Si vous faites de l’administration réseau ou simplement que vous êtes un peu curieux, il peut vous arriver de voir apparaitre sur votre réseau l’adresse IP 239.255.255.250 sans savoir à ce qu’elle correspond.
Pas de panique ! Cette adresse IP est tout simplement utilisée par le protocole SSDP (Simple Service Discovery Protocol) qui permet de découvrir des services réseau ou encore des informations de présence. SSDP est la base du protocole de découverte Universal Plug and Play (UPnP) et est destiné à une utilisation dans les environnements de bureau ou résidentiels. SSDP utilise le User Datagram Protocol (UDP) comme protocole de transport. Les services sont annoncés par le système d’hébergement à une adresse IP multicast spécifiquement désigné sur le numéro de port 1900/UDP. Sur IPv4, l’adresse de multidiffusion est la fameuse 239.255.255.250.
A titre indicatif, en 2014 le protocole SSDP a été utilisé dans le cadre d’une attaque DDoS par réflexion et amplification (comme ce qu’on connait sur NTP par exemple). Un grand nombre de dispositifs, y compris certains routeurs domestiques, ont une vulnérabilité dans le protocole UPnP qui permet à un attaquant d’obtenir des réponses sur le port 1900 à une adresse IP de destination de son choix. Avec un botnet de milliers de dispositifs, ils sont en mesure de générer suffisamment de paquets par seconde et donc de bande passante pour saturer liens causant le déni de service.
Laisser un commentaire