<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1678611822423757&amp;ev=PageView&amp;noscript=1">
Defrag This

| Read. Reflect. Reboot.

Analyse de ports 101 : description, objectif, intérêts pour les pirates et avantages pour vous

Jason Williams| September 10 2018

| monitoring

whatsup-port-scanner

Selon le SANS Institute, l'analyse des ports est l'une des techniques les plus utilisées par les pirates afin de détecter les services exploitables pour s'immiscer dans les systèmes. Certes, l'analyse des ports n'est pas hostile en soi. Mais elle constitue souvent la première étape de reconnaissance choisie par les pirates pour tenter d'infiltrer un réseau ou dérober/détruire des données sensibles. Dans cet article, nous examinerons certaines des meilleures pratiques que vous pouvez appliquer pour vous défendre contre les pirates et empêcher d'éventuelles intrusions sur le réseau.

Par où commencer ? 

Pour réaliser une analyse de ports, vous devez d'abord dresser une liste des hôtes actifs. Une analyse réseau consiste à détecter l'ensemble des hôtes actifs d'un réseau et à cartographier ces hôtes avec leurs adresses IP associées. Avec une telle liste des hôtes actifs, l'analyse des ports, qui consiste à envoyer des paquets vers des ports spécifiques sur un hôte et à analyser les réponses afin d'identifier les services qui y sont exécutés, peut alors être menée à bien.

Analyse des ports pour la détection des hôtes

Le processus qui consiste à identifier les systèmes actifs et à « écouter » un réseau s'appelle la détection des hôtes. Ce processus est souvent la première étape choisie par les pirates lors d'une attaque hostile. Deux protocoles principaux sont utilisés pour la détection des hôtes : les analyses ARP (Address Resolution Protocol, protocole de résolution des adresses) et différentes formes d'analyses ICMP (Internet Control Message Protocol, protocole de message de contrôle sur Internet).

Une analyse ARP consiste à établir les correspondances entre les adresses IP et les adresses MAC sur un sous-réseau local. Les requêtes ARP peuvent être envoyées sur l'ensemble des adresses IP d'un réseau LAN afin d'identifier les hôtes actifs en fonction des réponses ARP obtenues. Étant donné que les requêtes ARP fonctionnent uniquement sur un LAN, le pirate potentiel doit être connecté à votre réseau interne.

Fermez la porte aux intrus indésirables. Téléchargez gratuitement WhatsUp  PortScanner >>

Pour réaliser une analyse réseau hors du réseau LAN, il est possible d'utiliser plutôt une série de différents paquets ICMP, par exemple les requêtes d'écho, d'horodatage et de masque d'adresse. Les requêtes d'écho ou ping permettent de détecter si un hôte est accessible, tandis que les paquets d'horodatage déterminent la latence entre deux hôtes. Les requêtes de masque d'adresse peuvent servir à identifier le masque de sous-réseau utilisé sur le réseau.

Pour être détectés au moyen de messages ICMP, les hôtes d'un réseau doivent renvoyer une réponse. Si aucune réponse n'est reçue, cela peut signifier qu'il n'y a pas d'hôte à l'adresse ciblée ou que le type de message ICMP n'est pas pris en charge par l'hôte ciblé. La requête initiale peut également avoir été bloquée par un pare-feu ou par un filtre de paquets. De façon générale, les requêtes d'écho (ping) ICMP qui ne proviennent pas de l'intérieur du réseau sont bloquées par les pare-feu. En revanche, les requêtes d'horodatage ou de masque d'adresse sont moins susceptibles d'être bloquées.

Analyse des ports

Maintenant que l'analyse réseau est terminée et que la liste des hôtes disponibles est dressée, l'analyse des ports va permettre d'identifier les ports spécifiques utilisés par les hôtes disponibles. Chaque port est alors classé dans l'une des trois catégories suivantes :

Ouvert : L'hôte cible répond avec un paquet indiquant qu'il écoute activement ce port. Ceci signifie également que le service adopté pour l'analyse (généralement TCP ou UDP) est en cours d'utilisation.

Fermé : L'hôte cible a reçu le paquet de la requête mais sa réponse indique qu'aucun service n'écoute actuellement ce port.

Filtré : L'analyse des ports classe un port comme « filtré » lorsqu'un paquet de requête a été envoyé mais qu'aucune réponse n'a été reçue. Ceci signifie généralement que le paquet de requête a été bloqué au filtrage et écarté par un pare-feu.

Méthodes d'analyse des ports 

Comme mentionné précédemment, les protocoles généralement utilisés lors de l'analyse des ports sont les protocoles TCP et UDP. Différentes méthodes permettent de réaliser l'analyse des ports au moyen de ces protocoles.

La méthode d'analyse TCP la plus souvent adoptée est l'analyse SYN. Celle-ci implique la création d'une connexion partielle à l'hôte sur le port cible avec l'envoi d'un paquet SYN et l'évaluation de la réponse renvoyée par l'hôte. Si le paquet de requête n'a pas été filtré ou bloqué par un pare-feu, l'hôte répond en renvoyant un paquet SYN/ACK si le port est ouvert ou un paquet RST si le port est fermé.

Une autre méthode d'analyse TCP est l'analyse de connexion TCP. Dans cette méthode, l'outil d'analyse tente de se connecter à un port de l'hôte ciblé au moyen de l'appel de système de connexion TCP et déclenche le processus de poignée de main (handshake) TCP complet. Ce processus génère une surcharge de paquets. La détection est donc beaucoup plus simple, c'est pourquoi cette méthode d'analyse des ports est moins souvent utilisée.

D'autres types d'analyses des ports TCP incluent, entre autres, les analyses NULL, FIN et Xmas. Ces trois types d'analyses impliquent la manipulation des drapeaux d'en-têtes TCP. Les analyses NULL envoient des paquets sans drapeaux définis dans leurs en-têtes, alors que les analyses FIN ont uniquement le bit FIN défini. Les paquets des analyses Xmas ont leurs bits des drapeaux FIN, PSH et URG activés, ce qui leur donne l'apparence d'un « sapin de Noël illuminé ». D'où leur nom d'analyses Xmas (« Noël » en anglais).

Les analyses UDP, comme les analyses TCP, envoient un paquet UDP vers différents ports de l'hôte cible, puis évaluent les paquets reçus en réponse afin de déterminer la disponibilité du service sur l'hôte. Comme pour les analyses TCP, la réception d'un paquet de réponse indique que le port est ouvert.

Préparation

Aujourd'hui, les systèmes de détection des intrusions sur le réseau et les pare-feu sont généralement préconfigurés afin de déceler les analyses réseau malveillantes. Cependant, les pirates potentiels se montrent plus intelligents et tentent parfois de contourner les règles de détection traditionnelles en modifiant la fréquence des analyses, en accédant aux ports hors service ou en usurpant leur adresse source. La meilleure façon de vous protéger contre les analyses réseau malveillantes capables d'exploiter les failles du réseau consiste à vous assurer, au départ, que votre réseau ne comporte aucune faille.

La compréhension des vulnérabilités des hôtes est un aspect crucial de la sécurité globale du réseau. En tant qu’ingénieur réseau, vous êtes responsable de la protection de votre infrastructure contre les logiciels malveillants, les vers, les pirates informatiques, les chevaux de Troie et les virus. Votre mission consiste donc à réduire les occasions d'attaques à des fins d'intrusions.

Comme c'est souvent le cas, la meilleure pratique ici est de lutter contre le feu par le feu : analyser vos propres réseaux pour déceler les vulnérabilités avant que les « méchants » ne les trouvent. Heureusement, il existe toute une série d'outils gratuits pour y parvenir, notamment notre propre solution : WhatsUp PortScanner.

WhatsUp PortScanner vous permet de :

  • Identifier les hôtes actifs au moyen des protocoles ICMP et TCP
  • Utiliser différentes technologies d'analyse pour détecter les ports ouverts
  • Enregistrer les configurations d'analyses comme favorites pour y accéder plus rapidement

Exploiter la base de données de ports identifiés (incluse) ou la personnaliser pour l'adapter à votre environnement

PortScanner est un outil gratuit. Par conséquent, si vous souhaitez en apprendre plus sur l'analyse des ports de façon concrète et pratique, je vous recommande de le télécharger et de l'essayer. Vous pouvez télécharger gratuitement l'outil ici. 

Topics: monitoring

Leave a Reply

Your email address will not be published. Required fields are marked *

THIS POST WAS WRITTEN BY Jason Williams

Jason is Ipswitch's Community director and all-around WUG guru.

Free Trials

Getting started has never been easier. Download a trial today.

Download Free Trials

Contact Us

Let us know how we can help you. Focus on what matters. 

Send us a note

Subscribe to our Blog

Let’s stay in touch! Register to receive our blog updates.