Les scans de port via TCP : SYN, Connect et FIN

I. Présentation

Dans cet article et ceux qui suivront, nous allons aborder les techniques et méthodes de scan de port au sein des réseaux. Il existe en effet plusieurs techniques permettant de scanner les IP d'un réseau et les ports des machines, que l'on passe par ICMP, ARP, TCP ou UDP...

L'idée est donc d'expliquer certaines de ces méthodes afin de comprendre comment il est possible de savoir quelle machine est sur le réseau et quels sont les ports ouverts (avec les services associés bien sûr).

II. Un petit mot sur le scanning

Il faut savoir que le scanning fait partie des toutes premières étapes lors d'une intrusion. En effet, après avoir cherché des informations sur l'entreprise de manière plus ou moins active, la première vraie démarche d'attaque va être de scanner le réseau (que l'on parle de réseau interne ou externe) et les machines de la cible.

En partant du principe que les machines dans vos réseaux sont les cibles, il est intéressant de connaitre en détail les procédés utilisés par les attaquants. Cela permettra de retracer plus facilement une attaque par exemple, mais aussi d'ouvrir des réflexions sur la manière de s'en protéger préventivement. L'idée de cet ensemble de tutoriels est donc de vous faire dire "Ah oui, on peut détecter mon service sensible sur cette machine de telle manière, si je réfléchissais à comment rendre ce service un peu plus discret ? ".

Je passerai ici outre les notions basiques du réseau comme ce qu'est le TCP, l'UDP ou l'adressage IP, il est néanmoins requis pour suivre a minima les articles de connaitre leur fonctionnement général. Tout au long des articles, je mettrai les lignes de commande correspondant à chaque scan en utilisant l'outil nmap principalement. Nmap présente de nombreuses options et est l’outil le plus efficace et complet pour effectuer des scans réseaux, il fonctionne en ligne de commande et GUI sous Linux et en GUI également sous Windows. Néanmoins, de nombreux autres outils comme les scripts intégrés à Metasploit peuvent également être utilisés.

Nous commençons donc avec les scans de ports TCP, comme son nom l'indique, le scan de port TCP va avoir pour but de détecter sur une machine ciblée les ports TCP ouverts et donc d'éventuels services utilisant ces ports. La détection de ports peut être particulièrement riche en informations pour l'attaquant, car elle s'accompagne de technique de détection de service et de version, que ce soit par la stimulation des ports en question, la lecture des bannières ou alors par la détection de services tournant sur les well-known ports, ces ports entre 0 et 1023 sur lesquels sont assignés des services standards. Par exemple, une détection d'un port TCP 22 ouvert nous amènera à fortement envisager la présence d'un service SSH ouvert sur la machine en question.

Dans tous les cas, les différents scans passent par une analyse comportementale du serveur visé en rapport à la description du protocole TCP dans le RFC 793, "Transmission Control Protocol" lors de l'envoi de différents paquets. Plus simplement, on va envoyer des paquets TCP forgés spécifiquement pour que le serveur réponde d'une façon précise (la façon décrite dans le RFC 793) et ainsi interpréter la réponse du serveur pour savoir si le port est ouvert ou fermé.

Trêve de blabla, commençons !

III. Le TCP SYN scan ou "Half Open scan"

Le premier type de scan TCP que nous allons voir est le TCP Syn scan ou Half Open scan (Half Open voulant dire "à moitié ouvert"), la traduction aide bien à comprendre le fonctionnement de ce scan. En effet, un TCP SYN scan va envoyer sur chaque port ciblé un paquet TCP SYN qui est donc le premier paquet qu'envoie un client (celui qui demande à établir une connexion). En temps normal (si le port est ouvert sur le serveur avec un service tournant derrière), le serveur va renvoyer un SYN\ACK permettant de valider la SYN du client et d'initialiser la connexion TCP, c'est-à-dire un paquet TCP avec les flags SYN et ACK a 1, on pourra alors dire que le port est ouvert et détecter un service.

En revanche, si le port est fermé, le serveur nous renverra un paquet TCP avec les flags RST et ACK à 1 pour mettre fin à la demande de connexion, on saura alors qu'aucun service ne semble être actif derrière ce port :

Pour voir un aspect un peu plus concret du Half Open scan, j'ai effectué un scan du port 80 vers une machine qui avait un serveur web actif sur ce port. En effectuant une analyse réseau avec Wireshark entre mon serveur ma machine de scan, je vois le flux suivant :

On voit donc sur la première ligne que la machine 192.168.1.18 (source du scan) envoie un paquet TCP à mon serveur web (port 192.168.1.15) sur le port 80. Dans ce paquet TCP, le flag SYN est à 1 pour signifier que le paquet est une demande d’initialisation de connexion TCP. On voit ensuite sur la deuxième ligne que mon serveur web répond un SYN/ACK, ce qui veut dire qu'il accepte d'initialiser une connexion et donc de recevoir des flux sur le port 80. On peut donc en déduire que le port 80 est ouvert et qu'un serveur web est bien présent sur ma machine cible, voila comment opère un attaquant lors d'un scan de port. Le fait de faire ce genre de scan sur un ensemble de ports sur une machine permet d'avoir un inventaire plus ou moins complet des services qu'elle fait tourner.

À l'inverse, j'ai effectué le même test entre les deux machines, mais cette fois-ci vers le port 81 sur lequel aucun service n'est actif :

On voit donc que mon serveur renvoie un RST/ACK en réponse à mon TCP SYN lorsque le port n'est pas ouvert. En utilisant nmap, c'est l'option "-sS" (scan SYN) qui permet d'effectuer  un TCP SYN scan :

nmap -sS 192.168.1.15

Le TCP SYN scan est le scan le plus couramment utilisé, car il simule une demande de connexion légitime. En revanche, la fin de la connexion si le SYN/ACK est bien renvoyé par le serveur peut être suspecte si elle est observée trop de fois sur un serveur. En effet, le comportement normal d'un client après un TCP SYN/ACK en réponse à un TCP SYN est qu'il envoie un acknowledgement (ACK) pour ensuite commencer l'échange. Néanmoins, cela permet d'avoir un scan un peu plus rapide, car il ne s'encombre pas à envoyer un ACK à chaque réponse positive. L'avantage du SYN Scan est qu'il est plutôt rapide, car un seul paquet est envoyé par port à scanner.

De plus le TCP SYN scan est capable de détecter si un port est filtré (protégé) par un pare-feu. En effet, un pare-feu devant l'hôte visé peut être détecté de par le comportement qu'il a lorsqu'il reçoit un paquet TCP SYN sur un port qu'il est censé protéger. Celui-ci ne va tout simplement pas répondre. Or nous avons vu que dans les deux cas (port ouvert ou port fermé), il y a une réponse de l'hôte. Ce troisième comportement va alors révéler la présence d'un pare-feu entre l'hôte scanné et la machine qui lance le scan. Voici le résultat que l'on peut avoir sur nmap lorsqu'un port visé est filtré (ici par un iptables directement configuré sur la machine cible) par un pare-feu :

Lorsque l'on sniff le réseau au moment de ce scan, on voit effectivement qu'aucune réponse n'est donnée :

La différence entre un port bloqué et un port filtré est ici, un port filtré est un port protégé par un pare-feu alors qu'un port bloqué est un port sur la machine visée sur lequel aucun service ne tourne et qui est donc incapable de traiter nos paquets TCP. Certains types de scan TCP comme le TCP SYN scan sont capables de détecter si un port est filtré alors que d'autres types de scan non.

IV. Le TCP Connect scan ou "Full Open scan"

Le second type de scan TCP est le TCP Connect scan ou Full Open scan. Il reprend le même fonctionnement que le TCP SYN scan, mais cette fois-ci en renvoyant un ACK après une réponse positive du serveur (un SYN/ACK). C'est pourquoi il est nommé "Full Open", car l'on ouvre et initie complètement la connexion sur chaque port ouvert  lors du scan :

Voici ce que l'on peut voir transiter sur le réseau lors d'un TCP Connect scan :

On voit donc ici que le premier paquet TCP envoyé est un TCP SYN envoyé par le client, le serveur va ensuite répondre par un TCP SYN/ACK ce qui nous indiquera que le port est ouvert et sur celui-ci tourne un service actif. Pour simuler un client légitime jusqu'au bout, l’outil de scan va ensuite renvoyer un TCP ACK au serveur. À l'inverse, lors d'un scan sur un port fermé :

On remarque que la réponse du serveur à notre paquet SYN est une fois encore un paquet  TCP RST/ACK, nous pouvons donc en déduire que le port est fermé et qu'aucun service ne tourne sur celui-ci.

En utilisant nmap, c'est l'option "-sT" (scan Connect) qui permet d'effectuer  un TCP Connect scan :

nmap -sT 192.168.1.15

Le TCP Connect Scan simule une demande de connexion plus légitime avec un comportement qui se rapproche le plus de celui d'un client lambda, il est donc plus difficile de repérer un scan sur un nombre (réduit) de ports. Il est toutefois plus lent, car il initialise complètement chaque connexion TCP sur les ports ouverts de  la machine scannée.

Note : Un scan de ports sur 10 000 ports sera toujours facilement détectable si des services de protection et de détection des intrusions réseau (IPS/IDS) sont installés. Quand un attaquant souhaite se faire discret, il va plutôt orienter ses recherches vers des ports choisis stratégiquement et en nombre réduit comme le port 25 (SMTP) ou 80 (HTTP) qui sont souvent ouverts sur les serveurs et qui présentent des failles généralement courantes.

Étant donné que dans les deux cas, le TCP Connect scan attend une réponse, il est lui aussi capable de détecter la présence d'un pare-feu qui pourrait filtrer les ports entre la machine visée et la machine qui scan.

V. Le TCP FIN scan ou "Stealth Scan"

Le TCP FIN Scan ou Stealth Scan utilise quant à lui le comportement d'un client mettant fin à une connexion TCP. En effet, en TCP, une fin de session se traduit par l'envoi d'un paquet TCP avec le flag FIN à 1. Dans un échange habituel, le serveur cesse donc toute communication avec le client. Si le serveur n'avait aucune connexion TCP active avec le client, il renverra en revanche un RST/ACK. On saura donc différencier un port ouvert d'un port fermé en envoyant des TCP FIN à un ensemble de ports pour déterminer lequel est ouvert et lequel est fermé :

J'ai à nouveau effectué une capture du réseau lors d'un Stealth scan et voilà ce que l'on voit lorsque le port scanné est ouvert :

On voit donc que le client envoie un ou deux paquets pour mettre fin à une connexion TCP et que le serveur ne répond pas. Il accepte tout simplement la fin de connexion et arrête de communiquer. Voici ce que l'on peut voir maintenant lorsque l'on scanne un port fermé :

On voit que le serveur renvoie un paquet TCP RST/ACK, on voit donc bien une différence de comportement entre un port ouvert et un port fermé et nous sommes en mesure de lister les ports ouverts sur un serveur via l'envoi de paquet FIN. En utilisant nmap, c'est l'option "-sF" (scan FIN) qui permet d'effectuer  un TCP FIN scan :

nmap -sF 192.168.1.15

Note : Le TCP FIN scan ne fonctionne pas sur les machines Windows, nous aurons donc l'impression que tous les ports sont fermés si l'on effectue un TCP FIN scan sur une machine Windows. C'est là l'intérêt d'avoir à la fois plusieurs méthodes de scanne mais aussi de comprendre la différence entre chacune d'entre elles

Étant donné que dans un des deux cas, le TCP FIN n'attendra pas de réponse, celui-ci sera incapable de détecter la présence d'un pare-feu entre la machine cible et la machine qui scanne. En effet, une non-réponse de l'hôte sur un port donné pourra à la fois signifier que le port est filtré, mais également qu'il est ouvert et actif.

C'est tout pour ce premier article sur les scans TCP ! Dans le prochain article, nous nous pencherons sur les méthodes de scan TCP XMAS, Null et ACK qui opèrent de façon différente pour détecter les ports ouverts sur une machine.