Les outils d'analyse de ports font référence aux outils utilisés pour détecter les ports ouverts sur les serveurs ou les hôtes. Ils sont souvent utilisés par les administrateurs informatiques pour confirmer les politiques de sécurité et sont utilisés par les attaquants pour identifier les services réseau opérationnels sur l'hôte cible.
Port Scanner fait référence à un outil utilisé pour détecter les ports ouverts sur un serveur ou un hôte.
est souvent utilisé par les administrateurs informatiques pour confirmer les politiques de sécurité et par les attaquants pour identifier les services réseau opérationnels sur l'hôte cible. (Apprentissage recommandé : Tutoriel vidéo PHP)
La définition de l'analyse des ports est que le client envoie des requêtes correspondantes à une certaine plage de ports du serveur pour confirmer les ports qui peuvent être utilisés . Bien qu'il ne s'agisse pas d'une activité réseau malveillante en soi, il s'agit également d'un moyen important pour les attaquants réseau de détecter le service hôte cible et d'exploiter les vulnérabilités connues du service. L’objectif principal de l’analyse des ports reste simplement de confirmer la disponibilité d’un service sur une machine distante.
L'analyse de plusieurs hôtes pour obtenir un port spécifique est appelée balayage de port (Portsweep) pour obtenir des services spécifiques. Par exemple, un ver informatique basé sur les services SQL balaie le même port sur un grand nombre d'hôtes pour établir une connexion TCP sur le port 1433.
Type
Analyse TCP
L'outil d'analyse de port le plus simple utilise les capacités réseau natives du système d'exploitation et est généralement utilisé comme Option alternative au scan SYN. Nmap appelle ce mode une analyse de connexion car il utilise une commande connect() de type Unix. Si le port est ouvert, le système d'exploitation peut effectuer la négociation à trois voies TCP, puis l'outil d'analyse de port fermera immédiatement la connexion nouvellement établie pour empêcher les attaques par déni de service. L'avantage de ce mode d'analyse est qu'aucune autorisation spéciale n'est requise de la part de l'utilisateur. Cependant, un contrôle de bas niveau ne peut pas être obtenu à l'aide des fonctions réseau natives du système d'exploitation, cette méthode d'analyse n'est donc pas populaire. Et le scan TCP est facile à détecter, notamment comme moyen de balayage de ports : ces services enregistrent l'adresse IP de l'expéditeur et les systèmes de détection d'intrusion peuvent déclencher des alertes. [1]
Analyse SYN
L'analyse SYN est un autre type d'analyse TCP. Les outils d'analyse de ports n'utilisent pas les fonctions réseau natives du système d'exploitation, mais génèrent et envoient eux-mêmes des paquets IP et surveillent leurs réponses. Ce mode d'analyse est appelé « analyse semi-ouverte » car il n'établit jamais de connexion TCP complète. L'outil d'analyse de port génère un paquet SYN et si le port cible est ouvert, un paquet SYN-ACK sera renvoyé. L'extrémité de l'analyse répond avec un paquet RST, puis ferme la connexion avant la fin de la négociation. Si le port est fermé mais qu'aucun filtrage n'est utilisé, le port cible doit continuer à renvoyer des paquets RST.
Cette méthode rudimentaire d'exploitation du réseau présente plusieurs avantages : elle donne à l'outil d'analyse un contrôle total sur la durée d'envoi des paquets et la durée d'attente des réponses, permettant ainsi une analyse plus détaillée des réponses. Il existe un débat quant à savoir quelle méthode d'analyse d'un hôte cible est la moins intrusive, mais l'analyse SYN présente l'avantage de ne jamais établir une connexion complète. Cependant, les paquets RST peuvent provoquer une congestion du réseau, en particulier pour les périphériques réseau simples tels que les imprimantes.
Analyse UDP
L'analyse UDP est également possible, bien qu'il existe quelques défis techniques. UDP est un protocole sans connexion, il n'existe donc pas de paquet équivalent à TCP SYN. Cependant, si un paquet UDP est envoyé à un port qui n'est pas ouvert, le système cible répondra par un message de port ICMP inaccessible. La plupart des scanners de ports UDP utilisent cette méthode d'analyse et utilisent la réponse manquante pour déduire si le port est ouvert. Cependant, si le port est bloqué par un pare-feu, cette méthode signalera à tort que le port est ouvert. Si les messages de port inaccessible sont bloqués, tous les ports apparaîtront ouverts. Cette méthode est également soumise à la limitation de débit ICMP.
Une autre approche consiste à envoyer des paquets UDP spécifiques à l'application dans l'espoir de générer une réponse au niveau de la couche application. Par exemple, si un serveur DNS existe, l'envoi d'une requête DNS au port 53 entraînera une réponse. Cette méthode est plus fiable pour identifier les ports ouverts. Toutefois, elle est limitée à l'analyse des ports lorsque des paquets de sonde spécifiques à l'application sont disponibles. Certains outils (par exemple, NMAP) ont généralement moins de 20 sondes pour les services UDP, tandis que certains outils commerciaux (par exemple, NESUS) en ont jusqu'à 70. Dans certains cas, un service peut écouter sur un port mais être configuré pour ne pas répondre à des paquets de sonde spécifiques.
Pour plus d'articles techniques liés à PHP, veuillez visiter la colonne Tutoriel graphique PHP pour apprendre !
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!