Skip to content
PortsDB

Référence des ports

Port 7000 (TCP) – Apache Cassandra Inter-nœud

Port par défaut de la communication inter-nœud de Cassandra (gossip et réplication).

tcpRegisteredSouvent attaqué

État par défaut

Cassandra utilise 7000 pour le gossip et la réplication entre nœuds, souvent sans chiffrement inter-nœud activé. Le port ne doit jamais être exposé à Internet, pourtant des clusters mal configurés l'exposent sur 0.0.0.0.

Attaques courantes

  • Ajout d'un nœud malveillant au cluster pour lire ou injecter des données répliquées
  • Interception du trafic gossip et de réplication non chiffré
  • Perturbation du cluster et déni de service contre l'anneau
  • Reconnaissance de la topologie du cluster et des keyspaces

Durcissement

  • Lier listen_address à une interface privée ; ne jamais exposer 7000 à Internet
  • Activer internode_encryption (TLS) pour le gossip et la réplication
  • Filtrer 7000 vers les IP des membres du cluster uniquement
  • Garder le CQL client (9042) et JMX (7199) également restreints
  • Maintenir Cassandra à jour et auditer l'appartenance au cluster

Commande nmap

nmap -p7000 --script banner <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Que tourne sur le port 7000 ?

Le port 7000 est le port par défaut de la communication inter-nœud d'Apache Cassandra — le trafic de gossip et de réplication que les nœuds échangent pour coordonner le cluster et répliquer les données sur l'anneau. Contrairement au port CQL client 9042, 7000 n'est utilisé qu'entre nœuds Cassandra et ne doit jamais être atteint par des clients externes.

Pourquoi c'est important pour la sécurité

Le trafic inter-nœud sur 7000 fonctionne souvent sans chiffrement et transporte des données répliquées et des messages de contrôle du cluster. Si le port est exposé, un attaquant peut ajouter un nœud malveillant à l'anneau pour lire ou injecter des données répliquées, intercepter le trafic gossip ou perturber le cluster. S'agissant d'infrastructure interne, une exposition indique généralement une grave erreur de configuration.

Comment c'est attaqué

Les attaquants scannent les ports 7000 ouverts et tentent de rejoindre le cluster en tant que pair, accédant aux keyspaces répliqués. Le gossip non chiffré peut être intercepté à des fins de reconnaissance, et un trafic malformé peut servir à perturber l'anneau ou à refuser le service aux nœuds légitimes.

Liste de durcissement

Liez listen_address à une interface privée et gardez 7000 hors d'Internet. Activez internode_encryption (TLS) pour le gossip et la réplication, et filtrez 7000 vers les IP des membres du cluster uniquement. Restreignez également le port client 9042 et le JMX 7199. Appliquez les correctifs régulièrement et auditez l'appartenance au cluster. Utilisez l'extrait nmap ci-dessus pour détecter les ports inter-nœud exposés sur les hôtes que vous êtes autorisé à tester.

Ports liés

Port 9042Port 9200Port 27017Port 6379

Questions fréquentes

Le port Cassandra 7000 doit-il être exposé à Internet ?
Non. Le port 7000 transporte le gossip et la réplication inter-nœud et doit rester sur un réseau privé, filtré vers les seuls membres du cluster. L'exposer peut permettre à un nœud malveillant de rejoindre l'anneau et d'accéder aux données répliquées.
Comment sécuriser le trafic inter-nœud sur 7000 ?
Activez internode_encryption avec TLS, liez listen_address à une interface privée et filtrez 7000 pour que seules les IP de membres connus du cluster puissent se connecter.