Glossaire

Analyse de ports

En quoi consiste le scan de ports ?

Le scan de ports consiste à analyser les ports d'un ordinateur ou d'un serveur, c'est-à-dire l'endroit par lequel transitent les informations, afin de détecter toute activité ou vulnérabilité. C'est un peu comme frapper aux portes pour vérifier si quelqu'un se trouve à l'intérieur. En scannant les ports d'un réseau ou d'un serveur, on peut savoir quels ports sont ouverts et à l'écoute (c'est-à-dire acceptant des données externes), et connaître l'emplacement des systèmes de sécurité présents entre l'émetteur et la cible.

Le logiciel de scan de ports envoie une demande au système ciblé afin de se connecter successivement à chaque port tout en notant les ports qui répondent et ceux qui méritent un examen plus approfondi. Bien que cette pratique ne présente pas de danger en soi, elle constitue généralement un signe avant-coureur d'attaques ciblées.

Les différentes techniques

Un scan de ports consiste à envoyer un paquet soigneusement préparé à chaque numéro de port de destination. Voici les techniques de base utilisées par les logiciels spécialisés :

  • Vanilla : La technique la plus basique, avec tentative de connexion successive aux 65 536 ports. Il s'agit d'un balayage à connexion complète, c'est-à-dire qu'il envoie un drapeau SYN (demande de connexion) et, à la réception d'une réponse SYN-ACK (accusé de réception de connexion), renvoie un drapeau ACK. Cet échange SYN, SYN-ACK, ACK comprend une « poignée de main TCP ». Bien que généralement précis, les scans à connexion complète sont souvent détectés car les pare-feux enregistrent les connexions complètes.
  • Scan SYN : Parfois appelé balayage semi-ouvert, il envoie un paquet synchronisé (SYN), et attend que la cible réponde par un paquet SYN-ACK. En cas de réponse, le balayeur cesse toute communication. Étant donné que la connexion TCP n'a pas abouti, le pare-feu n'enregistrera pas l'interaction, mais l'expéditeur saura quand même si le port est ouvert ou non.
  • Scans XMAS et FIN : Cela regroupe différentes techniques de balayage visant à recueillir des informations sans déclencher d'enregistrement de la part du système cible. Dans le cas d'un balayage FIN, un drapeau FIN, qui sert normalement à compléter une session déjà établie, est transmis spontanément à un port. En fonction de la réponse du système à ce drapeau aléatoire, il est possible de connaître l'état du port et même de détecter la présence d'un pare-feu. Un balayage XMAS envoie lui un paquet de chaque drapeau, semant la confusion dans l'échange. La réponse du port à cet ensemble de paquets renseigne sur l'état du pare-feu et du système.
  • Scan avec rebond FTP : L'expéditeur envoie les paquets par le biais d'un serveur FTP indépendant afin de dissimuler sa position et de passer ainsi inaperçu.
  • Sweep scan : Le même port est interrogé par un grand nombre de systèmes distincts afin d'identifier les ordinateurs du réseau qui sont effectivement actifs. Il n'est pas question ici de déterminer quels ports sont actifs, mais plutôt quels systèmes sont actifs sur le réseau. Il s'agit généralement du premier scan effectué lorsque l'on souhaite recueillir des informations sur un réseau.

Lors d'un scan de ports, les informations renvoyées sont généralement classées dans l'une des trois catégories suivantes :

  • Ouvert ou accepté : L'hôte a envoyé une réponse indiquant qu'un service est à l'écoute sur le port.
  • Fermé ou refusé ou pas d'écoute : L'hôte a envoyé une réponse indiquant que les connexions sur le port seront refusées.
  • Filtré, abandonné ou bloqué : L'hôte n'a pas répondu.

Types de ports

Les ports sont numérotés de 0 à 65 535, certaines plages assurant la majorité du trafic. Les ports 0 à 1 023 sont considérés comme des ports standard et sont affectés à certains services par défaut lorsqu'ils sont connectés à Internet, conformément aux directives de l'IANA (Internet Assigned Numbers Authority). Voici quelques exemples de ports les plus importants ainsi que les services qui leur sont attribués :

  • Port 20 (UDP) : Dédié au protocole FTP (File Transfer Protocol) pour le transfert de données
  • Port 22 (TCP) : Dédié au protocole SSH (Secure Shell) pour sécuriser les connexions, les transferts de fichiers et les redirections de port
  • Port 23 (TCP) : Dédié au protocole Telnet pour les communications textuelles non chiffrées
  • Port 53 (UDP) : Dédié au protocole DNS (Domain Name System), qui traduit les noms de tous les ordinateurs présents sur Internet en adresses IP
  • Ports 80 et 443 (TCP) : Dédiés aux protocoles Web HTTP et HTTPS

D'autres services importants sont fournis bien au-delà du port 1 023, dont certains peuvent être exploités par des trojans et des virus de grande ampleur dans l'espoir d'éviter les ports les plus surveillés et de passer inaperçus.

En quoi le scan de ports est-il important ?

Tous les systèmes sont vulnérables au scan des ports. La plupart des systèmes d'exploitation par défaut comportent de nombreux ports ouverts pour offrir davantage de flexibilité. Avant la mise en ligne d'un système, il convient d'effectuer un scan des ports. Si le nombre de ports ouverts est supérieur au nombre de ports requis, fermez l'excédant. Plus un système offre de services, plus il est vulnérable.

Si un système a été compromis, les pirates peuvent essayer d'ouvrir davantage de ports afin d'en exploiter plus facilement les faiblesses. La vigilance de l'administrateur permet de renforcer la résistance du système aux intrusions et de réduire les risques de piratage.

En savoir plus sur le scan de ports

Termes associés

Lectures complémentaires

Découvrez comment Barracuda peut vous aider

Le scan de ports est une technique courante utilisée par les pare-feux pour empêcher les menaces de pénétrer sur un réseau. Barracuda CloudGen Firewall permet de connaître avec une grande précision la fréquence des balayages de ports au sein d'un environnement. La solution dispose en outre d'une page dédiée à l'analyse des menaces qui répertorie toutes les menaces détectées par le système de prévention des intrusions (IPS), le service d'analyse antivirus et Advanced Threat Protection (ATP).

Des questions sur le scan de ports ? Contactez-nous dès maintenant !