Souvent, l'outil principal utilisé pour le scan de port — qu'ils soient éthiques ou malveillants — est nmap, en raison de sa puissance et de sa flexibilité dans la découverte de réseaux. Il propose diverses techniques de scan que nous allons explorer afin de recueillir des informations sur les hôtes cibles, leurs services en cours d'exécution, et leurs systèmes d'exploitation. Nmap reste l'outil de référence pour en apprendre davantage sur leurs cibles et découvrir les vulnérabilités potentielles d'un système.
Pour cette raison, Trapster offre désormais des alertes de détection de scans de ports pour les scans SYN, XMAS, NULL, FIN, et la détection des systèmes d’exploitation (OS).
Dans cet article, nous allons examiner les différences entre ces types de scans ainsi que certaines caractéristiques qui les rendent reconnaissables.
Scan SYN
Le scan SYN est le type de scan par défaut et le plus courant dans Nmap. Ce scan envoie un paquet SYN à la cible, et si le port est ouvert, la cible répond avec un paquet SYN-ACK. Cependant, Nmap ne complète pas le three-way Handshake et envoie plutôt un paquet RST pour fermer la connexion.
Cela peut être plus difficile à détecter car l'envoi d'un paquet SYN est la première étape de la poignée de main TCP en trois étapes, donc un paquet SYN en soi n'est pas inhabituel. Cependant, lorsque nous observons une adresse IP envoyer des paquets SYN à plusieurs ports en un court laps de temps, cela devient suspect, et c’est ce que nous surveillons et détectons avec Trapster.
Scan XMAS
Ce scan active les Flags FIN, PSH, et URG dans le paquet TCP. Toutefois, il s'agit d'un paquet mal formaté, et il s'attend donc à recevoir un paquet de réinitialisation (RST) d'un port ouvert. Ce type de scan est facile à détecter car il est très inhabituel de voir ces flags activés ensemble.
Le scan XMAS se distingue parce que ces flags ne vont pas logiquement ensemble. Par exemple, le flag FIN indique la fin d'une connexion, tandis que le flag URG marque les données du paquet comme urgentes. Ces signaux contradictoires rendent ce scan relativement facile à repérer.
Scan NULL & Scan FIN
Le scan NULL et le scan FIN sont des techniques simples mais efficaces pour sonder les ports ouverts. Le scan NULL envoie un paquet sans aucun flag TCP activé, tandis que le scan FIN envoie un paquet avec seulement le flag FIN, qui est normalement utilisé pour terminer une connexion. Comme le scan XMAS, ces scans visent à obtenir une réponse des ports fermés (des paquets RST) pour identifier les ports ouverts.
Scan de détection d'OS
La détection du système d'exploitation (OS) est une phase critique du processus de reconnaissance. Les hackers l'utilisent pour identifier le système d'exploitation exécuté sur une machine cible, ce qui peut révéler des vulnérabilités spécifiques. Ce type de scan est moins discret que les autres, car il nécessite un plus grand nombre de paquets de différents types.
Le scan commence par un scan SYN initial, mais le comportement change ensuite en fonction des réponses reçues par Nmap. Avec Trapster, nous surveillons les comportements suspects où un attaquant envoie d'abord un scan SYN, puis le suit avec une série de paquets inhabituels, tels que ceux comportant les flags URG, PSH, FIN ou des combinaisons SYN/FIN. Ce modèle de signature rend les scans de détection d'OS plus faciles à identifier.
Conclusion
Grâce à Trapster, votre trafic est surveillé pour détecter ces schémas anormaux, et vous êtes alerté dès qu'un hacker potentiel commence une reconnaissance sur votre réseau. Cette détection précoce vous donne l’opportunité de prendre des mesures avant même qu’une attaque ne se produise.