Skip to content
PortsDB

Référence des ports

Port 111 (TCP/UDP) – RPCbind / Portmapper

Portmapper ONC RPC — indique aux clients sur quels ports écoutent les services RPC dynamiques (NFS, NIS, mountd).

tcpudpWell-knownSouvent attaqué

État par défaut

Ouvert sur les hôtes Linux/Unix et Solaris exécutant des services RPC tels que NFS ou NIS, souvent exposé par défaut avec le paquet rpcbind.

Attaques courantes

  • Énumération des services RPC pour découvrir NFS, mountd, NIS et statd
  • DDoS par amplification / réflexion UDP
  • Pivot vers l'accès aux exports NFS et l'exposition des données NIS
  • Exploitation des services RPC vulnérables annoncés par le mapper

Durcissement

  • Ne pas exposer le port 111 à Internet — bloquer au pare-feu périmétrique
  • Lier rpcbind aux interfaces internes et restreindre via tcp_wrappers / règles de pare-feu
  • Désactiver entièrement rpcbind si aucun service RPC (NFS/NIS) n'est utilisé
  • Utiliser NFSv4 qui ne nécessite pas le portmapper
  • Filtrer UDP/111 pour empêcher la réflexion par amplification

Commande nmap

nmap -p111 -sU -sT --script rpcinfo <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 111

Le port 111 héberge RPCbind, historiquement appelé le portmapper, le service d'annuaire d'ONC RPC (Sun RPC). Les programmes RPC s'enregistrent auprès de rpcbind et se voient attribuer des ports dynamiques ; un client demande d'abord à rpcbind sur le 111 « sur quel port se trouve NFS / mountd / NIS ? », puis est dirigé au bon endroit. Il écoute en TCP et UDP et sous-tend NFSv2/v3, NIS et rpc.statd.

Pourquoi c'est important pour la sécurité

Comme rpcbind énumère chaque service RPC d'un hôte, un port 111 ouvert offre à un attaquant une carte de ce qu'il faut attaquer ensuite — surtout les exports NFS et les données NIS. Pire, le côté UDP est un vecteur d'amplification classique : une petite requête usurpée renvoie une réponse bien plus volumineuse, permettant de réfléchir du trafic vers une victime. Beaucoup des services annoncés (statd, mountd) ont leur propre historique de vulnérabilités distantes.

Comment c'est attaqué

Les attaquants lancent rpcinfo ou le script nmap rpcinfo contre le 111 pour lister les programmes enregistrés et leurs ports, puis pivotent vers nfs-showmount pour lire les exports NFS ou cibler NIS. Des requêtes UDP à source usurpée servent à lancer du DDoS par réflexion/amplification. Tout démon RPC vulnérable découvert via le mapper devient une cible d'exploitation directe.

Liste de durcissement

N'exposez jamais le port 111 à Internet — rejetez TCP et UDP/111 au périmètre. Liez rpcbind aux interfaces internes et restreignez les appelants avec des règles de pare-feu hôte ou tcp_wrappers. Si vous n'utilisez pas NFSv2/v3 ni NIS, désactivez entièrement rpcbind. Préférez NFSv4, qui utilise un seul port bien connu et n'a pas besoin de portmapper. Utilisez la commande nmap ci-dessus pour inventorier les services RPC annoncés sur les hôtes que vous êtes autorisé à tester.

Ports liés

Port 2049Port 32768Port 135Port 689

Questions fréquentes

À quoi sert le port 111 ?
Le port 111 exécute RPCbind (le portmapper), qui indique aux clients sur quels ports dynamiques écoutent les services RPC comme NFS, mountd et NIS. Il est requis par NFSv2/v3 mais pas par NFSv4.
Le port 111 est-il un risque de sécurité ?
Oui lorsqu'il est exposé. Il divulgue la liste complète des services RPC d'un hôte et peut être détourné pour du DDoS par amplification UDP. Il ne devrait jamais être joignable depuis Internet.