ce suffisant pour pouvoir se passer de Cloudflare, par exemple 
> ?

Cà serait une super idée, ceci dit; mais je ne pense pas. Vu la volumétrie 
actuelle, les gens comme Harbor ont de beaux jours devant eux, AMHA.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Duchet Rémy]

> Mais est-ce que c'est vraiment du DDoS ?
Le Ddos n'est-il pas une attaque en soit ? Différente, certes, mais une attaque 
quand même. 

De mon point de vue, il me semble qu'il y a de plus en plus d'attaques 
structurés et distribués. 
Peut-être lié, justement, au fait du FTTH, et du nombre d'hébergeurs "peu 
regardant".

Rémy


smime.p7s
Description: S/MIME cryptographic signature

Re: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[raphael]

Heu,


Ah bon ? Et pourtant si, on fait du pcap en live sur les DDoS par intervalles 
réguliers sur nos boitiers répartis aux 4 coins de la planete.
Ensuite, le démarrage du Pcap se fait sur la base d'un apprentissage ou sur une 
regle pré-définie ( avec ou sans xflow)

Raphael

Le Mercredi, Mai 06, 2020 11:11 CEST, Kavé Salamatian 
 a écrit:
 Je confirme la capture des DDos ne se fait jamais en PCAP (il faudrait avoir 
une capture de paquets en permanence pour capturer un DDOS qui viendrait un 
jour). Ça se fait avec des traces netflow ou sflow. On ne difficilement 
détecter par la trace que le paquet est issue d’équipement IoT, mais on peut 
détecter que c’est un équipement IoT on faisant un scan inverse (en scannant 
l’adresse de la source de DDoS). Dans certains cas très particuliers, le 
pattern de génération des No de port source est la signature d’un équipement 
particulier (c’était le cas sur Mirai). Mais dans l’absolu non d’autant plus 
qu’un attaquant peut très bien maquiller une attaque en utilisant ce même 
pattern.

Globalement c’est très difficile de récupérer des traces d’attaques de DDos. 
Les entreprises ne veulent rien donner, car le fait d’avoir subi une attaque de 
DDos et la cible de cette attaque est une information sensible. J’ai de telles 
traces fournies par des partenaires académiques en Chine d’attaques sur des 
réseaux d’entreprise là-bas. Mais je ne peux les partager…
À l’évidence, il est beaucoup plus facile pour un français d’avoir accès à des 
traces internet (de quelle nature que ça soit) en Chine qu’en France.

Sur des attaques genre Mirai qui sont générique et qui ne ciblent pas une 
entreprise en particulier c’est assez facile d’avoir des traces, car les 
attaques bavent sur des adresses aléatoires. Pour cela il suffit de regarder le 
pare-feu de plusieurs équipements (les logs de pare-feu ça sert à ça). Voir par 
exemple 
(https://networking.ifip.org/2009/Website/proceedings/networking/1569173114.pdf)
 ça a dix ans, mais ça reste pertinent. Il y’a aussi les réseaux de pot de miel 
qui ont ces infos et qui le partagent parfois.

En tous cas, c’est une bonne idée de faire un tour de la littérature et de voir 
ce qu’on fait les anciens pour ne pas réinventer la roue.:-)

Cordialement,

Kv




> Le 6 mai 2020 à 10:32, Remi Desgrange  a écrit 
> :
>
> C'est intéressant:
>
> * Comment tu traite des gros pcap. Des gens font de grosses captures ? j'ai 
> quitté ce jeux là il y a trop longtemps. A l'époque libpcap etait pas top 
> niveau perf et sur des interfaces rapide (>1G) ça défonçait n'importe quel 
> CPU.
> * Comment tu trouve un device IoT dans le lot ? Imagine une chromecast chez 
> toi, il aura l'IPv4 publique de ta box. Et si le smart bidulle à une puce 
> 2/3/4/5G ça passera par le CG-NAT de l'opérateur ça noie le poisson non ? On 
> reconnait ça avec du fingerprinting ?
>
> Bonne chances.
> Cordialement/Best Regards, Rémi Desgrange
>
> On May 6 2020, at 10:11 am, Francois Lesueur  
> wrote:
>> Bonjour, Je suis enseignant-chercheur à l'INSA Lyon, dans le domaine de la 
>> sécurité et des systèmes distribués. J'encadre actuellement une étudiante en 
>> stage qui étudie l'écosystème des DDoS. C'est mon premier message sur cette 
>> liste, j'espère que je ne serai pas hors-sujet et si je le suis, je m'excuse 
>> d'avance pour le bruit... Plus précisément, nous nous intéressons à 
>> qualifier les relais d'attaques (ie, les machines compromises ou louées par 
>> l'attaquant réel) lors de DDoS volumiques. Ainsi, et sauf erreur de notre 
>> part, même s'il existe certaines infos sur les tailles de botnet ou les 
>> services attaqués par DDoS, la contribution des différents types de relais à 
>> une attaque DDoS semble peu étudiée. Dit autrement, quand on subit un DDoS, 
>> comment se répartit le trafic reçu entre des accès résidentiels, des 
>> entreprises compromises, des infras dédiées louées, etc. Et dit encore 
>> autrement, si l'on veut globalement diminuer le niveau de bruit des DDoS sur 
>> internet, à quel type de source (sécurisation des accès résidentiels, infras 
>> dédiées, etc.) devons-nous nous intéresser. Intuitivement, depuis les 
>> épisodes de Mirai, on pense que l'IoT, domestique ou professionnel, occupe 
>> une grande part, mais nous aimerions vérifier cela. Et s'il s'agit bien de 
>> la source majoritaire, alors il sera légitime de s'interroger sur des 
>> mécanismes de sécurité que l'on pourrait déployer au niveau domestique. 
>> Concrètement, nous cherchons à avoir accès à des traces d'attaques DDoS 
>> subies (pcap, netflow). Nous avons un script qui peut-être exécuté soit par 
>> nous, soit du côté de la capture. En sortie de ce script, il n'y a plus d'IP 
>> précise ou de data, uniquement des netblocks, et il peut donc être plus 
>> simple côté confidentialité de l'exécuter du côté de l'organisation qui 
>> aurait de telles captures. Pour ces captures, on part un peu à l'aventure 
>> :). Ainsi, on tente si, par hasard, quelqu'un ici aurait 

Re: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Francois Lesueur]

Bonjour,

Le 06/05/2020 à 19:22, Michel Py a écrit :
> Cà ne va pas être facile d'obtenir des données valides, car ni les 
> entreprises visées ni les vendeurs de solutions de mitigation n'ont intérêt à 
> publier leur données.

Et oui, c'est clair :). D'ailleurs, c'est aussi pour ça que ça nous
intéresse, justement. Tout le monde a un sentiment sur la provenance des
DDoS, certains ont des éléments d'analyse et de preuve (c'est,
évidemment, le cas des Cloudflare & co, et probablement pas mal
d'autres, notamment ici, ont une vision claire des choses). Mais pour le
reste, on dépend souvent d'infos de seconde main ou d'analyses opaques.
Dans ce travail, on ne cherche pas à faire de l'innovation ou à lancer
des fusées dans l'espace, mais à essayer d'amener des éléments sur le
sujet dans la connaissance commune partagée. À notre (toute) petite
échelle, évidemment.

Et comme c'est (pour l'instant) un stage et qu'on a déjà des traces qui
nous permettent de valider le travail de stage (du point de vue
scolarité), on a pas grand risque à tenter !

>> c'est une première piste pour essayer d'évaluer
>> le "taux de spoofing" par différence entre TCP et UDP.
> 
> Quel intérêt de le connaitre ? Non seulement çà change tout le temps, en plus 
> çà change probablement en fonction de la cible. Le profil d'attaque DDoS qui 
> viserait ton serveur de jeux n'est probablement pas le même que si c'était un 
> site web gouvernemental ou une publication politisée.

Si on arrive à évaluer/cadrer dans une fourchette ce taux de spoofing,
ça peut nous permettre d'estimer un intervalle de confiance sur nos
résultats d'analyse. On aura des hypothèses à faire, qui seront
discutables mais qu'on essaiera d'analyser et de valider au mieux (mais
si déjà on pose des hypothèses claires, ce sera un bon début). Ensuite,
le fait de poser une estimation sur ce taux de spoofing peut nous
permettre, par exemple, si on dit que "80% du volume des DDoS vient
d'accès résidentiel compromis", savoir si on parle 80% +/- 5%, ou 80%
+/- 50% :). Et si on refait le même genre d'analyse 3 ans plus tard, et
que le DDoS résidentiel est passé à 85% grâce au FTTH, savoir si ces 5%
sont pertinents ou dans la marge d'erreur.

Idéalement, dans ce travail, on aimerait avoir une analyse publique,
diffusable, criticable, et qui permette d'estimer l'impact que pourrait
avoir certains types de contre-mesures contre les DDoS. Par exemple,
quel impact si on commençait à instrumenter les routeurs domestiques
(libres genre openwrt, brique internet, ou box) pour que,
collaborativement, chaque routeur puisse détecter si son LAN est en
train de participer à un DDoS et ainsi le couper à la source ? Au-delà
des questions de déploiement (les sources n'ont pas forcément
d'incentive à le faire), quel serait l'impact de ce lieu de mitigation ?
Probablement élevé, mais à quel point ? Serait-ce suffisant pour pouvoir
se passer de Cloudflare, par exemple ?

Cordialement,
François Lesueur


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Michel Py]

> Francois Lesueur a écrit :
> - ce qu'on cherche à évaluer, ce n'est pas le bruit de fond d'internet
> (c'est moi qui avais mis ce mot-là dans mon mail initial, my bad) mais la
> structuration d'une vraie attaque contre une vraie cible. La construction
> d'un honeypot, par exemple donc, n'était pas une piste intéressante.

J'aillais faire la même remarque. Ce que Rémy et moi faisons, je le rapproche 
plus du bruit de fond (considérable) de l'Internet plutôt que de DDoS. Scan de 
ports, test de vulnérabilités, brute-force des mots de passe, tout çà c'est 
"business as usual" qui arrive tous les jours, et je ne pense pas être ciblé en 
particulier, tout le monde est dans le même bateau. Une DDoS, AMHA c'est ciblé, 
on attaque quelqu'un ou quelque chose de précis.

Cà ne va pas être facile d'obtenir des données valides, car ni les entreprises 
visées ni les vendeurs de solutions de mitigation n'ont intérêt à publier leur 
données.

> c'est une première piste pour essayer d'évaluer
> le "taux de spoofing" par différence entre TCP et UDP.

Quel intérêt de le connaitre ? Non seulement çà change tout le temps, en plus 
çà change probablement en fonction de la cible. Le profil d'attaque DDoS qui 
viserait ton serveur de jeux n'est probablement pas le même que si c'était un 
site web gouvernemental ou une publication politisée.


> Rémy Duchet a écrit :
> Il y a déjà des HoneyPot qui permettent ce genre de truc (avec capture
> et analyse live. Certains font même du RTBH basé la-dessus..  )

;-)

Mais est-ce que c'est vraiment du DDoS ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Francois Lesueur]

Merci pour vos retours et pointeurs déjà !

J'essaie de ne pas (trop) rater d'éléments, et comme il y a des choses
qui se recoupent entre les différents mails, j'essaie de synthétiser :

- je mentionne des pcaps car on a pour l'instant trouvé cela chez
ddossb.org et MAWI (http://www.fukuda-lab.org/mawilab/v1.1/index.html et
https://mawi.wide.ad.jp/mawi/). Il y a des projets académiques qui font
des pcap, il y a peut-être des entreprises qui pcap-ent des bouts de
trafic spécifiques. Mais peu importe en effet, des logs, des netflows,
etc. : fondamentalement, on cherche des IP source + des volumes/tailles
de paquets depuis chacune de ces IP

- le spoofing, oui, c'est un problème. À cela j'ai 2 éléments. Le
premier est qu'il faut bien commencer par quelque part, et que le
spoofing est dans la TODO list nécessaire, mais juste après. Le 2nd,
c'est qu'on trouve dans nos bases actuelles (DDosDB et MAWI, donc) du
DDoS TCP (en plus de UDP et ICMP), c'est une première piste pour essayer
d'évaluer le "taux de spoofing" par différence entre TCP et UDP. On a
une autre piste en étudiant le taux d'IP sources impossibles (des blocs
non encore exploités en production mais qui seraient spoofés quand même)
et en extrapolant. Ce ne sont que des pistes, c'est l'étape suivante.
Elle est nécessaire je rejoins complètement cette remarque, mais on ne
peut pas tout paralléliser, et pour essayer de discrimer le spoofing il
faut des données à analyser, donc on en revient à cette dépendance préalable

- ce qu'on cherche à évaluer, ce n'est pas le bruit de fond d'internet
(c'est moi qui avais mis ce mot-là dans mon mail initial, my bad) mais
la structuration d'une vraie attaque contre une vraie cible. La
construction d'un honeypot, par exemple donc, n'était pas une piste
intéressante. On aurait besoin de construire (au hasard) un serveur de
jeu, le rendre populaire, donc cible, et enfin analyser son trafic
entrant. Mais ça, clairement, on ne pourra pas le faire.

- on ne cherche pas non plus à évaluer les compromissions des machines
(auquel cas, en effet, on branche un device IoT accessible de
l'extérieur et on attend :) ), mais bien, côté cible, à évaluer ce qu'on
reçoit. Il faut donc, d'abord, être une cible d'attaque DDoS (et non une
cible à compromettre pour servir de relai)

Si jamais cela peut aider à préciser... Pour compléter, soyons clairs et
honnêtes : il y a *plein* de choses auxquelles nous n'avons pas encore
pensé, et nous ne doutons pas qu'elles surgiront en temps voulu :) .

Cordialement,
François Lesueur



Le 06/05/2020 à 11:16, Kavé Salamatian a écrit :
> +1
> C’est aussi un problème classique
> 
> 
>> Le 6 mai 2020 à 11:14, Stephane Bortzmeyer  a écrit :
>>
>> On Wed, May 06, 2020 at 10:11:16AM +0200,
>> Francois Lesueur  wrote
>> a message of 52 lines which said:
>>
>>> Concrètement, nous cherchons à avoir accès à des traces d'attaques DDoS
>>> subies (pcap, netflow). Nous avons un script qui peut-être exécuté soit
>>> par nous, soit du côté de la capture. En sortie de ce script, il n'y a
>>> plus d'IP précise
>>
>> Pour les attaques de mon domaine, les adresses IP source sont souvent
>> usurpées. Comment vous gérez cela ?
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[David Ponzone]

> Le 6 mai 2020 à 11:24, Duchet Rémy  a écrit :
> 
> Tout est envisageable. 
> Et avec de la virtualisation du docker ou autre, il suffit de "relier" tout 
> ça.. 
> Perso, si je devais regarder quelque chose, j'ajouterai pleins de sondes avec 
> différents services, le tout en agrégation pour la partie analyse.
> Il suffirait d'avoir des volontaires, et on peut "détecter" à plein 
> d'endroits..(tu vois ou je veux en venir?)
> 

Oui, tu veux faire un Skynet :)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Kavé Salamatian]

 Du moment qu’il y’a une règle snort pour le détecter c’est facile à intégrer 
dans les outils existants. Maintenant je ne suis pas sûr qu’il existe des 
règles snorts en accès libre pour ce genre de chose. Je sais que ça existe dans 
les bases de règles payantes … mais je sais qu’on détecte cela sur nos 
détecteurs d’intrusion à grande échelle (voir 
https://hal.archives-ouvertes.fr/hal-02425277)

Kv

> Le 6 mai 2020 à 11:20, David Ponzone  a écrit :
> 
> Avec des Philips Hue et autres ponts domotique, des alarmes telles que celles 
> vendues par les FAI par exemple, et aussi des caméras chinoises à 2€, des 
> NAS, des Chromecast et équivalents, etc… ?
> Si y a ça, c’est fabuleux, mais si y a pas, je me disais que l’étudiant 
> pouvait peut être monter ça si timing/budget le permet.
> 
> 
>> Le 6 mai 2020 à 11:16, Duchet Rémy  a écrit :
>> 
>> Il y a déjà des HoneyPot qui permettent ce genre de truc (avec capture et 
>> analyse live. Certains font même du RTBH basé la-dessus..  )
>> 
>> Rémy
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



signature.asc
Description: Message signed with OpenPGP

RE: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Duchet Rémy]

Tout est envisageable. 
Et avec de la virtualisation du docker ou autre, il suffit de "relier" tout 
ça.. 
Perso, si je devais regarder quelque chose, j'ajouterai pleins de sondes avec 
différents services, le tout en agrégation pour la partie analyse.
Il suffirait d'avoir des volontaires, et on peut "détecter" à plein 
d'endroits..(tu vois ou je veux en venir?)

Rémy

-Original Message-
From: David Ponzone  
Sent: mercredi, 6 mai 2020 11:20
To: Duchet Rémy 
Cc: Philippe Bourcier ; frnog-m...@frnog.org
Subject: Re: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

Avec des Philips Hue et autres ponts domotique, des alarmes telles que celles 
vendues par les FAI par exemple, et aussi des caméras chinoises à 2€, des NAS, 
des Chromecast et équivalents, etc… ?
Si y a ça, c’est fabuleux, mais si y a pas, je me disais que l’étudiant pouvait 
peut être monter ça si timing/budget le permet.


> Le 6 mai 2020 à 11:16, Duchet Rémy  a écrit :
> 
> Il y a déjà des HoneyPot qui permettent ce genre de truc (avec capture et 
> analyse live. Certains font même du RTBH basé la-dessus..  )
> 
> Rémy



smime.p7s
Description: S/MIME cryptographic signature

Re: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[David Ponzone]

Avec des Philips Hue et autres ponts domotique, des alarmes telles que celles 
vendues par les FAI par exemple, et aussi des caméras chinoises à 2€, des NAS, 
des Chromecast et équivalents, etc… ?
Si y a ça, c’est fabuleux, mais si y a pas, je me disais que l’étudiant pouvait 
peut être monter ça si timing/budget le permet.


> Le 6 mai 2020 à 11:16, Duchet Rémy  a écrit :
> 
> Il y a déjà des HoneyPot qui permettent ce genre de truc (avec capture et 
> analyse live. Certains font même du RTBH basé la-dessus..  )
> 
> Rémy


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Kavé Salamatian]

Ca existe déjà …. Par exemple telescope du LORIA
https://lhs.loria.fr/?page_id=98
C’est pour ça que je dis qu’il déjà commencer par regarder ce qu’il y’a :-)

Kv

> Le 6 mai 2020 à 11:11, David Ponzone  a écrit :
> 
> Je dis peut-être une connerie (j’en dis plein) mais ça serait pas intéressant 
> pour une telle étude (si le timing le permet) de construire un gros 
> honey-pot, avec du PC windows, Linux, Mac, un peu de serveur, les équipements 
> IoT du marché les plus courants, et voir ce qui se passe ?
> De nos jours, ça va assez vite si on blinde pas, voir si on laisse des trucs 
> ouverts volontairement.
> 
>> Le 6 mai 2020 à 11:08, Philippe Bourcier  a écrit :
>> 
>> Re,
>> 
>>> * Comment tu traite des gros pcap. Des gens font de grosses captures ? j'ai 
>>> quitté ce jeux là il y
>>> a trop longtemps. A l'époque libpcap etait pas top niveau perf et sur des 
>>> interfaces rapide (>1G)
>>> ça défonçait n'importe quel CPU.
>> 
>> Si tu veux juste différencier le résidentiel vs pro vs serveurs, je dirais 
>> que tu n'as surtout pas besoin d'une capture pcap, mais juste d'un log 
>> netflow et d'une base Maxmind Enterprise (ils donnent accès aux bases 
>> gratuitement pour les projets de recherche)...
>> 
>>> * Comment tu trouve un device IoT dans le lot ? Imagine une chromecast chez 
>>> toi, il aura l'IPv4
>>> publique de ta box. Et si le smart bidulle à une puce 2/3/4/5G ça passera 
>>> par le CG-NAT de
>>> l'opérateur ça noie le poisson non ? On reconnait ça avec du fingerprinting 
>>> ?
>> 
>> Passive fingerprinting ? D'où le pcap ?
>> 
>> Effectivement, on peut noter qu'il y a quelques challenges techniques pour 
>> pouvoir réaliser cette partie de l'étude de manière fiable...
>> 
>> 
>> Cordialement,
>> --
>> Philippe Bourcier
>> web : http://sysctl.org/
>> blog : https://www.linkedin.com/today/author/philippebourcier
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



signature.asc
Description: Message signed with OpenPGP

Re: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Kavé Salamatian]

+1
C’est aussi un problème classique


> Le 6 mai 2020 à 11:14, Stephane Bortzmeyer  a écrit :
> 
> On Wed, May 06, 2020 at 10:11:16AM +0200,
> Francois Lesueur  wrote
> a message of 52 lines which said:
> 
>> Concrètement, nous cherchons à avoir accès à des traces d'attaques DDoS
>> subies (pcap, netflow). Nous avons un script qui peut-être exécuté soit
>> par nous, soit du côté de la capture. En sortie de ce script, il n'y a
>> plus d'IP précise
> 
> Pour les attaques de mon domaine, les adresses IP source sont souvent
> usurpées. Comment vous gérez cela ?
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



signature.asc
Description: Message signed with OpenPGP

RE: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Duchet Rémy]

Il y a déjà des HoneyPot qui permettent ce genre de truc (avec capture et 
analyse live. Certains font même du RTBH basé la-dessus..  )

Rémy

-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of David 
Ponzone
Sent: mercredi, 6 mai 2020 11:12
To: Philippe Bourcier 
Cc: frnog-m...@frnog.org
Subject: Re: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

Je dis peut-être une connerie (j’en dis plein) mais ça serait pas intéressant 
pour une telle étude (si le timing le permet) de construire un gros honey-pot, 
avec du PC windows, Linux, Mac, un peu de serveur, les équipements IoT du 
marché les plus courants, et voir ce qui se passe ?
De nos jours, ça va assez vite si on blinde pas, voir si on laisse des trucs 
ouverts volontairement.

> Le 6 mai 2020 à 11:08, Philippe Bourcier  a écrit :
> 
> Re,
> 
>> * Comment tu traite des gros pcap. Des gens font de grosses captures 
>> ? j'ai quitté ce jeux là il y a trop longtemps. A l'époque libpcap 
>> etait pas top niveau perf et sur des interfaces rapide (>1G) ça défonçait 
>> n'importe quel CPU.
> 
> Si tu veux juste différencier le résidentiel vs pro vs serveurs, je dirais 
> que tu n'as surtout pas besoin d'une capture pcap, mais juste d'un log 
> netflow et d'une base Maxmind Enterprise (ils donnent accès aux bases 
> gratuitement pour les projets de recherche)...
> 
>> * Comment tu trouve un device IoT dans le lot ? Imagine une 
>> chromecast chez toi, il aura l'IPv4 publique de ta box. Et si le 
>> smart bidulle à une puce 2/3/4/5G ça passera par le CG-NAT de l'opérateur ça 
>> noie le poisson non ? On reconnait ça avec du fingerprinting ?
> 
> Passive fingerprinting ? D'où le pcap ?
> 
> Effectivement, on peut noter qu'il y a quelques challenges techniques pour 
> pouvoir réaliser cette partie de l'étude de manière fiable...
> 
> 
> Cordialement,
> --
> Philippe Bourcier
> web : http://sysctl.org/
> blog : https://www.linkedin.com/today/author/philippebourcier
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


smime.p7s
Description: S/MIME cryptographic signature

Re: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[A Gaillard]

 Hello,

Pour le point précis de l'analyse rapide de PCAP épais, j'étais tombé
sur l'outil
*Brim *qui complète Wireshark. J'ai pas testé, mais l'interface à l'air
jolie, et les fonctions de recherche de trames et de deepdive sur les
paquets à l'air super simple et rapide par rapport à Wireshark.
le Git : https://github.com/brimsec/brim

le lien pour télécharger l'outil sur Windows :
https://www.brimsecurity.com/download/

une démo sur youtube : https://www.youtube.com/watch?v=InT-7WZ5Y2Y


Autrement pour ton type de recherche, je pense que ce serait intéressant de
contacter les éditeurs de solution anti-DDOS du marché pour leur expliquer
la démarche, type Akamai, Cloudflare, Radware, voire même des Cloud
Provider (Azure, AWS, GCP). Ce sont eux qui auront les données brutes les
plus intéressantes et les plus globales. Sinon il faut directement aller
toquer à la porte des services de RaaS pour louer vous même des botnets et
faire des attaques contre votre infra, ou interroger leurs admins :)


Adrien.


Le mer. 6 mai 2020 à 11:08, Philippe Bourcier  a écrit :

> Re,
>
> > * Comment tu traite des gros pcap. Des gens font de grosses captures ?
> j'ai quitté ce jeux là il y
> > a trop longtemps. A l'époque libpcap etait pas top niveau perf et sur
> des interfaces rapide (>1G)
> > ça défonçait n'importe quel CPU.
>
> Si tu veux juste différencier le résidentiel vs pro vs serveurs, je dirais
> que tu n'as surtout pas besoin d'une capture pcap, mais juste d'un log
> netflow et d'une base Maxmind Enterprise (ils donnent accès aux bases
> gratuitement pour les projets de recherche)...
>
> > * Comment tu trouve un device IoT dans le lot ? Imagine une chromecast
> chez toi, il aura l'IPv4
> > publique de ta box. Et si le smart bidulle à une puce 2/3/4/5G ça
> passera par le CG-NAT de
> > l'opérateur ça noie le poisson non ? On reconnait ça avec du
> fingerprinting ?
>
> Passive fingerprinting ? D'où le pcap ?
>
> Effectivement, on peut noter qu'il y a quelques challenges techniques pour
> pouvoir réaliser cette partie de l'étude de manière fiable...
>
>
> Cordialement,
> --
> Philippe Bourcier
> web : http://sysctl.org/
> blog : https://www.linkedin.com/today/author/philippebourcier
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[David Ponzone]

Je dis peut-être une connerie (j’en dis plein) mais ça serait pas intéressant 
pour une telle étude (si le timing le permet) de construire un gros honey-pot, 
avec du PC windows, Linux, Mac, un peu de serveur, les équipements IoT du 
marché les plus courants, et voir ce qui se passe ?
De nos jours, ça va assez vite si on blinde pas, voir si on laisse des trucs 
ouverts volontairement.

> Le 6 mai 2020 à 11:08, Philippe Bourcier  a écrit :
> 
> Re,
> 
>> * Comment tu traite des gros pcap. Des gens font de grosses captures ? j'ai 
>> quitté ce jeux là il y
>> a trop longtemps. A l'époque libpcap etait pas top niveau perf et sur des 
>> interfaces rapide (>1G)
>> ça défonçait n'importe quel CPU.
> 
> Si tu veux juste différencier le résidentiel vs pro vs serveurs, je dirais 
> que tu n'as surtout pas besoin d'une capture pcap, mais juste d'un log 
> netflow et d'une base Maxmind Enterprise (ils donnent accès aux bases 
> gratuitement pour les projets de recherche)...
> 
>> * Comment tu trouve un device IoT dans le lot ? Imagine une chromecast chez 
>> toi, il aura l'IPv4
>> publique de ta box. Et si le smart bidulle à une puce 2/3/4/5G ça passera 
>> par le CG-NAT de
>> l'opérateur ça noie le poisson non ? On reconnait ça avec du fingerprinting ?
> 
> Passive fingerprinting ? D'où le pcap ?
> 
> Effectivement, on peut noter qu'il y a quelques challenges techniques pour 
> pouvoir réaliser cette partie de l'étude de manière fiable...
> 
> 
> Cordialement,
> --
> Philippe Bourcier
> web : http://sysctl.org/
> blog : https://www.linkedin.com/today/author/philippebourcier
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Kavé Salamatian]

Je confirme la capture des DDos ne se fait jamais en PCAP (il faudrait avoir 
une capture de paquets en permanence pour capturer un DDOS qui viendrait un 
jour). Ça se fait avec des traces netflow ou sflow. On ne difficilement 
détecter par la trace que le paquet est issue d’équipement IoT, mais on peut 
détecter que c’est un équipement IoT on faisant un scan inverse (en scannant 
l’adresse de la source de DDoS). Dans certains cas très particuliers, le 
pattern de génération des No de port source est la signature d’un équipement 
particulier (c’était le cas sur Mirai).  Mais dans l’absolu non d’autant plus 
qu’un attaquant peut très bien maquiller une attaque en utilisant ce même 
pattern.

Globalement c’est très difficile de récupérer des traces d’attaques de DDos. 
Les entreprises ne veulent rien donner, car le fait d’avoir subi une attaque de 
DDos et la cible de cette attaque est  une information sensible. J’ai de telles 
traces fournies par des partenaires académiques en Chine d’attaques sur des 
réseaux d’entreprise là-bas. Mais je ne peux les partager…
À l’évidence, il est beaucoup plus facile pour un français d’avoir accès à des 
traces internet (de quelle nature que ça soit) en Chine qu’en France.

Sur des attaques genre Mirai qui sont générique et qui ne ciblent pas une 
entreprise en particulier c’est assez facile d’avoir des traces, car les 
attaques bavent sur des adresses aléatoires. Pour cela il suffit de regarder le 
pare-feu de plusieurs équipements (les logs de pare-feu ça sert à ça). Voir par 
exemple 
(https://networking.ifip.org/2009/Website/proceedings/networking/1569173114.pdf)
 ça a dix ans, mais ça reste pertinent. Il y’a aussi les réseaux de pot de miel 
qui ont ces infos et qui le partagent parfois.

En tous cas, c’est une bonne idée de faire un tour de la littérature et de voir 
ce qu’on fait les anciens pour ne pas réinventer la roue.:-)

Cordialement,

Kv




> Le 6 mai 2020 à 10:32, Remi Desgrange  a écrit 
> :
> 
> C'est intéressant:
> 
> * Comment tu traite des gros pcap. Des gens font de grosses captures ? j'ai 
> quitté ce jeux là il y a trop longtemps. A l'époque libpcap etait pas top 
> niveau perf et sur des interfaces rapide (>1G) ça défonçait n'importe quel 
> CPU.
> * Comment tu trouve un device IoT dans le lot ? Imagine une chromecast chez 
> toi, il aura l'IPv4 publique de ta box. Et si le smart bidulle à une puce 
> 2/3/4/5G ça passera par le CG-NAT de l'opérateur ça noie le poisson non ? On 
> reconnait ça avec du fingerprinting ?
> 
> Bonne chances.
> Cordialement/Best Regards, Rémi Desgrange
> 
> On May 6 2020, at 10:11 am, Francois Lesueur  
> wrote:
>> Bonjour, Je suis enseignant-chercheur à l'INSA Lyon, dans le domaine de la 
>> sécurité et des systèmes distribués. J'encadre actuellement une étudiante en 
>> stage qui étudie l'écosystème des DDoS. C'est mon premier message sur cette 
>> liste, j'espère que je ne serai pas hors-sujet et si je le suis, je m'excuse 
>> d'avance pour le bruit... Plus précisément, nous nous intéressons à 
>> qualifier les relais d'attaques (ie, les machines compromises ou louées par 
>> l'attaquant réel) lors de DDoS volumiques. Ainsi, et sauf erreur de notre 
>> part, même s'il existe certaines infos sur les tailles de botnet ou les 
>> services attaqués par DDoS, la contribution des différents types de relais à 
>> une attaque DDoS semble peu étudiée. Dit autrement, quand on subit un DDoS, 
>> comment se répartit le trafic reçu entre des accès résidentiels, des 
>> entreprises compromises, des infras dédiées louées, etc. Et dit encore 
>> autrement, si l'on veut globalement diminuer le niveau de bruit des DDoS sur 
>> internet, à quel type de source (sécurisation des accès résidentiels, infras 
>> dédiées, etc.) devons-nous nous intéresser. Intuitivement, depuis les 
>> épisodes de Mirai, on pense que l'IoT, domestique ou professionnel, occupe 
>> une grande part, mais nous aimerions vérifier cela. Et s'il s'agit bien de 
>> la source majoritaire, alors il sera légitime de s'interroger sur des 
>> mécanismes de sécurité que l'on pourrait déployer au niveau domestique. 
>> Concrètement, nous cherchons à avoir accès à des traces d'attaques DDoS 
>> subies (pcap, netflow). Nous avons un script qui peut-être exécuté soit par 
>> nous, soit du côté de la capture. En sortie de ce script, il n'y a plus d'IP 
>> précise ou de data, uniquement des netblocks, et il peut donc être plus 
>> simple côté confidentialité de l'exécuter du côté de l'organisation qui 
>> aurait de telles captures. Pour ces captures, on part un peu à l'aventure 
>> :). Ainsi, on tente si, par hasard, quelqu'un ici aurait accès à cela et 
>> serait prêt à en discuter. Vous trouverez également un document de 
>> présentation un peu plus complet que ce mail ici : 
>> https://filesender.renater.fr/?s=download=b5f0abd5-105c-469a-a927-e579befaa5de
>>  Cordialement, -- François Lesueur Maître de conférences INSA de Lyon / 
>> Département Télécommunications CITI-Inria 

Re: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Philippe Bourcier]

Re,

> * Comment tu traite des gros pcap. Des gens font de grosses captures ? j'ai 
> quitté ce jeux là il y
> a trop longtemps. A l'époque libpcap etait pas top niveau perf et sur des 
> interfaces rapide (>1G)
> ça défonçait n'importe quel CPU.

Si tu veux juste différencier le résidentiel vs pro vs serveurs, je dirais que 
tu n'as surtout pas besoin d'une capture pcap, mais juste d'un log netflow et 
d'une base Maxmind Enterprise (ils donnent accès aux bases gratuitement pour 
les projets de recherche)...

> * Comment tu trouve un device IoT dans le lot ? Imagine une chromecast chez 
> toi, il aura l'IPv4
> publique de ta box. Et si le smart bidulle à une puce 2/3/4/5G ça passera par 
> le CG-NAT de
> l'opérateur ça noie le poisson non ? On reconnait ça avec du fingerprinting ?

Passive fingerprinting ? D'où le pcap ?

Effectivement, on peut noter qu'il y a quelques challenges techniques pour 
pouvoir réaliser cette partie de l'étude de manière fiable...


Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : https://www.linkedin.com/today/author/philippebourcier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Remi Desgrange]

C'est intéressant:

* Comment tu traite des gros pcap. Des gens font de grosses captures ? j'ai 
quitté ce jeux là il y a trop longtemps. A l'époque libpcap etait pas top 
niveau perf et sur des interfaces rapide (>1G) ça défonçait n'importe quel CPU.
* Comment tu trouve un device IoT dans le lot ? Imagine une chromecast chez 
toi, il aura l'IPv4 publique de ta box. Et si le smart bidulle à une puce 
2/3/4/5G ça passera par le CG-NAT de l'opérateur ça noie le poisson non ? On 
reconnait ça avec du fingerprinting ?

Bonne chances.
Cordialement/Best Regards, Rémi Desgrange

On May 6 2020, at 10:11 am, Francois Lesueur  
wrote:
> Bonjour, Je suis enseignant-chercheur à l'INSA Lyon, dans le domaine de la 
> sécurité et des systèmes distribués. J'encadre actuellement une étudiante en 
> stage qui étudie l'écosystème des DDoS. C'est mon premier message sur cette 
> liste, j'espère que je ne serai pas hors-sujet et si je le suis, je m'excuse 
> d'avance pour le bruit... Plus précisément, nous nous intéressons à qualifier 
> les relais d'attaques (ie, les machines compromises ou louées par l'attaquant 
> réel) lors de DDoS volumiques. Ainsi, et sauf erreur de notre part, même s'il 
> existe certaines infos sur les tailles de botnet ou les services attaqués par 
> DDoS, la contribution des différents types de relais à une attaque DDoS 
> semble peu étudiée. Dit autrement, quand on subit un DDoS, comment se 
> répartit le trafic reçu entre des accès résidentiels, des entreprises 
> compromises, des infras dédiées louées, etc. Et dit encore autrement, si l'on 
> veut globalement diminuer le niveau de bruit des DDoS sur internet, à quel 
> type de source (sécurisation des accès résidentiels, infras dédiées, etc.) 
> devons-nous nous intéresser. Intuitivement, depuis les épisodes de Mirai, on 
> pense que l'IoT, domestique ou professionnel, occupe une grande part, mais 
> nous aimerions vérifier cela. Et s'il s'agit bien de la source majoritaire, 
> alors il sera légitime de s'interroger sur des mécanismes de sécurité que 
> l'on pourrait déployer au niveau domestique. Concrètement, nous cherchons à 
> avoir accès à des traces d'attaques DDoS subies (pcap, netflow). Nous avons 
> un script qui peut-être exécuté soit par nous, soit du côté de la capture. En 
> sortie de ce script, il n'y a plus d'IP précise ou de data, uniquement des 
> netblocks, et il peut donc être plus simple côté confidentialité de 
> l'exécuter du côté de l'organisation qui aurait de telles captures. Pour ces 
> captures, on part un peu à l'aventure :). Ainsi, on tente si, par hasard, 
> quelqu'un ici aurait accès à cela et serait prêt à en discuter. Vous 
> trouverez également un document de présentation un peu plus complet que ce 
> mail ici : 
> https://filesender.renater.fr/?s=download=b5f0abd5-105c-469a-a927-e579befaa5de
>  Cordialement, -- François Lesueur Maître de conférences INSA de Lyon / 
> Département Télécommunications CITI-Inria / Équipe "DynaMid" Web : 
> http://perso.citi-lab.fr/flesueur/ Tél : +33 4 72 43 73 20 
> --- Liste de diffusion du FRnOG http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Francois Lesueur]

Bonjour,

Je suis enseignant-chercheur à l'INSA Lyon, dans le domaine de la
sécurité et des systèmes distribués. J'encadre actuellement une
étudiante en stage qui étudie l'écosystème des DDoS. C'est mon premier
message sur cette liste, j'espère que je ne serai pas hors-sujet et si
je le suis, je m'excuse d'avance pour le bruit...

Plus précisément, nous nous intéressons à qualifier les relais
d'attaques (ie, les machines compromises ou louées par l'attaquant réel)
lors de DDoS volumiques. Ainsi, et sauf erreur de notre part, même s'il
existe certaines infos sur les tailles de botnet ou les services
attaqués par DDoS, la contribution des différents types de relais à une
attaque DDoS semble peu étudiée. Dit autrement, quand on subit un DDoS,
comment se répartit le trafic reçu entre des accès résidentiels, des
entreprises compromises, des infras dédiées louées, etc. Et dit encore
autrement, si l'on veut globalement diminuer le niveau de bruit des DDoS
sur internet, à quel type de source (sécurisation des accès
résidentiels, infras dédiées, etc.) devons-nous nous intéresser.

Intuitivement, depuis les épisodes de Mirai, on pense que l'IoT,
domestique ou professionnel, occupe une grande part, mais nous aimerions
vérifier cela. Et s'il s'agit bien de la source majoritaire, alors il
sera légitime de s'interroger sur des mécanismes de sécurité que l'on
pourrait déployer au niveau domestique.

Concrètement, nous cherchons à avoir accès à des traces d'attaques DDoS
subies (pcap, netflow). Nous avons un script qui peut-être exécuté soit
par nous, soit du côté de la capture. En sortie de ce script, il n'y a
plus d'IP précise ou de data, uniquement des netblocks, et il peut donc
être plus simple côté confidentialité de l'exécuter du côté de
l'organisation qui aurait de telles captures.

Pour ces captures, on part un peu à l'aventure :). Ainsi, on tente si,
par hasard, quelqu'un ici aurait accès à cela et serait prêt à en
discuter. Vous trouverez également un document de présentation un peu
plus complet que ce mail ici :
https://filesender.renater.fr/?s=download=b5f0abd5-105c-469a-a927-e579befaa5de

Cordialement,
-- 
François Lesueur
Maître de conférences
INSA de Lyon / Département Télécommunications
CITI-Inria / Équipe "DynaMid"
Web : http://perso.citi-lab.fr/flesueur/
Tél : +33 4 72 43 73 20


---
Liste de diffusion du FRnOG
http://www.frnog.org/