j'ai compris

Qu'est-ce que L'analyse de Ports ?

publié il y a  2022-1-15 16:51:31Dernière réponse en. 16, 2022 18:01:14 226 1 3 0 0

Qu'est-ce que L'analyse de Ports ?


Une analyse de port est l'une des techniques fondamentales utilisées pour identifier les portes ouvertes ou les points faibles d'un réseau. Les administrateurs réseau l'utilisent pour découvrir les vulnérabilités potentielles en envoyant des paquets à des ports spécifiques et en analysant les réponses. Vous pouvez utiliser des outils tels que l'analyse IP, Nmap, Netcat, etc. pour vous assurer que votre réseau et vos systèmes sont sécurisés ou non.

La même technique est également utilisée par les acteurs de la menace pour trouver les points d'entrée possibles dans votre réseau. Ils peuvent savoir si le port donné est utilisé ou fermé, ils peuvent même identifier les services ou programmes qui pourraient utiliser le port donné. Il peut également leur révéler si des dispositifs de sécurité actifs, par exemple un pare-feu, sont utilisés par votre organisation pour filtrer les paquets ou le trafic.

L'analyse active des ports par des acteurs malveillants peut sonner l'alarme pour votre organisation, car elle peut révéler de nombreuses informations sur votre réseau. Par example,


*) Services en cours d'exécution ou utilisant le(s) port(s)
*) Utilisateurs propriétaires de services
*) Si les connexions anonymes sont autorisées
*) Quels services réseau nécessitent une authentification, etc.

___


 Que sont les ports ?


Un port est un point sur un ordinateur ou un périphérique réseau où se produit l'échange réel d'informations entre les programmes, Internet vers vos périphériques réseau et ordinateurs.
Afin d'assurer la cohérence, les ports sont toujours des nombres. Nous identifions les ports via ces numéros de port. Ces numéros de port fonctionnent avec une adresse IP et, ensemble, ils constituent une information extrêmement vitale dont chaque FAI ou programme a besoin pour répondre à vos demandes de données.

Si vous connaissez parfaitement les ports, vous saurez que les numéros de port vont de 0 à 65 535 et sont classés en termes de popularité.


1. Ports bien connus


Ce sont des ports numérotés de 0 à 1 023 et sont généralement réservés à l'utilisation d'Internet, mais peuvent également avoir des objectifs spécialisés. Ces ports sont attribués par l'IANA (Internet Assigned Numbers Authority) et détenus par des entreprises de premier plan et des services de langage de requête structuré (SQL).


2. Ports enregistrés


Ce sont des ports numérotés de 1 024 à 49 151 et ils sont enregistrés par des éditeurs de logiciels.


3. Ports dynamiques/privés


Ce sont des ports numérotés de 49 152 à 65 535 et peuvent être utilisés par presque tout le monde sur Internet.

Les ports sont généralement gérés par 2 protocoles (il existe également d'autres protocoles) :


1) **TCP, **qui définit comment établir et maintenir une conversation réseau entre les applications
2) **UDP, **qui est principalement utilisé pour établir des connexions à faible latence et tolérantes aux pertes entre les applications.
Certains des ports les plus populaires et les plus fréquemment utilisés sont mentionnés ici :
**Port 20 (UDP) : **Protocole de transfert de fichiers (FTP) utilisé pour transférer des données vers un deuxième canal pour le transport de données
**Port 21 (UDP) : **FTP utilisé pour la commande et le contrôle du serveur FTP
**Port 22 (TCP) : **Protocole Secure Shell (SSH) utilisé pour le FTP, le transfert de port et les connexions sécurisées
**Port 23 (TCP) : **Le protocole Telnet utilisé pour la communication TXT non cryptée
**Port 43 (TCP) : **Utilisé par SMTP pour les systèmes de messagerie
**Port 53 (UDP) : **Le système de noms de domaine (DNS), qui traduit les noms de domaine Internet en adresses IP lisibles par machine
**Port 80 (TCP) : **Le HTTP du World Wide Web
**Port 443(TCP) : **HTTP sécurisé (HTTPS)
___

 

QUELLES SONT LES PRINCIPALES TECHNIQUES DE NUMÉRISATION DE PORT ?


1. Balayage ping


Une analyse ping est la plus simple des techniques d'analyse de port et est également connue sous le nom de requêtes ICMP. Dans cette analyse, vous envoyez un groupe de plusieurs requêtes ICMP à différents serveurs pour tenter d'obtenir une réponse. Une analyse ping peut être utilisée par les administrateurs pour résoudre les problèmes, et vous pouvez facilement bloquer ou désactiver ces pings à l'aide de votre pare-feu.


2. Balayage vanille


Dans cette analyse, vous essayez de vous connecter à TOUS les 65 536 ports en même temps. Il envoie un drapeau SYN (demande de connexion) et à la réception d'une réponse SYN-ACK (accusé de réception de connexion), renvoie un drapeau ACK. Toute cette séquence d'échange SYN, SYN-ACK, ACK crée une poignée de main TCP complète. Ces scans sont également appelés scans de connexion complète. Ils sont précis, mais peuvent très facilement être détectés car les connexions complètes sont TOUJOURS enregistrées par votre pare-feu.


3. Balayage SYN


Cette analyse est également appelée analyse semi-ouverte, car elle n'envoie qu'un SYN et attend une réponse SYN-ACK de la cible. C'est ça. Si une réponse est reçue, le scanner n'y répond jamais. Étant donné que la connexion TCP n'a pas été établie, votre système ou votre pare-feu n'enregistre pas cette interaction, mais l'expéditeur (vous) a appris si le port donné est ouvert ou non. Il s'agit d'une technique rapide que les pirates utilisent pour trouver des faiblesses.


4. Numérisations XMAS et FIN


Les analyses d'arbres de Noël (analyses XMAS) et les analyses FIN sont, en fait, des méthodes d'attaque plus discrètes. Les analyses XMAS tirent leur nom de l'ensemble d'indicateurs qui sont ACTIVÉS dans un paquet qui, lorsqu'ils sont visualisés dans un analyseur de protocole comme Wireshark, semblent clignoter comme un arbre de Noël. Ce type d'analyse envoie un ensemble d'indicateurs qui, lorsqu'ils sont répondus, peuvent révéler des informations précieuses sur le pare-feu et si le port est ouvert ou non.

Dans une analyse FIN, un attaquant envoie un indicateur FIN à un port. Vous devez savoir que cet indicateur FIN est souvent utilisé pour mettre fin à une session établie, sur un port spécifique. La façon dont le système répond à cet indicateur FIN peut aider l'attaquant à comprendre - quel est le niveau d'activité sur ce port et comment le pare-feu est utilisé par votre organisation.


5. Analyse des rebonds FTP


Cette analyse permet à l'expéditeur de dissimuler son emplacement réel en faisant rebondir le paquet via un serveur FTP. Ceci est également conçu pour que l'expéditeur ne soit pas détecté.


6. Balayage par balayage


Ce type d'analyse penche fortement vers l'analyse du réseau, moins vers l'analyse des ports. Dans cette analyse, vous ou l'attaquant pingez le même port sur un certain nombre d'ordinateurs de votre réseau pour identifier les ordinateurs du réseau qui sont actifs. Cela ne révèle pas d'informations sur l'état du port, mais indique à l'expéditeur quels systèmes d'un réseau sont actifs. Ainsi, il peut être utilisé comme analyse préliminaire.
Comme vous l'avez peut-être déjà senti, l'activité d'analyse du réseau (découverte de l'hôte) précéderait l'analyse des ports. En effet, l'analyse du réseau est un processus qui identifie une liste d'hôtes actifs sur un réseau et les mappe à leurs adresses IP, qui doivent être compilées avant d'exécuter une analyse de port.

L'analyse du réseau est souvent la première étape des pirates informatiques lors de la mise en scène d'une attaque.


Lorsque vous souhaitez analyser votre réseau local, vous utiliserez ARP Scan. Une analyse ARP mappe les adresses IP aux adresses MAC et peut être utilisée pour déterminer les hôtes qui sont actifs. Mais si vous ou l'attaquant n'êtes pas à l'intérieur du réseau local, cette analyse ne peut pas être utilisée.


Ainsi, si vous souhaitez effectuer une analyse hors d'un environnement LAN, vous devez exécuter un certain nombre d'analyses ICMP. Vous exécuteriez ce type d'analyse en utilisant des requêtes ICMP pour la marque d'adresse, l'écho, l'horodatage, etc. Si vous n'obtenez pas de réponse d'une adresse IP, cela signifie qu'il n'y a pas d'hôte à l'adresse cible ou votre demande a été bloqué par un pare-feu ou une solution de filtrage de paquets.

Une fois l'analyse du réseau terminée et une liste des hôtes disponibles compilée, une attaque par analyse de port peut identifier l'utilisation de ports spécifiques. Il classera généralement les ports comme ouverts, fermés ou filtrés.


**Ports ouverts : **Les ports ouverts indiquent que le serveur ou le réseau cible accepte activement des connexions ou des datagrammes et a répondu par un paquet indiquant qu'il écoute. Cela indique également que le service utilisé pour l'analyse (généralement TCP ou UDP) est également utilisé.


**Ports fermés : **Les ports fermés indiquent que le serveur ou le réseau a reçu la requête, mais qu'aucun service n'est à l'écoute sur ce port. Un port fermé est toujours accessible et peut être utile pour montrer qu'un hôte est sur une adresse IP.


**Ports filtrés : **Les ports filtrés indiquent qu'un paquet de requête a été envoyé, mais que l'hôte n'a pas répondu et n'écoute pas. Cela signifie généralement qu'un paquet de requête a été filtré et/ou bloqué par un pare-feu. Si les paquets n'atteignent pas leur emplacement cible, les attaquants ne peuvent pas trouver plus d'informations. Les ports filtrés répondent souvent par des messages d'erreur indiquant "destination inaccessible" ou "communication interdite".
___


COMMENT SE DÉFENDRE CONTRE LE SCANNING DE PORT PAR DES ACTEURS DE MENACE ?


Étant donné que les cybercriminels parcourent les réseaux pour évaluer la réaction des ports, ce qui leur permet de comprendre les niveaux de sécurité de votre entreprise et les systèmes qu'ils déploient.

Certains mécanismes de défense importants que vous pouvez utiliser sont :


1. Un IPS basé sur le réseau


Pour protéger votre entreprise des menaces internes...


2. Un pare-feu puissant


Un pare-feu peut empêcher l'accès non autorisé au réseau privé de votre entreprise. Il contrôle les ports et leur visibilité, et détecte quand une analyse de port est en cours avant de l'arrêter.


3. Emballages TCP


Ceux-ci vous permettront d'avoir la flexibilité d'autoriser ou de refuser l'accès aux serveurs en fonction des adresses IP et des noms de domaine.


4. Découvrez les trous dans votre propre réseau


Vous pouvez effectuer vos propres analyses de ports internes pour déterminer si plus de ports sont ouverts que nécessaire. Vous devez vérifier régulièrement vos systèmes pour identifier les points faibles ou les vulnérabilités potentielles qui pourraient être exploitées par un attaquant.


5. Outils


Certains outils tels que la surveillance du réseau, le filtrage de paquets, le mappage IP, etc. amélioreront votre capacité à identifier les attaques et offriront une visibilité avancée sur vos réseaux.



UNE



N'hésitez pas à laisser un message et à échanger dans l'espace commentaire !


  • x
  • Standard:

Voltaire
publié il y a 2022-1-16 18:01:14
J'apprécie vraiment!
View more
  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Accord utilisateur ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.