Port Scan — Techniques de scan de ports

Reconnaissance Nmap

Qu'est-ce qu'un scan de ports ?

Le scan de ports consiste à sonder systématiquement les ports TCP/UDP d'une ou plusieurs machines pour déterminer quels services sont accessibles. C'est la première étape active de la reconnaissance en pentest, après la découverte d'hôtes (passive ou ICMP).

Types de scans TCP

# SYN scan (-sS) : furtif, half-open, nécessite root
# Envoie SYN, si SYN-ACK reçu -> envoie RST (jamais de connexion complète)
nmap -sS target

# Connect scan (-sT) : connexion TCP complète (3-way handshake)
# Plus lent, plus détectable, ne nécessite pas de privilèges root
nmap -sT target

# ACK scan (-sA) : utile pour cartographier les règles de firewall
nmap -sA target

# FIN/Xmas/Null scan : exploitent des implémentations TCP laxistes
# pour contourner certains firewalls stateless
nmap -sF target
nmap -sX target
nmap -sN target

Scan UDP et scan rapide grande échelle

# Scan UDP (lent : pas de réponse = open|filtered)
nmap -sU --top-ports 100 target

# Masscan : scan ultra-rapide sur de larges plages
masscan -p1-65535 192.168.0.0/16 --rate=50000

# RustScan : rapide, puis pipe vers nmap pour les détails
rustscan -a target -- -sV -sC

Interprétation et techniques furtives

open      : un service écoute et répond
closed    : la machine répond (RST) mais rien n écoute
filtered  : aucune réponse, probablement un firewall
open|filtered : ambigu (typique en UDP)

# Réduire la détectabilité
nmap -T1 --scan-delay 5s target      # scan lent
nmap -f target                        # fragmentation des paquets
nmap -D RND:10 target                 # decoys (faux IPs sources)
nmap --source-port 53 target          # port source trompeur

Détection côté défense

IDS/IPS (Snort, Suricata) détectent les patterns de scan (nombreux SYN sans complétion, balayage séquentiel de ports) · fail2ban et rate-limiting sur les services exposés · port knocking pour masquer des services sensibles · honeypots (ex: honeyd) pour détecter et leurrer les scanners · logs firewall analysés pour repérer des scans lents (T1/T0) qui passent sous le radar des IDS classiques.