Bon raz-le-bol des domaines qui ont un TTL absurdement bas (0-5 minutes), donc je me suis installé unbound comme serveur DNS cache local.
Ça ne consomme que 15 Mo de RAM, et j'ai 86% des requêtes DNS qui tombent dans le cache, ce qui permet d'avoir une navigation plus fluide, surtout quand vous avec une connexion pas très rapide ou que les serveurs DNS de votre fournisseur d'accès sont un peu lents.
(Gros manque dans ma doc: DOH/DOT (DNS chiffré). Mais je ferai peut-être ça plus tard.)

Sous le coude pour lecture ultérieure: iwd permet a priori d'améliorer le Wifi (connectivité, débit...)

Un peu violent mais sûrement efficace: Quand PortSentry détecte des connexions sur les services fictifs qu'il expose, il bloque l'IP source.

Une alternative à curl et wget pour faire des appels http en ligne de commande.

Woaouuu... c'est sioux !
Geneva est un système anti-censure qui manipule les paquets IP et fait évoluer ces manipulations avec des algos génétiques, ce qui lui permet de trouver lui-même des stratégies de contournement des firewalls étatiques.

Je suis un boulet.
Ça fait des semaines que je peste contre Free parce-que mon débit est en dents de scie, parfois horriblement lent.
Et ça n'est qu'hier que je pense à vérifier les canaux wifi : Et ben ouais, il y a une nouvelle box dans le voisinage, et elle est pile sur le même canal que moi.

J'ai changé de canal, est c'est le jour et la nuit.
J'ai vraiment pas les bons réflexes des admins réseau.

Voici une application Android pour afficher l'occupation des canaux WiFi: https://f-droid.org/fr/packages/com.vrem.wifianalyzer/
Exemple: https://f-droid.org/repo/com.vrem.wifianalyzer/en-US/phoneScreenshots/04.png

PS: Je ne laisse pas ma Freebox v4 choisir le canal, car elle choisit généralement très mal. Je préfère le forcer.
PS n°2 : Même si votre ordinateur ou votre smartphone s'en tirent bien avec un canal wifi très occupé, les Raspberry n'aiment pas trop ça. Le mien perdait sa connexion trop facilement. Choisir un canal moins occupé a largement amélioré les choses.

EDIT: Ah... à noter aussi: Même sur un canal marqué comme non occupé par l'application Wifi Analyzer, j'avais de gros soucis. Un internaute m'a indiqué que beaucoup d'appareil hertziens (télécommandes, etc.) non wifi utilisent souvent les fréquences des canaux 1 à 6 du Wifi. Si vous avez des soucis, passez à des canaux supérieurs (10,11...) pour être moins embêtés. Cela a remarquablement bien marché pour moi !
Ou si votre box le permet, passez carrément dans les fréquences 5 GHz pour éviter ces conflits.

Sous le coude.

C'est bourrin, mais voici une méthode pour arrêter automatiquement les applis de P2P quand vous coupez le VPN (ou qu'il tombe) (à adapter aux logiciels de P2P que vous utilisez):

#!/bin/bash
echo "Surveillance du VPN."
while true
do
  CHECKDATA=`ifconfig`
  if [[ $CHECKDATA == *'tun0:'* ]] ; then
      echo "`date` : VPN ok. Attente 1 seconde."
  else
      echo "`date` : Le VPN est désactivé. Terminaison des logiciels de P2P."
      killall --signal SIGKILL --wait qbittorrent transmission-gtk amule
      echo "Pressez ENTREE"
      read
      exit 1
  fi
  sleep 1s
done

Voilà voilà...  ;-)

Bwa.... la nouvelle version de Wireshark est désormais exclusivement Qt. Plus de support GTK  :-/
Par contre ce sont de grands malades, ils supportent encore plus de protocoles ! C'est un truc de dingue.

WireGuard est une alternative à OpenVPN: Code a priori plus léger et plus solide. Plus facile à mettre en place.

Mais non... les réseaux c'est pas compliqué.  ^^

TLS (aka SSL, utilisé dans HTTPS) est un protocole dont les spécifications sont ouvertes. Il est donc plus facile de rechercher d'éventuelles failles de sécurité.

WPA2 (qui sécurisé le WiFi) n'est lui pas une spécification ouverte: Il faut payer (et cher) pour y accéder. Donc il y aura clairement moins de personnes qui iront mettre leur nez dedans pour y détecter d'éventuels problèmes de sécurité.
C'est sans doute aussi pour cela que la récente faille n'a été découverte que 13 ans après que le WPA2 soit sorti.


A l'occasion de l'article dans BoingBoing, je découvre également que les chercheurs qui découvrent des failles dans les protocoles du W3C (dont l'EME (les DRM)) pourront être poursuivis en justice.
Le W3C a autorisé cela !   C'est lamentable.

Un outils (app Android + application ordinateur) qui permet au téléphone d'utiliser la connexion internet de l'ordinateur en passant par USB (sans besoin d'être root).
EDIT: Autre outils dans le même genre: https://play.google.com/store/apps/details?id=com.floriandraschbacher.reversetethering.free

#!/bin/bash
# Test régulièrement la connexion WiFi et la relance si elle est tombée (pour NetworkManager)
while true
do
   wget -q --tries=10 --timeout=20 -O - http://free.fr > /dev/null
   if [[ $? -eq 0 ]]; then
       echo "`date` Connexion ok. Attente 10 secondes."
   else
       echo "`date` Connexion tombée ; relance..." | tee -a force-net-up.log
       nmcli nm wifi off
       sleep 4
       nmcli nm wifi on
       echo "Attente 30 secondes."
       sleep 20
   fi
   sleep 10
done


Oui je sais, c'est abomifreux, mais ça marche.  ><
Note: Pour le WiFi, évitez les chipsets RealTek. C'est pas stable.

Pour capturer l'USB et voir dans Wireshark sous Windows (et là j'apprends que Wireshark Linux sait le faire nativement)

Un outils pour détecter l'ARP Poisoning. (via http://www.mypersonnaldata.eu/shaarli/?d5Gzhg)

Tiens pas mal: il existe un format de message à mettre dans un QR-Code pour partager son réseau WiFi. Pratique.
Format:
WIFI:S:<nom du réseau>;T:<type d’auth>;P:<mot de passe>;;

Exemple:
WIFI:S:MAISON;T:WPA2;P:batman;;

Le détail d'une négociation WebRTC.  Pouah, c'est pas si simple que ça en a l'air.
Et oui, on a beau dire qu'avec WebRTC on se passe d'un serveur central, dans la pratique c'est totalement faux et vous ne pourrez jamais vraiment vous en passer.

BOUH QUE C'EST LAID. On connaît déjà les fournisseurs d'accès qui priorisent certains flux réseau. Voici un FAI américain qui interfère dans la négociation SSL de SMTP (envoie de mail) entre un client et un serveur pour *DESACTIVER* le chiffrement.
Oui vous avez bien lu: Le FAI modifie les échanges entre client et serveur SMTP pour les empêcher de communiquer de manière chiffrée.
Les FAI vont-ils commencer à vous empêcher de chiffrer pour mieux faire du DPI et du trafic-shaping ? Avec des FAI aussi pourris, les fournisseurs de services VPN ont un bel avenir devant eux.

Petite astuce pour choper votre adresse IP publique: utiliser une requête DNS au lieu d'une requête HTTP. La réponse est plus rapide.

Tiens, une interface web pour l'excellent fail2ban.  Ça tourne sous nodejs.

ET ALLEZ !  On continue dans la série "Les agences de renseignement détruisent notre sécurité". Il semblerait que la NSA ai volontairement inséré des backdoors dans les routeurs exportés des USA.
EDIT: Un article en français sur le sujet: http://www.numerama.com/magazine/29353-la-nsa-accusee-d-avoir-piege-les-routeurs-americains.html

Pourquoi Coca-Cola est-il en train d'acheter des plages d'adresses MAC ?  Des distributeurs de boissons connectés ? D'autres gadgets ?
(Une adresse MAC sert à différencier les appareils reliés à un réseau Ethernet. Chaque carte réseau dans le monde possède un identifiant MAC qui lui est unique. Certaines plages appartiennent à certains fabricants, généralement des fabricants de matériel réseau (Juniper, Cisco...). Un identifiant MAC fait 48 bits, ce qui fait plus de 281 000 milliards de possibilités. La liste officielle des plages attribuées est là: http://standards.ieee.org/develop/regauth/oui/oui.txt )

Ah très bien, ça fait un moment que je cherche ce genre d'appli: http://jagt.github.io/clumsy/
Le throttling est particulièrement intéressant pour voir comment se comportent vos pages web quand le débit est faible.

Les articles techniques de S.B. sont toujours intéressants à lire.  Le spoofing IP n'est pas toujours si facile que ça.
Les choses sont tout de même différentes dans un LAN où d'autres manœuvres peuvent entrer en jeu pour faciliter l'usurpation (ARP poisonning, serveurs DHCP malicieux...)