Pourquoi les pirates recherchent-ils les ports ouverts?

Considérez que je veux voler votre maison ... Alors je chercherais un moyen d'entrer. Mais votre maison a des serrures de porte qui ne permettent à votre famille (famille) d'y accéder que je vais chercher d'autres fenêtres (ports) (d'autres ports publics ouverts) pour y entrer et essayer d'obtenir des données. Si les ports sont ouverts pour ssh/ftp, ils essaient de les exploiter. Essayez de télécharger des fichiers ou de bruteforce.

Comme le souligne Girish, une analyse de port est comme enfermer une maison. C'est une activité très silencieuse lorsqu'elle est effectuée à partir d'Internet, car vous verrez des dizaines de scans de ports par jour. Il glane également une petite quantité d'informations sur l'état de votre machine, ce qui leur permet d'adapter encore plus la couche suivante de l'attaque.

C'est aussi très bon marché! Faire une analyse de port ne coûte presque rien à l'attaquant, et parfois vous avez de la chance. Dans The Art of Intrusion, Kevin Mitnick donne des exemples de cas où de telles attaques portent leurs fruits dans la vie réelle. Dans un système simple, il est facile de verrouiller simplement tous les ports. Dans un réseau informatique plus compliqué, il est plus difficile de prouver qu'il n'y a pas de raison logique pour un port ouvert, et la première règle de l'informatique est de "ne pas perturber l'entreprise", de sorte qu'ils peuvent rester ouverts. Le livre de Mitnick a donné l'exemple d'un cas où une connexion série truquée par un jury a été accidentellement exposée à Internet. L'attaquant présume qu'il s'agissait d'une tâche ponctuelle pour résoudre un problème qui n'a jamais été démantelé une fois que son utilisation n'était plus requise. Des années plus tard, il s'agissait en fait du vecteur d'attaque trouvé et exploité par les pirates.

Il existe des situations où les analyses de port sont évitées. Les menaces persistantes avancées (APT) ont tendance à fonctionner sur le réseau local. Alors que les scans de port depuis Internet sont une affaire quotidienne, les scans de port provenant du LAN sont beaucoup plus "bruyants". Étant donné que les APT apprécient la furtivité, ils éviteront souvent les scans de ports qui, dans d'autres circonstances, pourraient simplement être des prises de vue aléatoires prises pour voir si quelqu'un a de la chance.

Avez-vous déjà essayé d'effectuer des communications réseau avec un rocher? Que diriez-vous d'un routeur réseau sans électricité? C'est assez ennuyeux, car vous n'obtenez aucune réponse.

Les attaquants tentent donc d'utiliser les protocoles réseau les plus courants, comme TCP et UDP, qui utilisent des numéros appelés "numéros de port" ou "ports". ( SCTP utilise également des ports .)

Si un port est fermé, il y a généralement l'un des deux résultats: une réponse qui indique "Connexion refusée", ou aucune réponse. Eh bien, l'un ou l'autre de ces résultats est beaucoup moins intéressant qu'un port "ouvert", ce qui signifie simplement que l'attaquant peut obtenir un autre type de réponse lorsqu'il essaie d'interagir avec le périphérique ciblé.

L'analyse des ports peut faire référence à l'analyse de toute la plage possible de numéros de ports (0 à 65535), ou simplement à l'analyse à partir d'une liste de ports probables (par exemple, 80, 443, 25, 22) pour voir quelles adresses IP répondent. Les adresses IP qui répondent à un numéro de port sont des cibles susceptibles pour les attaquants de concentrer leurs efforts supplémentaires pour interagir, en particulier si le numéro de port qui répond est le numéro d'une norme couramment utilisée (par exemple, TCP port 80 est le port le plus courant pour HTTP).

(Bien que les gens puissent utiliser un port dans un but différent de celui qui est standard, cela est assez rare, principalement parce que beaucoup de logiciels ne gèrent pas les numéros de port alternatifs aussi facilement. Par exemple, la norme pour les navigateurs Web est d'exiger l'ajout de deux points et du numéro de port, si un port non standard est utilisé. L'utilisation de numéros de port standard peut éliminer la nécessité pour les utilisateurs de saisir ces informations.)

L'analyse d'un port présente également des avantages par rapport à la tentative d'effectuer des interactions plus élaborées, comme de nombreuses attaques réseau. Le temps et la bande passante requis sont beaucoup plus faibles, de sorte que l'analyse peut être effectuée beaucoup plus rapidement que les attaques plus élaborées.

Le piratage a une "phase de découverte". Pendant la phase de découverte, vous découvrez autant d'informations que possible sur votre cible. L'analyse des ports n'est qu'un aspect de la découverte. La plupart des logiciels fonctionneront sur leur port par défaut et donc savoir quels ports sont ouverts vous donne quelques informations sur ce que la machine exécute. Si les ports 80 et 443 sont ouverts, vous avez probablement affaire à une forme de serveur Web. Ensuite, vous découvrez quel serveur Web fonctionne et quel logiciel le serveur Web exécute. Un port ouvert signifie que quelque chose écoute sur ce port et que vous pouvez communiquer avec tout ce qui s'exécute sur ce port qui est une entrée potentielle pour un pirate. Essayer les combinaisons de nom d'utilisateur et de mot de passe par défaut n'est qu'une partie du piratage. L'utilisation de vulnérabilités dans les logiciels exécutés sur le traget est une autre partie et découvrir quel logiciel exécute l'analyse de port est une bonne première étape. Si vous ne savez pas quels ports sont ouverts, vous ne savez pas vers quels ports vous pouvez envoyer des paquets malveillants.