Référence des ports
Port 3702 (UDP) – WS-Discovery
WS-Discovery — un protocole multicast qui localise les équipements de services web tels que imprimantes et caméras IP sur un réseau local.
État par défaut
Ouvert sur de nombreuses imprimantes, caméras IP, NAS et hôtes Windows. Souvent exposé sur Internet, où il est détourné pour l'amplification DDoS.
Attaques courantes
- DDoS par amplification / réflexion via les équipements WSD exposés
- Énumération des caméras IP, imprimantes et NAS via les réponses aux sondes
- Divulgation du type, modèle et services de l'équipement
- Rebond depuis les équipements découverts vers le réseau interne
Durcissement
- Bloquer l'UDP 3702 en bordure d'Internet — il ne doit jamais être public
- Désactiver WS-Discovery / WSD sur les équipements qui n'en ont pas besoin
- Restreindre la découverte multicast aux segments locaux de confiance
- Mettre à jour rapidement le micrologiciel des imprimantes, caméras et NAS
- Surveiller les sondes à source usurpée indiquant un abus de réflexion
Commande nmap
nmap -sU -p3702 --script broadcast-wsdd-discover <target>Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.
Ce qui s'exécute sur le port 3702
Le port 3702 transporte WS-Discovery (WSD), un protocole multicast qui permet aux équipements de services web de s'annoncer et se découvrir mutuellement sur un réseau local. Imprimantes, caméras IP, NAS et hôtes Windows l'utilisent pour être trouvés sans configuration manuelle : un client diffuse une sonde en multicast et les équipements correspondants répondent avec leur type, adresse et services disponibles. Il est censé rester sur le lien local, jamais sur l'Internet public.
Pourquoi c'est important pour la sécurité
Le schéma requête/réponse de WS-Discovery est une primitive d'amplification de manuel : une minuscule sonde usurpée déclenche une réponse bien plus grande, et l'exposition accidentelle fréquente du protocole sur Internet en a fait un favori des DDoS par réflexion pouvant atteindre des centaines de gigabits. Même en interne, les réponses aux sondes divulguent un inventaire détaillé des équipements — modèle, services, points de terminaison — que les attaquants exploitent pour trouver des caméras et imprimantes vulnérables à travers lesquelles rebondir.
Comment il est attaqué
Les attaquants recherchent l'UDP 3702 exposé sur Internet et reflètent des sondes à source usurpée sur les équipements exposés, amplifiant le trafic vers une victime dans un DDoS. Ils envoient aussi des sondes légitimes pour énumérer caméras IP, imprimantes et NAS, lisant les détails d'équipement et de service dans les réponses, puis rebondissent dans le réseau via un micrologiciel faible ou non corrigé.
Liste de durcissement
Bloquez l'UDP 3702 en bordure d'Internet — il n'a rien à faire en public. Désactivez WS-Discovery / WSD sur les équipements qui n'en ont pas besoin, et restreignez la découverte multicast aux segments locaux de confiance. Maintenez le micrologiciel des imprimantes, caméras et NAS à jour, et surveillez les sondes à source usurpée signalant un abus de réflexion. Le script nmap ci-dessus découvre les équipements WSD sur les réseaux que vous êtes autorisé à tester. </content>
Ports liés
Questions fréquentes
- À quoi sert le port 3702 ?
- Le port 3702 est WS-Discovery (WSD), un protocole multicast qui permet à des équipements comme les imprimantes, caméras IP et NAS de s'annoncer et d'être trouvés automatiquement sur un réseau local.
- Pourquoi WS-Discovery est-il un risque de DDoS ?
- Une petite sonde usurpée fait envoyer à un équipement WSD exposé une réponse bien plus grande vers la victime. Avec de nombreux équipements exposés sur Internet, les attaquants transforment cet écart en DDoS par amplification à fort volume.