Ports, TCP, UDP, ICMP
Définitions
Les ports
Les ports c'est quoi? Ben chaque machine possède 65536 ports virtuels;
"virtuels" car un port est quelque chose de complètement arbitraire: c'est un numéro quelconque et sans substance (chut! prose!) qui code chaque connexion de votre machine avec l'exterieur, et ce en temps réel.
De plus
chaque port utilisé est associé à une application en execution et à une seule,et ne peut être utilisé que par elle.
TCP et UDP
Il s'agit de deux grands protocoles distincts de communication qui utilisent tous les deux des ports bien précis. Le protocole UDP, le moins utilisé des deux, est comme l'on dit "non orienté connexion".
Par exemple par UDP vous envoyez un message à tel port sur telle machine, sans prévenir
ni avoir aucune garantie que le message est bien arrivé à destination.
UDP est donc un protocole simplifié par rapport à TCP, et donc est plus rapide mais
bien moins sécurisé,puisqu'aucune authentification n'a lieu...
TCP est lui un protocole "orienté connexion". Alors là c'est carrément le contraire, pour abréger, dès le départ ce n'est qu'accusé de réception dans les deux sens, puisqu'aucune authentification n'a lieu...
et ce pour chaque paquet transmis, et même pour terminer la connexion.
C'est donc bien plus sécurisé qu'UDP, mais........ ben oui ca se pratique.
ICMP
C'est le troisième et dernier grand type de message, et il me semble si mes souvenirs sont bons,
il n'utilise absolument pas le système des ports...
Bref un message ICMP est normalement un message d'erreur, de maintenance etc...
On en distingue plusieurs types dont voici 2 qui nous interessent:
ICMP type 3: "Destination Unreachable" C'est un message d'échec envoyé à la machine émettrice
par un intermédiaire (routeur etc...) qui ne parvient pas à trouver la cible du message émis.
En pratique cet ICMP est très utilisé à des fins "pas bien" ;-) par les lamers pour virer les connectés sur un chat ou autres groupes similaires...
ICMP type 8: "Echo Reply" C'est la classique émission
d'un "ping" qui demande à la machine visée de renvoyer le message à l'expediteur (voir rubrique IP)
Le message renvoyé est précisément un ICMP de type 0.
Informations générales sur les Ports:
Nous avons donc vu que les ports sont des numéros entre 0 et 65535 complètement conventionnels;
Toutefois pour que tout le monde s'entendent sur le net, un certain nombre ont été standardisés et correspondent à des services quasi-universels.
Voici le plus sommaire qu'on puisse faire, puis un tableau plus détaillé:
port 0 : c'est pas clair: certains disent qu'un troyen 'utilise, d'autres qu'il n'existe pas. Et vous qu'en savez-vous?
ports 1 -> 1023 : services "fixes" disponibles pour l'exterieur
ports 1024 -> 4999 : "temporary use range" utilisés par vos applications pour établir leur connexions qualifiées de "temporaires" ces ports sont donc souvent employés à l'initiative de vos applications.
ports 5000 -> 8000 : danger! ports inhabituels, qui peuvent toutefois etre utilisés par l'IRC ou encore Napster. Se méfier!
ports 8000 -> 65.535 DANGER! PORTS INHABITUELS, 99% DE CHANCE QU'UNE TELLE CONNECTION SOIT CELLE D'UN TROYEN :
-((( Votre attaquant a probablement utilisé ce port inhabituel pour éviter tout conflit et pouvoir vous retrouver le plus rapidement possible après changement d'IP.
Pour connaitre vos connections et ports actifs, je vous rappelle
qu'il vous suffit de faire un "netstat -p". Voir la rubrique "Outils DOS".
Un peu plus loin dans le détail...
Rappel: Les ports 1 à 1023 sont ouverts à l'initiative d'une machine distante,
et le contraire pour les ports 1024 à 4999; Si par exemple vous avez comme moi un simple PC
et que votre port 21 (FTP) est ouvert, ça veut dire que quelqu'un accède à vos fichiers!
aie! aie! un troyen sans doute
:-( Ou bien si votre port 80 (http) est ouvert, cela signifie que quelqu'un prend votre PC pour un serveur de pages web!?!?!
Port
Commentaire
0
DANGER TROYEN
13
DANGER
19
DANGER
21
FTP -> vous etes visité! :-(
23
Terminal de comande à distance -> vous etes visité! :-(
25
SMTP (courrier sortant)
53
DNS (inhabituel)
79
Finger: pour qu'on puisse obtenir des infos sur votre machine
80
HTTP
109 & 110
POP2 et POP3 (courriers rentrant)
113
Identification (?)
137,138,139
Partage de vos fichiers (& imprimantes) inhabituel -> vous etes visité! :-(
443
HTTPS (pages web sécurisées pour les cartes bancaires, mais connections parfois hackées ;-)
5000,5001
DANGER TROYENS
6660 -> 6669
IRC
6699
Napster (pour moi, mais je sais pas pour vous....)
Au delà, par exemple 12345, 12346, 30303, 31337... DANGER TROYEN (Netbus, Back Orifice)
table end
CE TABLEAU EST TRES LOIN D'ETRE COMPLET ET EXPLICITE:
Toutefois l'avoir lu je pense vous aura déjà pas mal donné d'idées sur les differentes plages de ports
(1>1024>5000>10000>65000) Pour savoir vos ports utilisés tapez "netstat -p" dans une session MSDOS!