Ce projet vise à réduire le nombre d'attaques en bloquant les adresses IP identifiées comme abusives, agressives ou malveillantes. Grâce à un réseau de 16 leurres déployés dans des zones stratégiques du cyberespace européen, plus de 8000 adresses IP uniques sont collectées quotidiennement. Après analyse et validation, les adresses IP sont ajoutées à cette liste de blocage, surveillée en continu. Je rappelle que cette liste ne remplace en aucun cas les bonnes pratiques de sécurité, elle y contribue et mise à journée toutes les 4 à 24 heures
Cette liste constitue une couche de protection supplémentaire visant à :
- Réduire le nombre d’attaques
- Limiter la cartographie des actifs exposés (IP publiques)
- Réduire légèrement la surface d’attaque (ex. reconnaissance)
Les adresses IP sont conservées pendant 60 jours maximum. Si aucune activité n’est détectée durant cette période, elles sont retirées de la liste de blocage et transférées dans une liste blanche également surveillée.
- Destination principale : Europe
- Certaines adresses IP ont une durée de vie courte (APT, infostealers, malwares, etc.)
| CVE | TTPs | Pays les plus ciblés |
|---|---|---|
| CVE-2020-25078 | Apache Attack | FR, BE, NL, GE |
| CVE-2021-42013 | Nginx Attack | BE, IT, NL, PL |
| CVE-2021-41773 | VPN Attack | FR, BE, NL, GE |
| CVE-2024-3400 | RDP Attack | FR, BE, IT, ES |
| CVE-2017-16894 | Brute-Force SSH Login | PL, BE, NL, FR |
| CVE-2024-3721 | Credentials Dumping | FR, BE, ES, PT |
| CVE-2022-30023 | Information Gathering | FR, BE, NL, LU |
| CVE-2017-9841 | Remote Code Execution | FR, BE, LU, GE |
| CVE-2018-10561 | Ransomware Attack | FR, BE, ES, PT |
| CVE-2018-20062 | OT/ICS Attack | FR, BE, NL, GE |
| CVE-2022-44808 | Tor Exit Node | GE, FR, NL, PL |
| CVE-2022-41040 | Web Traversal | BE, FR, NL, AT |
| CVE-2022-41082 | IMAP Attack | FR, BE, NL, GE |
4 listes sont à votre disposition
- prod_data-shield_ipv4_blocklist.txt (liste complète) pour les pare-feux dont la limitation est de 130.000 IPs par liste externe
- prod_aa_data-shield_ipv4_blocklist.txt (liste splittée) pour les pare-feux dont la limitation est de 50.000 IPs par liste externe
- prod_ab_data-shield_ipv4_blocklist.txt (liste splittée) pour les pare-feux dont la limitation est de 50.000 IPs par liste externe
- prod_ac_data-shield_ipv4_blocklist.txt (liste splittée) pour les pare-feux dont la limitation est de 50.000 IPs par liste externe
| Fournisseur | URL |
|---|---|
| Fortinet | Lien vers l'intégration |
| Checkpoint | Lien vers l'intégration |
| Palo Alto | Lien vers l'intégration |
| OPNsense | Lien vers l'intégration |
D'après les informations reccueillies sur Linkedin à travers mon réseau professionnel, 157 petites, moyennes entreprises (dont Acensi), des particuliers et freelances ont déjà intégré cette liste dans leur pare-feux Fortinet, Palo Alto, Checkpoint, etc.
Ce projet peut sembler être d'une facilité déconcertante à maintenir mais il représente du temps de travail et du financement :
- Hébergement des leurres (VPS)
- APIs
- Corrélation de données
- Vérification, qualification, intégration et mise en production continue
Grâce à votre soutien et aux dons, ce projet sera maintenu et perdurera son existance !
| Site de donations | Description | URL |
|---|---|---|
| Ko-Fi | Rejoignez tous les types de créateurs qui reçoivent des dons, des adhésions, etc. de la part de leurs fans ! | Merci à vous !!! |
Data-Shield IPv4 Blocklist © 2023 par Duggy Tuxy (Laurent Minne) est sous licence License File
