Les scans de ports sont-ils vraiment toujours suivis d’attaques ?

Dans ma série de lecture de papiers scientifiques, je viens d’en lire un sur les scans de ports et les attaques qui en résultent … ou pas.

En effet, on pense souvent que si il y a un scan réseau, c’est forcément qu’il y aura une attaque et bien le papier scientifique proposé à ce lien semble prouver que non.

L’article est un peu vieux et mériterait donc que les résultats soient recalculés.

Mais voici les dits résultats dans les grandes lignes :

  1. 50% des attaques ne sont pas précédées d’un scan
  2. 38% des attaques qui sont précédées d’un scan ne le sont que par un scan de vulnérabilités
  3. Dans 71% des cas, une attaque suit une combinaison de scan de port et de scan de vulnérabilité
  4. Si une connexion TCP est composée de moins de 5 paquets il est presque certain que c’est un scan
  5. Si le nombre de paquets d’une connexion TCP est entre 5 et 12 paquets, il s’agit probablement d’un test de vulnérabilité.

Pour ma part, c’est résultats m’ont pour le moins étonnés.

Je pensais que plus d’attaque étaient précédées de scan.
Cela semble montrer que ce sont des attaques faites « à l’aveugle », au petit bonheur la chance (comme on dit par chez moi).

Par contre, il est aussi intéressant de se rendre compte qu’on ne doit pas être trop paranoïaque quand un simple scan nmap sans recherche de vulnérabilité est mis en place contre une machine puisqu’il n’y a dans ce cas que 4% de chance que ce scan soit suivi d’une attaque.

Si vous êtes intéressés ou si vous avez des questions, je suis prêt à en discuter avec vous en commentaires (même si le travail de ce papier n’est pas le mien), n’hésitez pas à laisser un avis !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *