Skip to content
PortsDB

Référence des ports

Port 3128 (TCP) – Squid HTTP Proxy

Port d'écoute par défaut du proxy HTTP de cache/relais Squid.

tcpRegisteredSouvent attaqué

État par défaut

Ouvert sur les hôtes exécutant Squid. Souvent lié à toutes les interfaces et laissé en proxy ouvert lorsque les ACL sont mal configurées.

Attaques courantes

  • Abus de proxy ouvert pour relayer du trafic, du spam et anonymiser les attaques
  • SSRF interne et pivotement pour atteindre des services intranet
  • Recherche de proxys pour contourner le filtrage de sortie et les listes d'autorisation d'IP
  • Exploitation de failles d'analyse/RCE de Squid non corrigées

Durcissement

  • Lier Squid uniquement aux interfaces internes ; ne jamais exposer 3128 à Internet
  • Appliquer des ACL http_access strictes et refuser par défaut
  • Exiger une authentification du proxy pour l'usage sortant
  • Restreindre les destinations accessibles pour bloquer le SSRF/pivotement
  • Maintenir Squid à jour contre les vulnérabilités d'analyse et de RCE

Commande nmap

nmap -p3128 --script http-open-proxy <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 3128

Le port 3128 est le port d'écoute par défaut de Squid, un proxy HTTP/HTTPS de cache et de relais largement déployé. Les organisations l'utilisent pour centraliser l'accès web, mettre en cache le contenu, appliquer un filtrage de sortie et journaliser le trafic sortant. Les clients envoient leurs requêtes HTTP à Squid, qui récupère la ressource en leur nom et la renvoie.

Pourquoi c'est important pour la sécurité

Un proxy se situe entre les clients et le reste du réseau, donc un Squid mal configuré devient un outil puissant pour un attaquant. Si les ACL http_access sont trop permissives, le 3128 devient un proxy ouvert que n'importe qui peut relayer — anonymisant les attaques, envoyant du spam et contournant les listes d'autorisation d'IP. Pire, un proxy joignable depuis l'extérieur peut être amené à faire du SSRF, récupérant des URL internes et pivotant dans l'intranet.

Comment c'est attaqué

Les scanners traquent les proxys ouverts et les confirment avec le script nmap http-open-proxy. Une fois trouvé, les attaquants routent leur trafic via 3128 pour masquer leur origine ou atteindre des services internes (points de métadonnées cloud, panneaux d'administration) que le proxy voit mais qu'eux ne voient pas. Les versions de Squid non corrigées ont aussi souffert de failles d'analyse de requêtes et de RCE qui font du proxy lui-même un point d'appui.

Liste de durcissement

Liez Squid uniquement aux interfaces internes et n'exposez jamais le 3128 à Internet. Écrivez des ACL http_access strictes qui refusent par défaut et exigez une authentification du proxy pour l'usage sortant. Restreignez les destinations que Squid peut atteindre pour limiter le SSRF et le pivotement, et gardez le démon à jour. Utilisez la commande nmap ci-dessus pour confirmer si un proxy est ouvert sur les systèmes que vous êtes autorisé à tester.

Ports liés

Port 8080Port 1080Port 8118Port 3129

Questions fréquentes

Qu'est-ce qu'un proxy ouvert sur le port 3128 ?
Un proxy Squid avec des ACL permissives qui relaie les requêtes de n'importe qui. Les attaquants l'utilisent pour anonymiser le trafic, contourner les listes d'autorisation d'IP et atteindre des services internes.
Quelle différence entre Squid et un proxy SOCKS sur 1080 ?
Squid sur 3128 est un proxy de relais HTTP/HTTPS avec cache et ACL. SOCKS sur 1080 est un relais de plus bas niveau, indépendant du protocole. Les deux sont détournés en proxys ouverts lorsqu'ils ne sont pas authentifiés.