Affichage linéaire

Commodor · (Modification du message : 02-09-2015, 01h44 par Commodor.)

(01-09-2015, 22h26)MaxBorn a écrit : Intéressant Commodor ! Aurais-tu un lien sur le sujet ?

Malheureusement, ce type d'information m'est parvenue plus par le "bouche à oreille" et par divers échanges avec des personnes travaillant dans ce milieu. Mais l'idée de base doit bien émerger de quelque part et je vais essayer d'apporter plus de précisions Smile

(01-09-2015, 22h26)MaxBorn a écrit : Pour ceux qui sont intéressés, et pour en revenir à la partie détection, je viens de trouver une réponse à ma question.

Pour rendre "auto-similaire" le trafic des données généré par une attaque DDoS et outre-passer ainsi les détections d'analyses statistiques qui supposent que le trafic engendré par une attaque DDoS n'est pas auto-similaire comme le trafic normal, il suffit d'ajuster la durée d'émission des paquets envoyés par chacun des agents du botnet. Pour chaque agent, en choisissant cette durée au hasard parmi la distribution de Pareto (lien), quelqu'un peut rendre son flux de données auto-similaire et ainsi s'affranchir des techniques de détection se basant sur la perte d'auto-similarité du trafic en présence d'une attaque.

Ca prend une ligne en Python (dur = np.random.pareto(shape, size)).

Oui mais il faut prendre en compte les opérandes d'analyses. Il est moins évidant d'obtenir des statistiques concrètes selon un environnement et une situation type. Et c'est justement le "type" qui peut prêter à de mauvaises interprétation.

Généralement, il est préférable d'éviter d'analyser un modèle d'attaque particulier, et qui plus est, dans un contexte donné. Le plus fiable (mais le plus contraignant pour en sortir des statistiques) est d'écouter le "bruit", au sens propre.
Par bruit, j’entends le trafic non sollicité (ce qui laisse alors une marge d'erreur beaucoup plus faible qu'une analyse global en situation réel) .
Pour se faire, on utilise la technique du Black hole. De la même manière que les honeypot récupèrent les malwares, un black hole peut récupèrer les attaques sur le réseau (donc pas que DDOS, mais tous les types, passant par les scans et autres joyeusetés).

Dans ce que tu cherche à analyser, le black hole ne pourra peut être pas t'aider à analyser une attaque DDOS, mais en revanche, il dévoilera tout le processus en amont. (On pourrait donc imaginer que via ce système, et des analyses poussées, prévoir un type d'attaque donné (DDos par exemple)).
L'erreur à ne pas commettre serait de se baser uniquement sur l'analyse via un black hole, ou à l'inverse, une analyse purement global... Il faut un peu des deux je dirais Tongue

Sujets apparemment similaires…
Sujet		Auteur	Réponses	Affichages	Dernier message
	article sur les DDoS par reflexion / amplification	gruik	3	295	02-06-2014, 10h43 Dernier message: notfound

Identifiant Mot de passe
S’enregistrer \| Mot de passe oublié ? Se rappeler