Skip to content
PortsDB

Référence des ports

Port 9050 (TCP) – Proxy SOCKS Tor

Proxy SOCKS5 local exposé par le client Tor pour router le trafic applicatif via le réseau Tor.

tcpRegisteredSouvent attaqué

État par défaut

À l'écoute sur 127.0.0.1 uniquement sur les hôtes exécutant le démon Tor. Dangereux quand il est lié à une interface publique, où il agit comme un proxy ouvert.

Attaques courantes

  • Abus de proxy ouvert quand le 9050 est lié à une interface publique
  • Relais de spam, de scraping ou de trafic d'attaque via l'hôte
  • Recherche de ports SOCKS Tor exposés pour anonymiser un trafic malveillant
  • Pivot via un port de contrôle non protégé (9051) pour reconfigurer Tor

Durcissement

  • Garder le 9050 lié à 127.0.0.1 — ne jamais l'exposer au réseau
  • Protéger le port de contrôle 9051 avec CookieAuthentication ou un mot de passe
  • Filtrer le port pour que seules les applications locales y accèdent
  • Exécuter Tor sous un utilisateur non privilégié et le maintenir à jour
  • Surveiller tout trafic Tor sortant inattendu sur les serveurs

Commande nmap

nmap -p9050 --script socks-open-proxy,socks-auth-info <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 9050

Le port 9050 est le proxy SOCKS5 par défaut exposé par le démon client Tor. Les applications pointent leurs paramètres de proxy vers 127.0.0.1:9050, et Tor route ce trafic à travers ses circuits de routage en oignon pour l'anonymat. Le pack Tor Browser utilise un port distinct (9150), tandis que le démon tor autonome écoute sur le 9050. Un port de contrôle (9051) associé permet aux outils de gérer les circuits et la configuration.

Pourquoi c'est important pour la sécurité

Par conception, le 9050 ne se lie qu'à localhost, donc les applications locales peuvent l'utiliser mais pas le réseau. Le danger apparaît quand un opérateur le relie à une interface publique ou à 0.0.0.0 : il devient alors un proxy SOCKS ouvert par lequel quiconque sur Internet peut relayer du trafic, anonymisant spam, scraping et attaques derrière l'IP de l'hôte. Un port de contrôle (9051) mal protégé aggrave le risque.

Comment c'est attaqué

Les scanners Internet sondent les ports SOCKS ouverts, et le script nmap socks-open-proxy confirme si le 9050 relaiera des connexions arbitraires. Une fois trouvé, un proxy exposé est abusé pour blanchir du trafic malveillant. Si le port de contrôle 9051 est accessible sans authentification, les attaquants peuvent reconfigurer Tor ou tenter de désanonymiser ses utilisateurs.

Liste de durcissement

Gardez le 9050 lié à 127.0.0.1 et ne l'exposez jamais au réseau — filtrez-le pour que seules les applications locales s'y connectent. Protégez le port de contrôle 9051 avec CookieAuthentication ou un mot de passe haché. Exécutez Tor sous un utilisateur non privilégié, maintenez-le à jour et surveillez tout trafic Tor sortant inattendu sur les serveurs. Utilisez la commande nmap ci-dessus pour vérifier que le proxy ne relaie pas ouvertement sur les hôtes que vous êtes autorisé à tester.

Ports liés

Port 9051Port 1080Port 9001Port 9150

Questions fréquentes

Peut-on laisser le port 9050 ouvert sans risque ?
Uniquement sur localhost. Tor lie le 9050 à 127.0.0.1 par conception. Si vous le reliez à une IP publique, il devient un proxy SOCKS ouvert par lequel n'importe qui peut router un trafic abusif.
Quelle différence entre 9050 et 9051 ?
Le 9050 est le proxy SOCKS auquel les applications se connectent. Le 9051 est le port de contrôle de Tor, utilisé pour gérer le démon. Un 9051 non authentifié permet à un attaquant de reconfigurer ou de désanonymiser Tor.