Statistiques sur les scans

Statistiques sur les scans jpp

Quelques chiffres sur le scanning réseau.

Je conserve précieusement des archives en provenance de Ntopng sur plusieurs années : plus de 330 000 000 lignes) et j’ai eu envie de les exploiter un peu.

Par exemple les connexions sans réponse (colonne « OUT_BYTES » à zéro) marquent un certain nombre de scan bloqués par le pare-feu (action « drop ») ou d’autres actions bloquées à la source ( par exemple par Suricata) qui ne génèrent aucune réponse. 
J’ai voulu voir s’il y avait une évolution significative sur les dernières années, en fait depuis depuis décembre 2017 (date mini dans mes archives …).

Le résultat est assez impressionnant en un mois (2020/11) plus de 2 600 000 connexions rejetées !

Graphe connexions "nulles"
Nombre de connexions "refusées"

La variation sur ces quelques années n’est pas très typique mais on note une variation importante avec des pointes passant les 2 000 000 de connexions sur 2018 (oct/nov) et 2020 (nov).

2021/04 n’est ici pas significatif car incomplet (test fait le 21/04/2021). 
Aucune modification notable n’a été faite au niveau de la machine pare-feu et l’utilisation des machines « abritées » derrière a peu varié durant cette période.