Dans le but d’améliorer le niveau de sécurité de l’Internet en France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) réalise régulièrement des scans réseaux. Ces scans ont pour objectif la réduction du nombre d’équipements susceptibles d’être exploités pour mener des attaques en déni de service par amplification. Le guide « Comprendre et anticiper les attaques DDoS », publié par l’ANSSI, présente ce type d’attaque et décrit les bonnes pratiques permettant de réduire le risque que ses propres équipements ne participent involontairement à une attaque DDoS.
Les scans réalisés portent uniquement sur des équipements accessibles sur l’Internet. Naturellement, aucune tentative de contournement du périmètre de sécurité d’une organisation n’est effectuée.
Les scans actuellement effectués dans ce cadre portent sur les protocoles suivants :
- DNS (UDP / 53)
- NTP (UDP / 123)
- SNMP (UDP / 161)
- SSDP (UDP / 1900)
- TFTP (UDP / 69)
- CHARGEN (UDP / 19)
- mDNS (UDP / 5353)
- memcached (UDP / 11211)
DNS
Les requêtes envoyées dans le cadre des scans portant sur le protocole DNS sont de la forme suivante :
Exemple de requête :
05c90120000100000000000101310236360235300331383507696e2d61646472046172706100000c00010000291000000000000000
NTP
Les requêtes envoyées dans le cadre des scans portant sur le protocole NTP sont de la forme suivante :
Exemples de requêtes :
160200010000000000000000
1700032a000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000
00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000
00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000
SNMP
Les requêtes envoyées dans le cadre des scans portant sur le protocole SNMP sont de la forme suivante :
Exemples de requêtes :
302402010004067075626c6963a11702047b833d8f0201000201003009300706032b06010500
302402010104067075626c6963a51702042b2e9e370201000201073009300706032b06010500
SSDP
Les requêtes envoyées dans le cadre des scans portant sur le protocole SSDP sont de la forme suivante :
Exemple de requêtes :
4d2d534541524348202a20485454502f312e310d0a486f73743a3233392e3235352e3235352e3235303a313930300d0a53543a737364703a616c6c0d0a4d616e3a227
37364703a646973636f766572220d0a4d583a330d0a0d0a
TFTP
Les requêtes envoyées dans le cadre des scans portant sur le protocole TFTP sont de la forme suivante :
Exemple de requêtes :
0001706c656173652d76697369742d7777772e616e74692d64646f732d6d6561737572656d656e74732e7373692e676f75762e6672006e6574617363696900
CHARGEN
Les requêtes envoyées dans le cadre des scans portant sur le service CHARGEN sont de la forme suivante :
Exemple de requêtes :
00
mDNS
Les requêtes envoyées dans le cadre des scans portant sur le protocole mDNS sont de la forme suivante :
Exemple de requêtes :
3d5800000001000000000000095f7365727669636573075f646e732d7364045f756470056c6f63616c00000c0001
memcached
Les requêtes envoyées dans le cadre des scans portant sur memcached sont de la forme suivante :
Exemple de requêtes :
000000000001000076657273696f6e0d0a
