ISGroup Conseil en Cybersécurité

TCP Half Open Scan

Le TCP Half Open Scan, également appelé SYN scan, est une technique utilisée pour découvrir les ports ouverts sur un système distant sans finaliser la connexion TCP complète. Cette technique repose sur l’exécution de la première moitié d’une négociation en trois étapes (three-way handshake) du protocole TCP pour déterminer si un port est ouvert.

Comment ça fonctionne

Dans le protocole TCP, une connexion entre deux hôtes est établie via un processus connu sous le nom de négociation en trois étapes, qui implique trois étapes :

  1. SYN : L’hôte qui initie la connexion envoie un paquet SYN (synchronize) au serveur de destination.
  2. SYN-ACK : Si le port sur le serveur de destination est ouvert, le serveur répond avec un paquet SYN-ACK (synchronize-acknowledge).
  3. ACK : L’hôte qui a initié la connexion envoie un paquet ACK (acknowledge) pour finaliser la connexion.

Dans le TCP Half Open Scan, l’hôte qui effectue le scan envoie uniquement le paquet SYN initial et attend la réponse SYN-ACK. S’il reçoit un paquet SYN-ACK, cela signifie que le port est ouvert. Cependant, l’hôte n’envoie jamais le paquet ACK final, interrompant ainsi le processus de connexion avant qu’il ne soit terminé. Cela laisse la connexion “à moitié ouverte” (half open), d’où le nom de la technique.

Avantages du TCP Half Open Scan

  • Discrétion : Comme la connexion n’est jamais finalisée, cette technique est moins visible dans les journaux système qu’une connexion TCP complète. Cela peut faire du TCP Half Open Scan une méthode privilégiée pour les scans furtifs.
  • Vitesse : Le fait de ne pas avoir besoin de terminer la négociation en trois étapes rend cette technique plus rapide que d’autres méthodes de scan.
  • Efficacité : Cette technique permet de détecter les ports ouverts avec une utilisation minimale des ressources réseau et système.

Inconvénients et Risques

  • Détectabilité : Malgré sa nature plus discrète que d’autres techniques, le TCP Half Open Scan peut tout de même être détecté par des systèmes de détection d’intrusion (IDS) avancés.
  • Limitations : Certains pare-feu et systèmes de sécurité peuvent être configurés pour bloquer ou limiter les paquets SYN incomplets, réduisant ainsi l’efficacité de cette technique.

Utilisations courantes

Le TCP Half Open Scan est couramment utilisé dans :

  • Tests de sécurité : Les professionnels de la cybersécurité utilisent cette technique pour évaluer la sécurité des réseaux et identifier les ports ouverts qui pourraient être exploités par des personnes malveillantes.
  • Évaluations de vulnérabilité : Les analystes en sécurité emploient cette technique pour identifier les points faibles potentiels dans les systèmes et les réseaux.
  • Recherche par des acteurs malveillants : Les pirates peuvent utiliser cette technique pour collecter des informations sur les réseaux cibles sans attirer trop l’attention.

Conclusion

Le TCP Half Open Scan représente une méthode efficace et discrète pour identifier les ports ouverts sur un système distant, en exploitant la première moitié de la négociation en trois étapes du protocole TCP. Malgré ses avantages en termes de vitesse et de discrétion, il doit être utilisé avec prudence en raison des contre-mesures potentielles mises en œuvre par les systèmes de sécurité modernes.

In

Leave a Reply

Your email address will not be published. Required fields are marked *