Un scanner de ports est un outil de mappage des ports TCP et UDP. Dans ce test, il identifie l’état des ports, qu’ils soient fermés, en écoute ou ouverts. Vous pouvez spécifier la plage de ports que l’application analysera, par exemple : 25 à 80. Généralement, les analyseurs de ports sont utilisés par des personnes malveillantes pour identifier les ports ouverts et planifier les intrusions. Il peut également être utilisé par les sociétés de sécurité pour l’analyse de vulnérabilité (pen test). L’un des scanners de ports les plus populaires est nmap.
Analyses de ports légitimes
Les scanners de ports sont des outils importants pour les administrateurs système et les consultants en sécurité informatique, car ces analyses fournissent une image objective de la sécurité des réseaux et des ordinateurs individuels. Par conséquent, plusieurs entreprises et organisations fournissent des analyseurs de réseau et de port ou proposent des analyses en tant que service sur le Web. Les fournisseurs de services en ligne, tels que les fournisseurs IRC, utilisent également des analyses de ports pour déterminer si les clients utilisent des proxys ouverts.
Analyses de ports illégales
Étant donné que le scanner de port fait effectivement vibrer les portes dérobées pour voir si une porte est ouverte quelque part, l’utilisation de ce logiciel peut également, dans certains cas, être considérée comme un acte préparatoire punissable. Cependant, cela ne s’applique que s’il existe également un acte punissable tel qu’une intrusion informatique (art. 138ab, alinéa 1er du Code pénal ; art. 144a, alinéa 1er du Code pénal BES), car le port scan lui-même n’est pas punissable.
Cependant, de nombreuses analyses de ports ne proviennent pas directement de parties malveillantes, mais de vers et de virus sur des ordinateurs infectés, qui tentent ainsi d’identifier les cibles des infections. Dans cette dernière forme, seuls des ports spécifiques sont généralement analysés.
Analyse TCP
Dans une analyse TCP, les services du système d’exploitation sont utilisés pour tenter d’établir une connexion avec un autre ordinateur. Lorsque la connexion est établie (après une poignée de main à trois), le scanner se déconnecte. L’avantage est que l’opérateur n’a pas besoin d’avoir des privilèges système et le logiciel utilisé est très simple. Cependant, l’utilisation de routines du système d’exploitation empêche l’utilisateur de manipuler les paquets TCP utilisés.
Balayage SYN
Une analyse SYN, également connue sous le nom d’analyse semi-ouverte, utilise des paquets TCP spécifiques, souvent manipulés. Une fois que la cible a répondu par un ACK à la demande d’ouverture de connexion (avec un paquet SYN), un paquet RST (réinitialisation) est envoyé. Cela ne terminera pas la poignée de main à trois voies et n’ouvrira jamais complètement la connexion. D’où le nom.
Analyse ACK
Un scan ACK est un outil assez spécifique qui ne vérifie pas la disponibilité d’un port, mais le pare-feu sous-jacent. Cette forme d’analyse est basée sur le fait que les pare-feux simples reconnaissent les connexions entrantes par le paquet SYN et ignorent les connexions déjà établies. En omettant simplement le paquet SYN et en prétendant qu’il existe déjà une connexion existante, des conclusions sur les règles du pare-feu concerné peuvent être récupérées. Cependant, cela ne fonctionne que si le logiciel pare-feu n’est pas dynamique, c’est-à-dire qu’il ne conserve pas d’informations internes sur l’état des connexions. Cependant, les logiciels de pare-feu modernes sont généralement avec état, de sorte que cette méthode d’analyse n’est plus très utile.
Numérisation TIN
Comme de nombreux pare-feux utilisent le paquet SYN pour détecter les connexions entrantes et les bloquer si nécessaire, une alternative a été imaginée basée sur un traitement différent du paquet FIN, qui en utilisation normale annonce la fin d’une connexion TCP. Les ports fermés répondent à un FIN avec un paquet RST, tandis que les ports ouverts ignorent le paquet. Cependant, cette technique ne fonctionne pas avec certains systèmes d’exploitation qui ignorent la différence entre les ports ouverts et fermés et envoient toujours un paquet RST (comme les différentes versions de Microsoft Windows) et les systèmes équipés d’un filtrage de paquets avec état, comme Linux qui peut afficher paquet par paquet ou fait partie d’une connexion déjà existante.