Pourquoi scanner les 65535 ports, et comment le faire efficacement avec nmap ?
Réponse courte
Le scan nmap par défaut ne couvre que les 1000 ports les plus courants, donc un service sur un port haut serait entièrement manqué. Le schéma efficace est un scan SYN rapide des 65535 ports d'abord, puis un scan ciblé de versions et de scripts par défaut uniquement sur les ports trouvés ouverts.
Un nombre surprenant de machines OSCP placent délibérément leur service clé sur un port haut non standard — par exemple une appli web sur 8080 ou un service personnalisé sur 50000. Le comportement par défaut de nmap ne sonde que les 1000 ports les plus courants ; si vous vous fiez au défaut, vous ne verrez tout simplement jamais ce service et la machine devient impossible.
Le schéma en deux temps
Lancer un scan approfondi de versions et de scripts sur les 65535 ports est terriblement lent. L'approche efficace découpe le travail :
- Découverte rapide. Un scan SYN sur chaque port (
nmap -p- --min-rate 1000 <ip>) vous indique rapidement quels ports sont ouverts sans sondage coûteux. - Profondeur ciblée. Reprenez uniquement les ports ouverts et lancez la détection de versions et les scripts par défaut dessus (
nmap -p 22,80,8080 -sV -sC <ip>). Cela fournit les bannières, les versions logicielles, et des gains rapides comme un FTP anonyme ou des partages exposés. L'antisèche des scans nmap qui survivent aux vrais réseaux couvre les flags de timing et d'évasion qu'il vaut la peine de connaître.
Pourquoi l'ordre importe
Les numéros de version de -sV sont la base des recherches searchsploit et CVE. Les scripts par défaut de -sC sont des vérifications sûres et légères qui font souvent remonter des fruits faciles à cueillir. Les réserver à la passe ciblée garde votre balayage initial rapide.
N'oubliez pas UDP
TCP est la priorité, mais des services comme SNMP (161), TFTP (69) et DNS (53) vivent sur UDP et sont faciles à négliger. Un scan UDP des top-ports (nmap -sU --top-ports 100) attrape les plus courants ; l'UDP est lent car les ports fermés ne répondent souvent pas, donc les balayages UDP complets en valent rarement la peine sous contrainte de temps.
Ce que recherchent les recruteurs
Ils veulent le candidat qui sait que le défaut manque les ports hauts, qui sépare la découverte du scan approfondi pour la vitesse, et qui se souvient qu'UDP existe. Nommer les flags exacts et expliquer les compromis montre une véritable expérience pratique.
Questions de suivi probables
- Que lance réellement le flag -sC, et quand est-il risqué ?
- En quoi le scan UDP diffère-t-il et pourquoi est-il plus lent ?