Dans le but d’améliorer la sécurité de l’Internet en France, l’ANSSI, autorité nationale de la sécurité des systèmes d’information effectue régulièrement des « scans réseaux » antiddos, à partir des adresses IP suivantes :

  • 92.154.95.236
  • 185.50.66.1
  • 54.38.103.0
  • 54.38.103.1
  • 137.74.246.152
  • 147.135.160.230

Les scans actuellement effectués dans ce cadre portent sur les protocoles suivants :

  • DNS (UDP / 53)
  • NTP (UDP / 123)
  • SNMP (UDP / 161)
  • SSDP (UDP / 1900)
  • TFTP (UDP / 69)
  • CHARGEN (UDP / 19)
  • mDNS (UDP / 5353)
  • memcached (UDP / 11211)

DNS
Les requêtes envoyées dans le cadre des scans portant sur le protocole DNS sont de la forme suivante :

Exemple de requête :
05c90120000100000000000101310236360235300331383507696e2d61646472046172706100000c00010000291000000000000000

NTP
Les requêtes envoyées dans le cadre des scans portant sur le protocole NTP sont de la forme suivante :

Exemples de requêtes :
1602000100000000000000001700032a

0000000000000000000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000

000000000000000000000000000000000

000000000000000000000000000000000000000000000000000

000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000000000000

00000000000000000000000000000000

0000000000000000000000000000000000000000000000000000000

SNMP
Les requêtes envoyées dans le cadre des scans portant sur le protocole SNMP sont de la forme suivante :

Exemples de requêtes :
302402010004067075626c6963a11702047b833d8f0201000201003009300706032b06010500
302402010104067075626c6963a51702042b2e9e370201000201073009300706032b06010500

SSDP
Les requêtes envoyées dans le cadre des scans portant sur le protocole SSDP sont de la forme suivante :

Exemple de requêtes :
4d2d534541524348202a20485454502f312e310d0a486f73743a3233392e3235352e3235352

e3235303a313930300d0a53543a737364703a616c6c0d0a4d616e3a227
37364703a646973636f766572220d0a4d583a330d0a0d0a

TFTP
Les requêtes envoyées dans le cadre des scans portant sur le protocole TFTP sont de la forme suivante :

Exemple de requêtes :
0001706c656173652d76697369742d7777772e616e74692d64646f732d6d6561737572656d656e

74732e7373692e676f75762e6672006e6574617363696900

CHARGEN
Les requêtes envoyées dans le cadre des scans portant sur le service CHARGEN sont de la forme suivante :

Exemple de requêtes :
00

MDNS
Les requêtes envoyées dans le cadre des scans portant sur le protocole mDNS sont de la forme suivante :

Exemple de requêtes :
3d5800000001000000000000095f7365727669636573075f646e732d7364045f756470056c6f63616c00000c0001

MEMCACHED
Les requêtes envoyées dans le cadre des scans portant sur memcached sont de la forme suivante :

Exemple de requêtes :
000000000001000076657273696f6e0d0a

Ces scans réseaux ont pour objectif de réduire le nombre d’équipements susceptibles d’être exploités par des attaquants informatiques. Ils permettent d’évaluer la surface d’attaque des services exposés sur Internet, de contrôler que des vulnérabilités connues n’affectent pas ces services ou encore d’identifier ceux qui peuvent être utilisés pour participer involontairement à une attaque en déni de service.
Certains scans sont réalisés de façon récurrente par l’Agence. Ils permettent à l’Agence de disposer d’une cartographie des services proposés sur Internet, d’en mesurer les évolutions et ainsi pouvoir identifier rapidement le niveau d’exposition face à certaines menaces.
D’autres scans sont conduits ponctuellement. Ils ont pour objectifs d’identifier le niveau d’exposition à des vulnérabilités connues et de suivre la mise en œuvre des correctifs.
Si vous ne souhaitez plus faire partie des adresses IP publiques scannées par l’ANSSI, merci d’envoyer un courriel à contact-scans_at_ssi.gouv.fr.