Référence des ports
Port 8388 (TCP) – Proxy Shadowsocks
Serveur proxy chiffré Shadowsocks utilisé pour le contournement de la censure et le tunneling de trafic.
État par défaut
Ouvert sur les hôtes exécutant un serveur Shadowsocks. Exposé à Internet par conception, reposant sur une clé pré-partagée pour le contrôle d'accès et le chiffrement.
Attaques courantes
- Force brute ou devinette de clés pré-partagées faibles
- Abus de proxy ouvert une fois la clé récupérée ou par défaut
- Sondage actif pour identifier et bloquer les serveurs Shadowsocks
- Relais de spam, de scraping ou de trafic d'attaque via l'hôte
Durcissement
- Utiliser une clé pré-partagée longue et aléatoire et un chiffrement AEAD moderne
- Restreindre les IP sources si possible et limiter le débit des connexions
- Exécuter le serveur sans privilèges et le maintenir à jour
- Faire tourner les clés et surveiller tout trafic sortant inattendu
- Éviter les ports/clés par défaut que les scanners vérifient en premier
Commande nmap
nmap -p8388 --script banner <target>Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.
Ce qui s'exécute sur le port 8388
Le port 8388 est un défaut courant de Shadowsocks, un proxy chiffré largement utilisé pour le contournement de la censure et le tunneling de trafic. Un client chiffre le trafic avec une clé pré-partagée et l'envoie au serveur Shadowsocks sur le 8388, qui le déchiffre et le transmet à la destination. Contrairement à un simple proxy SOCKS, la clé fournit à la fois le chiffrement et le contrôle d'accès en un seul secret.
Pourquoi c'est important pour la sécurité
Shadowsocks est exposé à Internet par conception, donc sa seule défense est la clé pré-partagée. Une clé faible, par défaut ou fuitée fait s'effondrer à la fois la confidentialité et le contrôle d'accès : quiconque la récupère peut déchiffrer le trafic ou relayer le sien via votre serveur. Un 8388 exposé avec une mauvaise clé devient de fait un proxy ouvert qui blanchit spam, scraping et trafic d'attaque derrière votre IP.
Comment c'est attaqué
Les attaquants recherchent les ports Shadowsocks et les sondent activement pour identifier le service (et, sur certains réseaux, le bloquer). Là où les clés sont courtes, par défaut ou réutilisées, ils tentent la force brute ou la devinette. Une fois la clé récupérée, le serveur est détourné en proxy ouvert pour anonymiser un trafic malveillant.
Liste de durcissement
Utilisez une clé pré-partagée longue et aléatoire et un chiffrement AEAD moderne plutôt qu'un chiffrement de flux hérité. Restreignez les IP sources quand c'est faisable, limitez le débit des connexions, et évitez les ports et clés par défaut évidents que les scanners vérifient en premier. Exécutez le serveur sans privilèges et à jour, faites tourner les clés périodiquement et surveillez tout trafic sortant inattendu. Utilisez la commande nmap ci-dessus pour confirmer l'exposition sur les hôtes que vous êtes autorisé à tester.
Ports liés
Questions fréquentes
- Le Shadowsocks sur le 8388 est-il chiffré ?
- Oui. Shadowsocks chiffre le trafic avec une clé pré-partagée, idéalement un chiffrement AEAD moderne. La sécurité dépend de la robustesse de la clé — une clé faible ou devinable mine à la fois la confidentialité et le contrôle d'accès.
- Un serveur Shadowsocks peut-il être détourné en proxy ouvert ?
- Si la clé est faible, par défaut ou fuitée, quiconque la récupère peut router un trafic arbitraire via votre hôte, blanchissant spam ou attaques derrière votre IP. Utilisez une clé longue et aléatoire et faites-la tourner.