Extreme DDoS Defense

[otherflow]

Je suis curieux de savoir en effet s'il est possible de modifier les propriétés statistiques dans le temps, des paquets générés lors d'une attaque DDoS. Du moins pour commencer, les propriétés les plus simples de la distribution des données qui sont analysées pour la detection d'anomalie du trafic et en particulier DDoS.

Par "possible", on peut répondre à plusieurs niveaux: hardware, on peut penser par exemple que la topologie du réseau (délais, erreurs, routage des paquets) affectera toujours une distribution générée en entrée, dans le scenario où on réalise en effet une technique mathématique bien synchronisées. Si on a une pré-mesure de la structure du trafic normal, peut-être est-il aussi possible de contourner cette première limitation etc etc.

Bien sur une réponse développée nécessiterait une études plus approfondie. Mais voici en quelque ligne mon idée sur la question.

Je pense qu'il est tout à fait possible de fausser les données issue de l'analyse de données utilisées pour définir les critères d'une stratégie de sécurité autonome. Les données étant issue d'éléments matériels eux aussi autonomes mais influençable par divers éléments. Si par exemple la ganularités des données utiles à l'étude statistique se base sur les tables de routage d'un ou plusieurs réseaux, la perte (panne matériel, erreur humaine) d'un ou plusieurs matériels réseaux audit par une sonde permettant le relevé de données peut influencer la corrélation des relevés par nouvelles diffusions des routes réseaux.

Cette corrélation corrompu, la décision issue de l'analyse mathématique des informations à des chances de devenir erronée. Dans ce cas l'hypothèse d'un DDOS peut échapper à la surveillance est plausible.

otherflow