Présentation du piège TFTP
Un piège TFTP a été mis en place pendant plus d'un mois, en continu sur un serveur virtuel et de manière intermittente sur un serveur Dell R530. Les résultats montrent que les deux serveurs reçoivent entre 20 et 50 paquets TFTP par jour, principalement des scans réguliers de sept entreprises de sécurité.
analyse des scans
Les scans proviennent de entreprises telles que Shadow Servers, Censys, Driftnet, Shodan, Palo Alto Networks, Netscout et Internet Census. Les requêtes sont souvent des RRQ (Read Request) pour des fichiers tels que a.pdf, a ou des noms de fichiers aléatoires. Certaines requêtes sont non conformes au protocole TFTP, comme les paquets de 16 octets envoyés par Shodan.
objectif des scans
L'objectif principal de ces scans semble être l'identification des adresses IP qui écoutent sur le port UDP 69. Les entreprises de sécurité cherchent à identifier les serveurs TFTP et à déterminer quel logiciel est utilisé. Certaines requêtes, comme celles de Palo Alto Networks, semblent viser à identifier les serveurs mal configurés ou à tester les vulnérabilités des serveurs TFTP.
implications et limites
Les résultats de cette expérience montrent que la plupart du trafic TFTP provient d'entreprises de sécurité et non de « méchants » qui tentent d'exploiter des logiciels de niche. Les scans semblent être principalement utilisés pour collecter des informations sur les serveurs TFTP et leurs configurations. Cependant, il est important de noter que les résultats de cette expérience sont limités et qu'il est difficile de déterminer les motivations réelles derrière ces scans.
RRQ pour a.pdf, octet
Les requêtes telles que RRQ pour a.pdf, octet ne peuvent pas conduire à plus que l'identification d'un serveur TFTP qui écoute sur le port 69.