Skip to content
PortsDB

Référence des ports

Port 6881 (TCP/UDP) – BitTorrent

Port par défaut classique des connexions pair BitTorrent et du DHT, utilisé par les clients pour échanger des morceaux et découvrir des pairs.

tcpudpRegisteredSouvent attaqué

État par défaut

Ouvert sur les hôtes exécutant des clients BitTorrent ; le port d'écoute est souvent redirigé via NAT pour une meilleure connectivité.

Attaques courantes

  • Exposition d'IP et fuite de vie privée des pairs en téléchargement
  • Amplification/réflexion DDoS abusant des réponses DHT et trackers
  • Pairs malveillants servant des morceaux falsifiés ou piégés
  • Empoisonnement de tracker/DHT pour rediriger ou perturber les essaims

Durcissement

  • Lier le client à une interface VPN et éviter les fuites d'IP
  • Désactiver ou filtrer DHT/PEX si inutile pour limiter l'exposition
  • Restreindre le port d'écoute et utiliser un port non par défaut
  • Vérifier les sources de contenu et garder le client à jour
  • Limiter le débit des connexions et bloquer les pairs abusifs connus

Commande nmap

nmap -sU -p6881 --script banner <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 6881

Le port 6881 est le port par défaut classique du trafic pair BitTorrent. En TCP, les clients exécutent le peer wire protocol pour échanger des morceaux de fichiers, et en UDP, ils utilisent le DHT (table de hachage distribuée) et uTP pour la découverte de pairs et le transport. Les clients redirigent souvent ce port via NAT pour une meilleure connectivité, et le port d'écoute peut être exposé à Internet.

Pourquoi c'est important pour la sécurité

BitTorrent est intrinsèquement public : chaque pair voit votre IP, et les trackers et le DHT publient les participants, donc l'essaim d'un torrent est entièrement énumérable — un réel problème de vie privée et d'exposition. Les mécanismes DHT et tracker peuvent aussi être abusés pour la réflexion/ amplification DDoS, et des pairs malveillants peuvent servir des morceaux falsifiés ou piégés.

Comment c'est attaqué

Les adversaires énumèrent les pairs de l'essaim pour récolter les adresses IP et surveiller qui partage quoi. Ils abusent des nœuds DHT et trackers ouverts pour le DDoS par amplification, empoisonnent le DHT/trackers pour perturber les essaims, et opèrent des pairs malveillants distribuant du contenu falsifié.

Liste de durcissement

Liez le client à une interface VPN pour que votre vraie IP ne fuie pas. Désactivez ou filtrez DHT/PEX lorsque c'est inutile, restreignez le port d'écoute (et utilisez-en un non par défaut), et limitez le débit des connexions tout en bloquant les pairs abusifs connus. Vérifiez les sources de contenu et gardez le client à jour. Utilisez la commande nmap ci-dessus uniquement sur les hôtes que vous contrôlez.

Ports liés

Port 6882Port 51413Port 6969

Questions fréquentes

BitTorrent sur le port 6881 expose-t-il mon adresse IP ?
Oui. Chaque pair d'un essaim voit votre IP, et les trackers/DHT la publient. N'importe qui peut énumérer les participants d'un torrent. Utilisez un VPN lié au client pour éviter de divulguer votre vraie adresse.
Comment BitTorrent est-il utilisé dans les attaques DDoS ?
Les réponses DHT et trackers peuvent être plus volumineuses que les requêtes, donc des requêtes usurpées reflètent un trafic amplifié vers une victime. Des clients mal configurés et des nœuds DHT ouverts ont été abusés comme réflecteurs.