Services Réseau et Analyse de Protocoles pour Cisco CyberOps

Services Réseau : Attribution d’Adresses et Découverte

DHCPv4 (Dynamic Host Configuration Protocol)

Le DHCPv4 automatise l’attribution des adresses IPv4, des masques de sous-réseau, des passerelles par défaut et des informations relatives aux serveurs DNS.

Processus DORA

Le bail DHCP est négocié via un échange en quatre étapes. Pour l’examen, l’ordre de la séquence est crucial :

Étape	Message	Source	Destination	Description
D	Discover	Client	Broadcast	Le client cherche les serveurs DHCP disponibles.
O	Offer	Serveur	Unicast	Le serveur propose une adresse IP et une configuration.
R	Request	Client	Broadcast	Le client accepte l’offre d’un serveur spécifique.
A	Ack	Serveur	Unicast	Le serveur confirme le bail et les paramètres.

Détails du Transport et du Protocole

Protocole : UDP
Port Client : 68
Port Serveur : 67
DHCPNAK : Envoyé par le serveur si l’IP demandée n’est plus disponible.
DHCPRELEASE : Envoyé par le client pour mettre fin volontairement au bail.

Configuration d’Adresses IPv6 (SLAAC et DHCPv6)

L’IPv6 propose plusieurs méthodes d’attribution d’adresses, allant de l’autonomie complète (Stateless) à la gestion par serveur (Stateful).

SLAAC (Stateless Address Autoconfiguration)

Le SLAAC permet à un hôte de configurer sa propre adresse GUA (Global Unicast Address) à l’aide des messages ICMPv6.

Router Solicitation (RS - Type 133) : L’hôte envoie une requête multicast à “Tous les routeurs” (ff02::2) pour obtenir les informations de préfixe réseau.
Router Advertisement (RA - Type 134) : Le routeur répond avec le préfixe réseau, la longueur de préfixe et l’adresse de la passerelle par défaut (Link-Local).

Génération d’Identifiant d’Interface EUI-64

Lors de l’utilisation de SLAAC, l’hôte génère souvent son identifiant d’interface de 64 bits à partir de son adresse MAC :

Diviser l’adresse MAC de 48 bits en deux moitiés.
Insérer la valeur hexadécimale FF:FE au milieu.
Inverser le 7ème bit (bit Universal/Local) du premier octet.

NDP (Neighbor Discovery Protocol)

En IPv6, le protocole ARP (Address Resolution Protocol) est remplacé par le NDP, qui utilise ICMPv6.

Neighbor Solicitation (NS - Type 135) : Envoyé pour déterminer l’adresse de couche liaison (MAC) d’un voisin ou pour vérifier qu’un voisin est toujours joignable.
Neighbor Advertisement (NA - Type 136) : Envoyé en réponse à un message NS, fournissant l’adresse MAC demandée.

Correspondance des Messages DHCPv4 vs. DHCPv6

Fonction	Message DHCPv4	Équivalent DHCPv6
Recherche initiale	Discover	Solicit
Proposition du serveur	Offer	Advertise
Demande du client	Request	Request
Confirmation	Ack	Reply

Référence des Types d’Adresses IPv6

Préfixe	Type d’Adresse	Description
2000::/3	Global Unicast	Adresse routable globalement (Équivalent IP publique IPv4).
fe80::/10	Link-Local	Adresse obligatoire pour la communication sur le segment local.
ff00::/8	Multicast	Utilisé pour la communication d’un vers plusieurs.
::1/128	Loopback	Test de l’hôte local (Équivalent 127.0.0.1).

Implications de Sécurité CyberOps

Vecteurs d’Attaque Courants

DHCP Starvation (Épuisement) : L’attaquant épuise le pool d’adresses du serveur DHCP en envoyant de nombreux messages Discover avec des adresses MAC usurpées.
RA Spoofing / Rogue Router : Un attaquant envoie des messages Router Advertisement (RA) frauduleux. Cela force les hôtes à utiliser la machine de l’attaquant comme passerelle par défaut, permettant des attaques de l’homme du milieu (MitM).

Analyse via Wireshark

Filtre DHCPv4 : Utiliser bootp ou udp.port == 67.
Filtre Trafic de Contrôle IPv6 : Utiliser icmpv6 pour surveiller les messages RS, RA, NS et NA.
Activité Suspecte : Rechercher plusieurs messages RA provenant de différentes adresses MAC source sur un même segment.

2. DNS — Domain Name System

DNS traduit les noms de domaine lisibles par l’humain (ex. : www.cisco.com) en adresses IP (ex. : 74.163.4.161). Il s’agit d’un système hiérarchique distribué à l’échelle mondiale.

⚠️ Note de sécurité : Plus de 90 % des logiciels malveillants exploitent le système DNS pour mener des campagnes d’attaques réseau. Les malwares contactent fréquemment leurs serveurs de commande et contrôle (C2) via DNS.

Hiérarchie des Domaines DNS

.                          ← Racine (Root)
└── .com / .org / .net     ← Domaines de premier niveau (TLD)
    └── cisco              ← Domaine de second niveau
        └── www            ← Sous-domaine / Nom d'hôte

TLDs courants :

TLD	Type
`.com`	Commercial / Entreprise
`.org`	Organisation à but non lucratif
`.gov`	Gouvernement américain
`.edu`	Établissement d’enseignement
`.au`, `.fr`, `.uk`	TLDs de code pays (ccTLD)

Terminologie DNS Clé

Terme	Définition
Résolveur	Client DNS qui envoie des requêtes DNS
Serveur Faisant Autorité	Serveur détenant les enregistrements (RR) de référence pour un domaine
Résolveur Récursif	Serveur DNS qui effectue des requêtes pour le compte d’un résolveur
FQDN	Nom de Domaine Pleinement Qualifié (ex. : `www.cisco.com.`)
RR (Resource Record)	Entrée DNS avec les champs : NOM, TYPE, CLASSE, TTL, RDATA
Zone	Portion de l’espace de nommage DNS gérée par un serveur faisant autorité
Transfert de Zone	Processus de réplication des données de zone DNS entre serveurs

Types d’Enregistrements DNS

Enregistrement	Description
A	Adresse IPv4 d’un hôte
AAAA	Adresse IPv6 d’un hôte (quad-A)
NS	Serveur de noms faisant autorité pour un domaine
MX	Enregistrement de serveur de messagerie
CNAME	Nom canonique / alias
PTR	Résolution inverse (IP → nom d’hôte)
TXT	Enregistrement texte (utilisé pour SPF, DKIM, etc.)

Étapes de la Résolution DNS

L’utilisateur saisit un FQDN dans le navigateur
Le client vérifie d’abord son cache DNS local
Si aucune correspondance → requête DNS envoyée au serveur DNS configuré
Le serveur DNS associe le nom à une IP (ou interroge des serveurs de niveau supérieur de façon récursive)
La réponse est renvoyée au client avec l’IP résolue
Le client contacte le serveur web via l’IP résolue

Sur Windows, utilisez ipconfig /displaydns pour consulter le cache DNS local.

Format des Messages DNS

DNS utilise un format de message unique pour les requêtes et les réponses :

Section	Description
Question	Domaine à résoudre, type de requête, classe
Réponse	RR(s) avec l’IP ou les IPs résolues
Autorité	RRs du serveur faisant autorité
Additionnel	RRs supplémentaires pour améliorer l’efficacité de la résolution

Transport DNS

Condition	Protocole	Port
Requêtes et réponses standard	UDP	53
Réponses > 512 octets (ex. : DDNS)	TCP	53

DNS utilise UDP car les requêtes sont de petite taille et ne nécessitent pas de surcharge de connexion. UDP est plus rapide et efficace pour les échanges courts.

DNS Dynamique (DDNS)

Le DDNS permet des mises à jour quasi instantanées des associations IP/domaine — indispensable lorsque les FAI utilisent DHCP et que les adresses IP changent fréquemment.

Un client DDNS (sur routeur ou hôte) détecte les changements d’IP et notifie immédiatement le fournisseur DDNS
Couramment utilisé pour les serveurs personnels et les services auto-hébergés

⚠️ Risque de sécurité : Les attaquants abusent des services DDNS gratuits pour faire tourner rapidement les adresses IP de leurs serveurs C2 malveillants, contournant ainsi les listes de blocage IP. Surveillez le trafic DNS à destination des services DDNS connus.

Note Technique : Transfert de Zone DNS (AXFR/IXFR)

Résumé

Un transfert de zone DNS est un mécanisme de synchronisation de base de données. Il ne s’agit PAS d’une résolution de nom standard (lookup). C’est le processus par lequel un serveur DNS (Esclave/Secondaire) demande et reçoit une copie des enregistrements du fichier de zone depuis un autre serveur DNS (Maître/Primaire).

Mécanisme Technique

Les transferts de zone sont uniques dans l’écosystème DNS car ils reposent sur le port TCP 53 plutôt qu’UDP.

Processus de Déclenchement

Vérification SOA : Le serveur secondaire vérifie périodiquement l’enregistrement Start of Authority (SOA) sur le serveur maître.
Comparaison du numéro de série : Si le Numéro de Série sur le maître est supérieur à celui du secondaire, le serveur secondaire initie une demande de transfert.
Transmission des données : Le maître envoie les enregistrements de ressources par blocs.

Types de Transferts

AXFR (Transfert de Zone Complet) : Le maître envoie l’intégralité du fichier de zone.
IXFR (Transfert de Zone Incrémental) : Le maître envoie uniquement les enregistrements modifiés depuis la dernière mise à jour.

Perspective CyberOps

Pourquoi vous avez raté le QCM :

Faux : « Le serveur DNS envoie une requête pour le compte d’un résolveur » → C’est de la Récursion.
Faux : « Transférer une requête depuis un sous-domaine » → C’est du Transfert/Renvoi DNS.
Correct : « Transférer des blocs de données DNS ». Les transferts de zone déplacent le contenu de la base de données, pas uniquement une réponse individuelle.

Implications en Termes de Sécurité

Fuite d’informations : En cas de mauvaise configuration, un attaquant peut utiliser dig axfr @[ip_cible] pour télécharger l’intégralité de votre cartographie DNS interne.
Reconnaissance : Cela fournit à l’attaquant la liste de tous les hôtes, les schémas IP internes et les services cachés (Étape 1 de la Kill Chain).

Durcissement et Atténuation

Pour sécuriser un environnement SOC contre les transferts non autorisés :

ACL (Listes de Contrôle d’Accès) : Restreindre les transferts aux adresses IP autorisées spécifiques.
TSIG (Transaction SIGnature) : Utiliser des clés cryptographiques pour authentifier le transfert entre serveurs.
DNS Split-Horizon : Maintenir une séparation physique ou logique des enregistrements DNS internes et externes.

Protocole WHOIS

Protocole basé sur TCP permettant d’identifier les propriétaires de domaines internet
Format de requête : FQDN → retourne les informations du registrant
Outil : ICANN Lookup
Utile pour identifier des destinations internet potentiellement malveillantes
Limitation : Les attaquants utilisent des services de confidentialité pour masquer leur identité

Filtre Wireshark pour DNS

dns

3. NAT — Network Address Translation

NAT traduit les adresses IPv4 privées en adresses publiques, permettant aux hôtes internes de communiquer avec les réseaux externes (internet).

Pourquoi le NAT ?

L’espace d’adressage privé IPv4 (RFC 1918) ne peut pas être routé sur internet :

Classe	Plage Privée	CIDR
A	10.0.0.0 – 10.255.255.255	10.0.0.0/8
B	172.16.0.0 – 172.31.255.255	172.16.0.0/12
C	192.168.0.0 – 192.168.255.255	192.168.0.0/16

Terminologie NAT (Cisco)

Terme	Description
Inside Local	IP réelle (privée) de l’hôte interne
Inside Global	IP publique de l’hôte interne telle que vue depuis internet
Outside Local	IP de la destination externe telle que vue depuis le réseau interne
Outside Global	IP réelle de la destination externe sur internet

💡 Les utilisateurs externes atteignent les hôtes internes via l’adresse Inside Global.

PAT — Port Address Translation (NAT Overload)

Le PAT associe plusieurs adresses privées à une seule adresse publique en utilisant des numéros de port uniques pour suivre les sessions. C’est la forme de NAT la plus répandue (utilisée par les routeurs domestiques).

Hôte Interne A : 192.168.1.10:5001  →  203.0.113.1:10001 (NAT)
Hôte Interne B : 192.168.1.11:5002  →  203.0.113.1:10002 (NAT)

Le PAT renforce la sécurité en vérifiant que les paquets entrants ont bien été sollicités.

4. Services de Transfert et de Partage de Fichiers

FTP — File Transfer Protocol

Protocole de la couche applicative pour le transfert de fichiers entre client et serveur
Utilise deux connexions TCP :
- Port 21 — Connexion de contrôle (commandes et réponses)
- Port 20 — Connexion de données (transfert effectif des fichiers)
Les identifiants et données sont transmis en clair (non sécurisé)

Le serveur FTP écoute sur le port 21 le trafic de contrôle initié par les clients FTP.

SFTP — SSH File Transfer Protocol

Version sécurisée de FTP utilisant SSH pour le chiffrement
Fonctionne sur le port TCP 22
Assure l’authentification, l’intégrité et la confidentialité

TFTP — Trivial File Transfer Protocol

Protocole de transfert de fichiers simplifié
Utilise le port UDP 69 — sans authentification ni listage de répertoire
Fondamentalement non sécurisé — utilisé uniquement dans des environnements de confiance (ex. : mises à jour IOS d’un routeur)

SMB — Server Message Block

Protocole client/serveur de partage de fichiers pour le partage de répertoires, fichiers, imprimantes et ports série
Colonne vertébrale du partage de fichiers réseau Microsoft Windows
Utilise les ports TCP 139 / 445

Comparatif des Protocoles de Transfert de Fichiers

Protocole	Transport	Port(s)	Sécurité	Cas d’Usage
FTP	TCP	20, 21	Aucune (en clair)	Transfert de fichiers général
SFTP	TCP	22	Chiffrement SSH	Transfert de fichiers sécurisé
TFTP	UDP	69	Aucune	Amorçage d’équipements réseau
SMB	TCP	139, 445	Optionnelle (SMBv3)	Partage de fichiers Windows

5. Services de Messagerie

La messagerie électronique utilise trois protocoles distincts pour différentes opérations :

Protocole	Rôle	Port	Transport
SMTP	Envoi d’e-mails (client → serveur, serveur → serveur)	25 / 587	TCP
POP3	Récupération d’e-mails — télécharge et supprime du serveur	110 / 995 (SSL)	TCP
IMAP	Récupération d’e-mails — conserve les mails sur le serveur, synchronise entre les appareils	143 / 993 (SSL)	TCP

✉️ POP3 télécharge les mails sur le client et les supprime du serveur.
✉️ IMAP est préféré pour un accès multi-appareils — les mails restent sur le serveur.

6. HTTP & HTTPS

HTTP — HyperText Transfer Protocol

Protocole de la couche applicative pour la communication web
Utilise le port TCP 80
Modèle Requête/Réponse : le client envoie des requêtes, le serveur envoie des réponses

Méthodes de Requête HTTP

Méthode	Description
GET	Demander une ressource au serveur
POST	Soumettre des données à traiter (ex. : données de formulaire)
PUT	Envoyer ou remplacer une ressource
DELETE	Supprimer une ressource
OPTIONS	Interroger les méthodes supportées
CONNECT	Établir un tunnel (utilisé pour le proxying HTTPS)

Codes de Statut des Réponses HTTP

Groupe	Plage	Signification
Informatif	1xx	Requête reçue, traitement en cours
Succès	2xx	Requête traitée avec succès
Redirection	3xx	Action supplémentaire requise
Erreur Client	4xx	Mauvaise requête (ex. : 404 Not Found)
Erreur Serveur	5xx	Le serveur n’a pas pu traiter la requête

Structure d’une URL HTTP

http://www.exemple.com:8080/chemin/page.html?requête=valeur#section
  │        │               │    │                  │         │
schéma  nom d'hôte        port  chemin           requête  fragment

⚠️ HTTP transmet toutes les données en clair — les identifiants et données de session sont entièrement visibles dans les captures de paquets.

HTTPS — HTTP Secure

Utilise le port TCP 443
Chiffre les données avec TLS (Transport Layer Security) ou SSL
Assure l’authentification, l’intégrité et la confidentialité
HTTP/2 requiert HTTPS (TLS 1.2+) dans tous les navigateurs majeurs

⚠️ HTTPS ≠ Fiable. Les attaquants utilisent également HTTPS pour dissimuler des activités malveillantes. Le fait qu’un site utilise HTTPS ne garantit pas qu’il est sûr.

HTTP vs HTTPS

Fonctionnalité	HTTP	HTTPS
Port	80	443
Chiffrement	Aucun	TLS/SSL
Authentification	Aucune	Basée sur certificat
Données visibles en capture	Oui (en clair)	Non (chiffré)
Sécurité	Non sécurisé	Sécurisé
Cas d’usage	Legacy, interne	Tout le trafic web moderne

Filtres Wireshark

http          # Filtrer le trafic HTTP
tcp.port==443 # Filtrer le trafic HTTPS

7. Protocoles de Transport : TCP vs UDP

La plupart des services réseau s’appuient sur TCP ou UDP au niveau de la couche transport.

Fonctionnalité	TCP	UDP
Connexion	Orienté connexion (établissement en 3 étapes)	Sans connexion
Fiabilité	Livraison garantie, retransmission	Meilleur effort, sans retransmission
Ordre	Livraison ordonnée	Pas d’ordonnancement
Contrôle d’erreurs	Oui (ACK, numéros de séquence)	Somme de contrôle uniquement
Vitesse	Plus lent (surcharge)	Plus rapide (faible surcharge)
Taille d’en-tête	20–60 octets	8 octets
Cas d’usage	FTP, HTTP, HTTPS, SMTP, SSH	DNS, DHCP, TFTP, streaming

Établissement de Connexion TCP (Three-Way Handshake)

Client          Serveur
  │──── SYN ────►│
  │◄── SYN-ACK ──│
  │──── ACK ────►│
  │   Connecté   │

Champs de l’En-tête TCP

Champ	Description
Port Source	Port éphémère de l’hôte initiateur (>1023)
Port Destination	Port bien connu du service (0–1023)
Numéro de Séquence	Numéro du dernier octet de ce segment
Numéro d’Acquittement	Prochain octet attendu par le récepteur
Fanions (SYN/ACK/FIN)	Bits de gestion de session
Taille de Fenêtre	Contrôle de flux — octets pouvant être envoyés avant ACK
Pointeur d’Urgence	Utilisé uniquement avec le fanion URG

Terminaison de Session TCP (4 étapes)

Client          Serveur
  │◄──── FIN ────│   Le serveur n'a plus de données
  │───── ACK ───►│
  │───── FIN ───►│   Le client termine sa connexion
  │◄──── ACK ────│
  │   Fermé      │

Champs de l’En-tête UDP

Champ	Taille	Description
Port Source	16 bits	Port de l’application émettrice
Port Destination	16 bits	Port de l’application réceptrice
Longueur	16 bits	Longueur totale du segment UDP (en-tête + données)
Somme de Contrôle	16 bits	Détection d’erreurs (optionnel en IPv4)

UDP présente une faible surcharge car il ne contient pas de champs de gestion de connexion. Toute fiabilité doit être gérée par la couche applicative.

8. Wireshark — Analyse de Protocoles

Wireshark est un outil open-source de capture et d’analyse de paquets. Savoir filtrer et interpréter des captures est une compétence fondamentale pour un analyste en cybersécurité.

Filtres Wireshark Essentiels

Protocole	Filtre
DNS	`dns`
DHCP	`bootp`
HTTP	`http`
HTTPS	`tcp.port==443`
FTP	`ftp`
TFTP	`tftp`
TCP (hôte spécifique)	`tcp and ip.addr==<IP>`
UDP	`udp`

Panneaux Wireshark

Panneau	Description
Liste des Paquets (haut)	Une ligne par trame capturée
Détails du Paquet (milieu)	Champs de protocole extensibles
Octets du Paquet (bas)	Hexadécimal brut + ASCII de la trame

Capture avec tcpdump (CLI)

# Capturer sur l'interface enp0s3, sauvegarder dans un fichier
sudo tcpdump -i enp0s3 -s 0 -w capture.pcap

# Options :
# -i  : spécifier l'interface
# -s 0: capturer le paquet complet (par défaut 262144 octets)
# -w  : écrire dans un fichier .pcap

Ouvrez le fichier .pcap résultant dans Wireshark pour une analyse graphique.

Analyse de Capture DNS

Structure d’un paquet de requête DNS (UDP, port 53) dans Wireshark :

Trame (74 octets)
└── Ethernet II
    ├── MAC Source : [NIC de la VM]
    └── MAC Destination : [Passerelle par défaut]
        └── IPv4
            ├── IP Source : [IP du Client]
            └── IP Destination : [Serveur DNS, ex. : 8.8.4.4]
                └── UDP
                    ├── Port Source : [Éphémère, ex. : 58029]
                    └── Port Destination : 53
                        └── Requête DNS
                            └── Enregistrement A pour www.google.com

Dans la réponse DNS, les rôles source et destination sont inversés : le serveur DNS répond depuis le port 53 vers le port éphémère du client.

HTTP vs HTTPS dans Wireshark

Observation	Capture HTTP	Capture HTTPS
Contenu lisible	Oui — identifiants visibles dans les POST	Non — charge utile chiffrée
Section de protocole visible	Couche `HTTP` visible	`TLS`/`Données Applicatives Chiffrées`
Filtre	`http`	`tcp.port==443`
Données de formulaire POST	Visibles dans `HTML Form URL Encoded`	Non visibles

9. Référence des Ports Clés

Port	Protocole	Service
20	TCP	FTP Données
21	TCP	FTP Contrôle
22	TCP	SSH / SFTP
23	TCP	Telnet
25	TCP	SMTP
53	UDP/TCP	DNS
67	UDP	Serveur DHCP
68	UDP	Client DHCP
69	UDP	TFTP
80	TCP	HTTP
110	TCP	POP3
143	TCP	IMAP
443	TCP	HTTPS
445	TCP	SMB
587	TCP	SMTP (soumission)
993	TCP	IMAPS (IMAP sur SSL)
995	TCP	POP3S (POP3 sur SSL)

10. Questions d’Entraînement

✅ = Réponse correcte

Q1. Quel message un hôte IPv4 utilise-t-il pour répondre à un DHCPOFFER ?

DHCPDISCOVER
✅ DHCPREQUEST
DHCPACK
DHCPOFFER

Q2. Quel protocole automatise l’attribution des adresses IP, et quel port utilise-t-il ?

✅ DHCP
✅ Port 67
DNS / Port 53
SMB / Port 80

Q3. Quelle commande affiche les entrées DNS en cache sous Windows ?

arp -a
ipconfig /all
✅ ipconfig /displaydns
nslookup

Q4. Quel type de serveur utilise IMAP ?

DNS
DHCP
FTP
✅ Messagerie

Q5. Quel est un avantage du DDNS ?

✅ Le fournisseur DDNS détecte un changement d’adresse IP du client et met immédiatement à jour l’association.
DDNS est une version plus sécurisée du DNS.
DDNS utilise ICANN Lookup pour l’enregistrement d’URL.
DDNS identifie les destinations internet dangereuses.

Q6. Quel protocole de la couche applicative utilise les méthodes GET, PUT et POST ?

SMTP
POP3
DHCP
✅ HTTP

Q7. Quel protocole télécharge les e-mails et les supprime du serveur ?

SMTP
IMAP
✅ POP3
HTTP

Q8. Quel site web est considéré comme sécurisé grâce au chiffrement ?

ftp://download.openproject.net/
http://www.thebanks.com/
✅ https://www.ourblogs.info/
http://www.secureaccess.com:8080/

Q9. Quelle affirmation décrit correctement le fonctionnement de FTP ?

✅ Un serveur FTP utilise le port source 21 pour le trafic de contrôle avec les clients FTP.
Le client FTP utilise le port source 21 pour le trafic de contrôle.
Le client FTP utilise le port source 20 pour le trafic de données.
Le serveur FTP utilise le port source 20 pour le trafic de contrôle.

Q10. En NAT, quelle adresse les utilisateurs externes utilisent-ils pour atteindre les hôtes internes ?

Inside Local
✅ Inside Global
Outside Local
Outside Global

Q11. Quel protocole de la couche applicative décrit les services de partage de fichiers dans les réseaux Microsoft ?

SMTP
DHCP
DNS
✅ SMB

Q12. Comment TCP gère-t-il la communication différemment d’UDP ?

TCP établit une connexion via un établissement en 3 étapes (SYN, SYN-ACK, ACK) avant de transmettre des données, garantissant une livraison fiable et ordonnée avec acquittements. UDP est sans connexion — il envoie des données sans configuration ni confirmation, ce qui le rend plus rapide mais moins fiable. TCP est utilisé pour HTTP, FTP, SMTP (où l’intégrité des données est primordiale) ; UDP est utilisé pour DNS, DHCP, TFTP (où la rapidité prime sur la fiabilité).