Skip to content
PortsDB

Référence des ports

Port 1900 (UDP) – SSDP/UPnP

Simple Service Discovery Protocol — la couche de découverte d'UPnP qui permet aux appareils de se trouver sur un LAN.

udpRegisteredSouvent attaqué

État par défaut

Ouvert par défaut sur de nombreux routeurs domestiques, téléviseurs connectés, imprimantes et objets IoT. Souvent et dangereusement exposé à Internet.

Attaques courantes

  • DDoS par réflexion / amplification SSDP
  • Détournement du contrôle UPnP exposé (mappage de ports, manipulation NAT)
  • Reconnaissance des appareils et du réseau

Durcissement

  • Bloquer l'UDP 1900 entrant en bordure d'Internet
  • Désactiver UPnP/SSDP sur l'interface WAN des routeurs
  • Désactiver complètement UPnP là où il n'est pas nécessaire
  • Corriger le firmware IoT/routeur et segmenter les appareils IoT

Commande nmap

nmap -sU -p1900 --script upnp-info <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Qu'est-ce qui tourne sur le port 1900 ?

UDP 1900 transporte SSDP (Simple Service Discovery Protocol), le composant de découverte d'UPnP (Universal Plug and Play). Les appareils diffusent en multicast des requêtes M-SEARCH et des annonces NOTIFY afin que routeurs, téléviseurs connectés, imprimantes, serveurs multimédias et objets IoT puissent se trouver et s'auto-configurer sur un LAN. Il est activé par défaut sur une vaste gamme de matériel grand public.

Pourquoi c'est important pour la sécurité

SSDP est destiné au réseau local uniquement, mais d'innombrables routeurs et objets IoT le divulguent à Internet. Comme une petite requête renvoie une réponse bien plus volumineuse, les répondeurs SSDP ouverts sont une source majeure de DDoS par réflexion et amplification et ont alimenté certaines des plus grandes attaques enregistrées. Lorsque les points de contrôle UPnP sont aussi exposés, les attaquants peuvent manipuler les mappages de ports et règles NAT pour percer des trous dans le pare-feu, et les réponses révèlent les modèles et firmwares des appareils à des fins de ciblage.

Comment il est attaqué

Les attaquants scannent l'UDP 1900 à la recherche d'appareils répondants, puis envoient des requêtes M-SEARCH usurpées pour refléter un trafic amplifié vers une victime à des fins de DDoS. Les URL de contrôle UPnP exposées sont détournées pour ajouter des redirections de ports malveillantes, exposant des services internes ou routant le trafic de l'attaquant. Les réponses de découverte alimentent aussi la reconnaissance des types et versions d'appareils.

Liste de durcissement

Bloquez l'UDP 1900 entrant au périmètre et assurez-vous que les routeurs n'exécutent pas SSDP/UPnP sur leur interface WAN. Désactivez complètement UPnP là où il n'est pas requis, segmentez les objets IoT sur leur propre réseau, et maintenez le firmware des routeurs et appareils à jour. Utilisez la commande nmap ci-dessus pour vérifier l'exposition UPnP/SSDP sur les appareils que vous êtes autorisé à tester.

Ports liés

Port 5000Port 5353Port 53Port 137

Questions fréquentes

À quoi sert le port 1900 ?
UDP 1900 transporte SSDP, le protocole de découverte derrière UPnP. Les appareils l'utilisent pour annoncer et trouver des services sur un réseau local — il ne devrait jamais être accessible depuis Internet.
Pourquoi SSDP est-il un risque DDoS ?
Une petite requête SSDP M-SEARCH produit une réponse bien plus volumineuse, donc les appareils exposés à Internet sont détournés comme réflecteurs/amplificateurs pour générer un DDoS à fort volume contre des tiers.