Skip to content
PortsDB

Référence des ports

Port 1080 (TCP) – Proxy SOCKS

Proxy SOCKS — un relais TCP/UDP générique servant à tunneliser et faire suivre du trafic arbitraire.

tcpRegisteredSouvent attaqué

État par défaut

Ouvert sur les hôtes exécutant un proxy SOCKS (Dante, redirection dynamique SSH, implants malveillants). Non activé par défaut sur les systèmes standards.

Attaques courantes

  • Abus de proxy ouvert — relais de spam, de scans et de trafic d'attaque
  • Anonymisation du trafic malveillant pour masquer la source réelle
  • Force brute des identifiants contre les proxys SOCKS authentifiés
  • Utilisation par des malwares/C2 pour pivoter via des hôtes compromis

Durcissement

  • Ne jamais exécuter un proxy SOCKS ouvert — exiger une authentification
  • Lier à localhost / aux interfaces internes, pas à 0.0.0.0
  • Restreindre les destinations autorisées et les IP sources
  • Bloquer le port 1080 entrant au périmètre sauf besoin explicite
  • Surveiller les écouteurs SOCKS inattendus — signe possible de compromission

Commande nmap

nmap -p1080 --script socks-open-proxy,socks-auth-info <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 1080

Le port 1080 est le défaut traditionnel d'un proxy SOCKS. SOCKS est un relais polyvalent qui fait suivre des connexions TCP arbitraires (et UDP en SOCKS5) entre un client et une destination, sans comprendre le protocole applicatif. Il est utilisé légitimement pour la redirection de port dynamique SSH (ssh -D), le proxy local de Tor et des outils comme Dante — mais cette même polyvalence le rend attrayant pour les attaquants.

Pourquoi c'est important pour la sécurité

Un proxy SOCKS qui accepte les connexions sans authentification est un proxy ouvert : n'importe qui sur Internet peut router du trafic à travers lui. Les attaquants utilisent les proxys ouverts pour anonymiser leur activité, de sorte que scans de ports, spam, force brute et tentatives d'exploitation semblent provenir de votre IP plutôt que de la leur. Un écouteur SOCKS inattendu sur un serveur est aussi un signe courant qu'un attaquant a installé un canal de pivot/C2 via un hôte compromis.

Comment c'est attaqué

Les scanners sondent constamment le 1080 avec des tests comme le script nmap socks-open-proxy pour trouver les proxys qui relaient librement. Une fois trouvé, le proxy est ajouté aux listes d'abus et utilisé pour blanchir du trafic malveillant ou pivoter plus profondément dans le réseau. Les proxys authentifiés subissent de la force brute d'identifiants. Les défenseurs guettent aussi les écouteurs 1080 indésirables comme indicateur de compromission.

Liste de durcissement

N'exposez jamais un proxy SOCKS ouvert — exigez une authentification forte et liez-le à localhost ou à une interface interne plutôt qu'à 0.0.0.0. Restreignez à la fois les IP sources autorisées à se connecter et les destinations qu'elles peuvent atteindre. Bloquez le 1080 entrant au périmètre sauf cas d'usage précis, et surveillez les hôtes pour repérer des écouteurs SOCKS inattendus. Utilisez la commande nmap ci-dessus pour tester si un proxy est ouvert sur les systèmes que vous êtes autorisé à évaluer.

Ports liés

Port 3128Port 8080Port 9050Port 22

Questions fréquentes

Qu'est-ce qu'un proxy SOCKS sur le port 1080 ?
SOCKS est un protocole qui relaie des connexions TCP arbitraires (et UDP en SOCKS5) via un intermédiaire. Le port 1080 est son défaut traditionnel, utilisé pour le tunneling et le réacheminement de trafic.
Pourquoi les proxys SOCKS ouverts sont-ils dangereux ?
Un proxy ouvert permet à quiconque de relayer du trafic via votre hôte, blanchissant spam, scans et attaques pour qu'ils semblent provenir de vous. Il peut aussi signaler la présence d'un malware.