Un balayage de port est une technique de reconnaissance de réseau conçue pour identifier les ports ouverts sur un ordinateur. Cela peut permettre au scanner d'identifier le site application fonctionnant sur le système, car certains programmes écoutent sur des ports particuliers et réagissent au trafic d'une certaine manière. Par exemple, HTTP utilise le port 80, DNS le port 53 et SSH le port 22.
Les adresses IP sont essentielles à l'acheminement du trafic sur un réseau. Une adresse IP identifie de manière unique l'appareil vers lequel un paquet doit être acheminé. Toutefois, il ne suffit pas de savoir qu'un ordinateur particulier doit recevoir un paquet pour que celui-ci atteigne sa destination. Un ordinateur peut exécuter plusieurs application différents en même temps, et plusieurs d'entre eux peuvent envoyer et recevoir simultanément du trafic sur le réseau.
Les protocoles TCP et UDP définissent le concept de ports sur un ordinateur. Une application peut envoyer du trafic et écouter sur un port particulier. La combinaison d'une adresse IP et d'un port permet à l'appareil de routage et au poste de s'assurer que le trafic atteint l'application prévue.
Un scanner de port, tel que nmap, fonctionne en envoyant du trafic vers un port particulier et en examinant les résultats. Si un port est ouvert, fermé ou filtré par un réseau sécurité il répondra de différentes manières à un balayage de port, notamment :
Les ordinateurs réagissent différemment aux différents paquets. En outre, certains types de balayages de ports sont plus évidents que d'autres. C'est pourquoi un scanner de ports peut utiliser diverses techniques de balayage.
Parmi les types de balayages de ports les plus courants, on peut citer
Un balayage des ports peut fournir une multitude d'informations sur un système cible. En plus de déterminer si un système est en ligne et quels ports sont ouverts, les scanners de ports peuvent également identifier les application qui écoutent des ports particuliers et le système d'exploitation de l'hôte. Ces informations supplémentaires peuvent être tirées des différences dans la manière dont un système répond à certains types de demandes.
Le balayage des ports est une étape courante au cours de la phase de reconnaissance d'une attaque. cyberattaque. Un balayage des ports fournit des informations précieuses sur un environnement cible, notamment sur les ordinateurs qui sont en ligne, sur le site application qui fonctionne sur eux et, éventuellement, sur le système en question et ses défenses éventuelles (pare-feu, etc.).
Ces informations peuvent être utiles lors de la planification d'une attaque. Par exemple, le fait de savoir qu'une organisation utilise un serveur web ou DNS particulier peut permettre à l'attaquant d'identifier des vulnérabilités potentiellement exploitables dans ce logiciel.
De nombreuses techniques utilisées par les scanners de ports sont détectables dans le trafic réseau. Le trafic vers de nombreux ports, dont certains sont fermés, est anormal et peut être détecté par une solution de sécurité réseau telle qu'un IPS. En outre, un pare-feu peut filtrer les ports inutilisés ou mettre en œuvre des listes de contrôle d'accès qui limitent les informations fournies à un scanner de ports.
Check Point’s Quantum IPS offre une protection contre le balayage des ports et d'autres cybermenaces. Pour en savoir plus sur les autres menaces que Quantum IPS peut gérer, consultez le site de Check Point. 2023 Cyber Security Report. Vous êtes également invités à inscrivez-vous pour un démo gratuit pour découvrir par vous-même les capacités de Quantum IPS.