Skip to content
PortsDB

Référence des ports

Port 194 (TCP) – IRC (Internet Relay Chat)

Protocole de chat texte en temps réel organisant les utilisateurs en canaux sur des serveurs relais.

tcpWell-knownSouvent attaqué

État par défaut

Rarement utilisé sur 194 aujourd'hui ; la plupart d'IRC tourne sur 6667 (en clair) ou 6697 (TLS). En clair sauf si TLS est activé.

Attaques courantes

  • Commande et contrôle de botnet via les canaux IRC
  • Écoute des identifiants et messages en clair
  • Flood de canaux et coordination de DDoS via IRC
  • Sondage des clients qui se connectent via ident (port 113)

Durcissement

  • Exiger TLS (IRC over SSL) et désactiver le clair si possible
  • Surveiller les schémas de C2 de botnet et l'activité de canal suspecte
  • Restreindre le linking de serveurs et exiger l'authentification des opérateurs
  • Limiter le débit des connexions et imposer une auth NickServ/SASL forte

Commande nmap

nmap -p194 --script irc-info,irc-botnet-channels <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 194

Le port 194 est le port bien connu d'origine d'IRC, le protocole Internet Relay Chat qui regroupe les utilisateurs en canaux sur des serveurs relais pour le chat texte en temps réel. En pratique, les réseaux IRC modernes écoutent sur 6667 (en clair) et 6697 (TLS), mais 194 reste l'attribution enregistrée. L'IRC simple transporte messages et connexions en clair sauf si TLS est activé.

Pourquoi c'est important pour la sécurité

IRC a un long passé de commande et contrôle de botnet. Son modèle de canaux simple a permis aux auteurs de malwares de piloter des milliers d'hôtes infectés qui rejoignaient un canal caché et attendaient des commandes — donc le trafic IRC provenant de serveurs ou de postes de travail est un indicateur classique de compromission. Côté service, l'IRC en clair expose les identifiants et messages à l'écoute, et les serveurs IRC sondent historiquement ident sur le port 113 à la connexion des clients.

Comment il est attaqué

Les attaquants montent ou détournent des canaux pour le C2, envoyant des commandes aux essaims de bots et coordonnant des DDoS. Les sessions en clair sont interceptées pour les identifiants et le contenu. Les réseaux subissent du flood de canaux et de connexions, et les serveurs exposés sont scannés pour du linking ouvert qui permet à un attaquant de rejoindre le réseau en serveur pirate. La surveillance défensive traque spécifiquement les signatures de canaux de botnet.

Liste de durcissement

Exigez TLS pour les connexions client et serveur et désactivez le clair quand c'est possible. Imposez l'authentification SASL/NickServ, restreignez le linking de serveurs et exigez l'auth des opérateurs. Limitez le débit des connexions pour résister au flood. Côté réseau, surveillez les schémas de C2 IRC quittant votre environnement — un IRC sortant inattendu est un fort signal de malware. La commande nmap ci-dessus identifie le serveur et vérifie les canaux de botnet connus sur les hôtes que vous êtes autorisé à tester.

Ports liés

Port 6667Port 6697Port 113Port 6660

Questions fréquentes

Quel port utilise IRC ?
Le port enregistré est 194, mais en pratique la plupart des serveurs IRC utilisent 6667 en clair et 6697 en TLS. Le port 194 est l'attribution bien connue d'origine.
Pourquoi IRC est-il associé aux malwares ?
Les canaux légers d'IRC en ont fait un canal de commande et contrôle prisé des botnets, permettant à un opérateur d'envoyer des commandes à de nombreux hôtes infectés à la fois. La surveillance réseau signale souvent les schémas de C2 IRC.