Skip to content
PortsDB

Référence des ports

Port 5004 (UDP) – RTP (Real-time Transport Protocol)

Port RTP par défaut transportant les médias audio/vidéo en temps réel pour la VoIP et le streaming, négocié par des protocoles de signalisation comme SIP.

udpRegisteredSouvent attaqué

État par défaut

Utilisé pour les flux média RTP sur les endpoints VoIP et serveurs média ; le chemin média est ouvert lors de l'établissement d'appel par SIP/H.323.

Attaques courantes

  • Écoute des flux audio/vidéo RTP non chiffrés
  • Injection RTP d'audio/vidéo usurpés dans un appel
  • Perturbation de flux et déni de service par flood de paquets
  • Manipulation SSRC/séquence pour détourner ou corrompre le média

Durcissement

  • Utiliser SRTP pour chiffrer et authentifier les flux média
  • Négocier et échanger les clés média de façon sécurisée via SIP sur TLS
  • Restreindre les adresses sources RTP et valider SSRC/séquence
  • Placer le média VoIP sur un VLAN isolé, pas sur l'Internet ouvert
  • Limiter le débit et surveiller les flux RTP contre l'injection/flood

Commande nmap

nmap -sU -p5004 --script banner <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 5004

Le port 5004 est le port par défaut de RTP, le Real-time Transport Protocol, qui transporte l'audio/vidéo en temps réel pour la VoIP et le streaming. RTP n'est pas autonome : un protocole de signalisation comme SIP (5060) ou H.323 ouvre le chemin média et négocie les codecs, puis le média circule via RTP (avec RTCP sur 5005). Il fonctionne en UDP pour une faible latence.

Pourquoi c'est important pour la sécurité

Le RTP en clair expose la conversation réelle : quiconque sur le chemin média peut écouter en capturant les paquets et en reconstruisant l'audio/vidéo. Comme RTP a une authentification intrinsèque faible, les attaquants peuvent aussi injecter du média usurpé dans un appel ou manipuler les numéros SSRC/séquence pour détourner ou corrompre le flux, et inonder de paquets pour le perturber.

Comment c'est attaqué

Sur un chemin média partagé ou exposé, les attaquants capturent le RTP et le rejouent pour écouter. Ils injectent du RTP forgé avec un SSRC correspondant pour superposer ou remplacer l'audio, manipulent les numéros de séquence pour corrompre la lecture, et inondent l'endpoint pour provoquer un déni de service.

Liste de durcissement

Utilisez SRTP pour chiffrer et authentifier le média, et négociez les clés de façon sécurisée via SIP sur TLS. Restreignez les adresses sources RTP et validez SSRC/séquence pour rejeter les paquets injectés. Gardez le média VoIP sur un VLAN isolé plutôt que sur l'Internet ouvert, et limitez le débit et surveillez les flux RTP contre l'injection ou le flood. Utilisez la commande nmap ci-dessus uniquement sur les systèmes que vous êtes autorisé à tester.

Ports liés

Port 5005Port 5060Port 5061Port 554

Questions fréquentes

Quelle est la relation entre RTP et SIP ?
SIP (port 5060) est la signalisation qui établit un appel et négocie le média ; RTP (port 5004) transporte l'audio/vidéo réel. SIP ouvre le chemin RTP, donc sécuriser les deux — idéalement SIP/TLS plus SRTP — est nécessaire.
Les flux RTP peuvent-ils être écoutés ?
Oui. Le RTP non chiffré peut être capturé et rejoué pour récupérer l'audio/vidéo. Les attaquants sur le chemin média peuvent aussi injecter du RTP usurpé. SRTP chiffre et authentifie le flux pour l'empêcher.