Port 19 (UDP/TCP) – CharGEN

Qu'est-ce qui tourne sur le port 19 ?

Le port 19 transporte le protocole Character Generator (CharGEN), défini dans la RFC 864 comme une aide au débogage et à la mesure réseau. À la réception de toute entrée, il renvoie un flux continu de caractères arbitraires (en TCP) ou un paquet de caractères par datagramme (en UDP). Il était autrefois fourni avec inetd sous Unix et comme service TCP/IP simple sous Windows, mais il n'a aucun usage légitime sur les réseaux modernes.

Pourquoi c'est important pour la sécurité

CharGEN est dangereux uniquement parce qu'il subsiste sur des hôtes oubliés. La variante UDP répond à tout datagramme par une réponse bien plus volumineuse, ce qui en fait un vecteur idéal de réflexion et d'amplification : un attaquant usurpe l'adresse source d'une victime, envoie de minuscules requêtes à de nombreux serveurs chargen ouverts, et les réponses submergent la victime. Associé au service echo sur le port 7, deux hôtes ouverts peuvent aussi être bouclés l'un contre l'autre pour consommer bande passante et CPU.

Comment il est attaqué

Les attaquants scannent l'UDP 19 et ajoutent les répondeurs ouverts à des botnets d'amplification. Des requêtes usurpées reflètent des réponses surdimensionnées vers une cible, contribuant à un DDoS volumétrique. Le classique ping-pong chargen-echo lie le port 19 au port 7 dans une boucle de trafic auto-entretenue. Comme le protocole ne requiert aucune authentification, toute instance accessible est immédiatement exploitable.

Liste de durcissement

Il n'y a aucune raison d'exécuter CharGEN aujourd'hui — désactivez-le complètement. Sous Windows, supprimez la fonctionnalité des services TCP/IP simples ; sous Unix, supprimez l'entrée chargen d'inetd/xinetd et redémarrez le démon. Bloquez UDP et TCP 19 sur les pare-feu et les ACL de bordure. Utilisez la commande nmap ci-dessus pour confirmer que chargen est fermé sur les hôtes que vous êtes autorisé à tester.