Bonsoir,
j'utilise NFdump pour la collecte de trafic IP. l'outil me permet d'aggréger les flux en fonction des addresse IP sources et destinations.
Je peux avoir pour chacune d'entre elles le nombre de paquets, la durée de flux, le nombre de paquets par secondes.
Je peux aussi voir le nombre de paquets SYN.
Je voudrais savoir comment utiliser ces informations pour detecter des attaques de déni de services.
Quels sont les seuils à fixer et à ne pas dépasser?
Merci

pour détecter une attaque DDoS, c'est très simple. tu n'aura plus accès au service en question, et sur ton post-mortem tu aura un  log de plusieurs Go.
(quelque soit les quotas que tu fixera, ton matos sera à genou. Si le service n'est pas coupé c'est que les mecs qui ont tenté le DDoS sont des manches).

Apparement tu m'a pas bien comprise.
Les attaques ne seront pas détecté sur ma machine car les flux ne sont pas destiné vers mon post.
Je joue uniquement le rôle d'un collecteur de trafic internet et je voudrai voir les adresse ip qui ont une activité suspicieuse et vers qui elle est ciblée.

Le seuil c'est plus ou moins à toi de le fixer en fonction des prévisions et de l'historique.

Bonsoir,
Avec quelques recherches, j'ai réussi à écrire 4 filtres pour détecter 4 attaques mais j ne suis pas sûre que ce j'ai écrit est correcte.
par exemple pour détecter un floodind UDP (un nombre de paquets important vers une destination), j'ai écrit l'algorithme suivant:
 
 - prendre les 200 premiers flux ayant le nombre de paquets les plus élevés.
 - prendre parmi ces 200 flux ceux utilisant udp  
 - prendre ceux dont le nombre de paquets > 5000
 - prendre ceux dont le prot destination < 1024  
 
le problème est que ceci est une analyse par flux. Or le flooding UDP peut venir de plusieurs flux et non pas un seul.
 
Je ne sais pas comment raisonner autrement
Merci

Ben si la destination est la même, ou si les données transportées sont les mêmes ?