Nouvelle couverture de la plateforme Vectra AI pour Copilot et Microsoft Azure

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
Technique d'attaque

Balayage des ports

Les balayages de ports sont un élément essentiel de la maintenance des réseaux, mais ils peuvent être utilisés par les attaquants pour trouver des portes ouvertes. Voici ce qu'il faut savoir pour détecter et arrêter les balayages de ports.

Définition
Comment cela fonctionne-t-il ?
Pourquoi les attaquants l'utilisent-ils ?
Détection
Foire aux questions
Définition

Qu'est-ce qu'un balayage des ports ?

Le balayage de ports est une technique utilisée par les attaquants pour identifier les vulnérabilités de votre réseau. Si les scanners de ports ont des applications précieuses pour la sécurité des réseaux - pour révéler les ports ouverts, les vulnérabilités ou les dispositifs inutiles connectés au réseau - les acteurs malveillants peuvent les utiliser pour trouver des points faibles pour s'introduire dans le réseau. Les attaquants peuvent également les utiliser pour vérifier si vous utilisez des pare-feu, des VPN, des serveurs proxy et d'autres dispositifs de sécurité.

Comment cela fonctionne-t-il ?

Comment fonctionne la technique de balayage des ports

Les scanners de ports envoient des paquets à une série de ports réseau et analysent les réponses pour déterminer quels ports sont ouverts, fermés ou filtrés. Ces ports correspondent à différents services (tels que HTTP, FTP ou SSH) que les attaquants pourraient potentiellement exploiter s'ils ne sont pas correctement sécurisés.

Processus de balayage des ports
Pourquoi les attaquants l'utilisent-ils ?

Pourquoi les attaquants utilisent-ils des techniques de balayage de ports ?

Les attaquants utilisent souvent les scans de ports dans la phase de reconnaissance pour identifier les services vulnérables ou les systèmes mal configurés. Par exemple, la recherche de ports ouverts tels que 22 (SSH) ou 3389 (RDP) peut révéler des services de gestion accessibles à distance et susceptibles de devenir des cibles d'exploitation.

Une fois qu'un attaquant sait quels ports sont ouverts, il peut se concentrer sur la recherche de vulnérabilités dans les services fonctionnant sur ces ports. Par exemple, si les outils d'analyse révèlent qu'un serveur web fonctionne sur le port 80, les attaquants peuvent le sonder pour y trouver des configurations erronées, des logiciels non corrigés ou des informations d'identification insuffisantes.

Types d'attaques par balayage de ports

Les attaquants utilisent plusieurs types de techniques de balayage de ports, en fonction du niveau de furtivité requis :

  • Analyse de connexion TCP : Cette analyse tente d'effectuer un échange complet à trois pour déterminer si un port est ouvert. Il s'agit de l'attaque par balayage de port la plus facile à détecter, car elle laisse des traces dans les enregistrements de connexion du système. Cette technique est utilisée lorsque l'analyse SYNC n'est pas possible.
  • Les scans SYN : Le balayage SYN, ou balayage semi-ouvert, est plus furtif qu'un balayage de connexion TCP. L'outil de balayage des ports envoie un paquet pour initier la connexion, mais ne complète pas la poignée de main, ce qui réduit les risques de détection. Cette méthode révèle les ports ouverts sans établir de connexion TCP complète ni signaler d'alarmes.
  • FIN, Xmas et NULL Scans : Il s'agit de techniques utilisées pour contourner les pare-feu ou les systèmes de détection d'intrusion (IDS). Elles consistent à envoyer des paquets avec des combinaisons de drapeaux inhabituelles pour sonder un port spécifique. Selon le système d'exploitation, un port ouvert ou fermé peut réagir différemment, ce qui permet aux attaquants de cartographier subtilement le réseau.
  • Analyse UDP : Le protocole UDP (User Datagram Protocol) étant sans connexion, l'analyse consiste à envoyer un paquet UDP à un port et à analyser la réponse ou l'absence de réponse. Ce type d'analyse est plus lent et plus difficile à réaliser que les analyses TCP, car les réponses UDP sont moins prévisibles et de nombreux services ne répondent pas si la demande n'est pas correctement formée.
  • Les scans de rebond FTP : Cette tactique utilise un serveur FTP pour faire rebondir un paquet et dissimuler l'emplacement de l'expéditeur, ce qui permet à l'attaquant de passer inaperçu.
  • ‍Pingscans : Dans ce type d'analyse, les attaquants utilisent un ping pour tester la facilité avec laquelle un paquet de données réseau peut atteindre une adresse IP.

Voici un tableau récapitulatif des différentes techniques de balayage de ports et de leur niveau de furtivité :

Technique de balayage Objectif Niveau de furtivité
TCP Connect Scan Tente d'établir une connexion TCP complète avec le port cible pour vérifier s'il est ouvert. Faible (facilement détectable)
Analyse SYN TCP (analyse semi-ouverte) Envoie des paquets SYN pour déterminer les ports ouverts sans terminer la poignée de main TCP. Moyenne (moins détectable)
Analyse UDP Envoie des paquets UDP pour trouver les ports UDP ouverts sur le système cible. Faible (peut être peu fiable et détectable)
FIN, Xmas et Null Scans Envoie des paquets avec des combinaisons de drapeaux inhabituelles pour contourner les pare-feu et détecter les ports ouverts. Élevé (furtif)
Ping Sweep Envoie des requêtes ICMP Echo pour découvrir les hôtes actifs sur un réseau. Faible (facilement détectable)
Analyse des versions Sonde les services pour déterminer les versions des logiciels et identifier les vulnérabilités. Faible à moyen
Balayage au ralenti Utilise un hôte "zombie" pour effectuer des analyses, cachant ainsi l'adresse IP de l'attaquant. Très élevé (extrêmement furtif)

Pourquoi le balayage des ports attire-t-il les attaquants ?

  • Non invasif et furtif: Certaines techniques d'analyse sont conçues pour éviter d'être détectées par les pare-feu et les systèmes de détection d'intrusion.
  • Faible barrière à l'entrée: De nombreux outils et scripts gratuits sont disponibles, ce qui rend le balayage des ports accessible aux attaquants ayant des niveaux de compétence variés.
  • Essentiel pour la planification des attaques: Fournit des informations essentielles pour élaborer des stratégies d'attaque efficaces.
  • Anonymat: Des techniques telles que l'idle scan permettent aux attaquants de rester anonymes.
Détections de plates-formes

Comment détecter les balayages de ports

L'un des moyens dont disposent les équipes de cybersécurité pour prévenir les attaques par balayage de ports est d'effectuer elles-mêmes régulièrement des balayages de ports. Cela vous aide à identifier les systèmes cibles potentiels qui sont actuellement exposés, ce qui vous permet de fermer les ports inutiles et de corriger les vulnérabilités. Un pare-feu solide est également essentiel pour empêcher les accès non autorisés.

Cependant, il est important de ne pas s'arrêter là. S'il est essentiel de réduire votre exposition, vous devez également disposer d'un moyen de détecter les attaques contre les services internes. Par exemple, la détection de balayage de port suspect de Vectra AIest conçue spécifiquement pour alerter les défenseurs lorsqu'un attaquant tente activement d'établir des connexions de port sur une ou plusieurs adresses IP.

Détection
Analyse des ports suspects
En savoir plus
Détection
Balayage des ports sortants
En savoir plus
Détection
Balayage des ports suspects
En savoir plus
Détection
Analyse des comptes SMB
En savoir plus
Détection
Analyse interne du Darknet
En savoir plus
Détection
Analyse du compte Kerberos
En savoir plus
Explorer toutes les détections

Protégez votre réseau grâce à des détections avancées

Vectra AI utilise de puissantes détections pilotées par l'IA, notamment pour le balayage des ports, afin de surveiller en permanence le trafic réseau et d'identifier les attaques à un stade précoce de leur progression. Ensemble, ces détections couvrent 90 % des techniques pertinentes sur MITRE ATT&CK .

Explorer la plateforme
En savoir plus

Foire aux questions