Skip to content
PortsDB

Référence des ports

Port 137 (UDP) – Service de noms NetBIOS

Service de noms NetBIOS — résolution de noms Windows héritée sur UDP, largement détournée pour l'usurpation.

udpWell-knownSouvent attaqué

État par défaut

Ouvert sur les hôtes Windows anciens ou mal configurés où NetBIOS over TCP/IP est activé. Souvent encore actif par défaut sur les postes de travail.

Attaques courantes

  • Énumération d'hôtes et de partages via nbtstat
  • Usurpation/empoisonnement NBT-NS avec Responder
  • Authentification NTLM forcée et relais
  • Divulgation d'informations (noms, MAC, utilisateur connecté)

Durcissement

  • Désactiver NetBIOS over TCP/IP là où DNS suffit
  • Désactiver LLMNR et mDNS en plus de NBT-NS pour stopper l'empoisonnement
  • Imposer la signature SMB pour casser l'authentification relayée
  • Bloquer UDP 137 aux frontières réseau
  • Segmenter les hôtes hérités qui nécessitent encore NetBIOS

Commande nmap

nmap -sU -p137 --script nbstat <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui tourne sur le port 137

Le port 137 transporte le service de noms NetBIOS (NBT-NS), le composant de résolution de noms hérité de NetBIOS over TCP/IP. Avant que le DNS ne domine le réseau Windows, les hôtes utilisaient des diffusions NBT-NS sur UDP 137 pour associer des noms NetBIOS (nom d'ordinateur ou de groupe de travail) à des adresses IP, enregistrer leurs propres noms et répondre aux requêtes. Il reste activé sur de nombreux postes et serveurs anciens pour des raisons de rétrocompatibilité.

Pourquoi c'est important pour la sécurité

NBT-NS est un protocole de confiance par diffusion sans aucune authentification, ce qui en fait une cible classique d'empoisonnement. Quand la résolution DNS échoue, Windows se rabat sur la diffusion d'une requête NBT-NS — et n'importe quelle machine du segment peut répondre. Un attaquant répond simplement « c'est moi », redirigeant la connexion de la victime et capturant l'authentification NTLM qu'elle propose. Le service divulgue aussi une reconnaissance utile : noms d'hôte, domaine/groupe de travail, adresse MAC et utilisateur connecté.

Comment c'est attaqué

Les outils de reconnaissance interrogent NBT-NS pour énumérer les noms, l'utilisateur connecté et l'adresse MAC de chaque hôte. Pour le vol d'identifiants, Responder écoute les diffusions NBT-NS (et LLMNR) et les empoisonne, forçant les victimes à s'authentifier auprès de l'attaquant. Les hashs NTLMv2 capturés sont cassés hors ligne ou relayés directement vers SMB ou LDAP pour le mouvement latéral.

Liste de durcissement

Désactivez NetBIOS over TCP/IP partout où le DNS assure la résolution, et coupez-le en même temps que LLMNR et mDNS pour fermer toute la classe d'empoisonnement par diffusion. Imposez la signature SMB pour que l'authentification relayée soit rejetée. Bloquez UDP 137 aux frontières réseau et segmentez les systèmes hérités qui dépendent encore de NetBIOS. Le script nmap ci-dessus exécute nbstat pour montrer ce qu'un hôte divulgue sur les réseaux que vous êtes autorisé à tester.

Ports liés

Port 139Port 135Port 445Port 138Port 5355

Questions fréquentes

À quoi sert le port 137 ?
Le port 137 héberge le service de noms NetBIOS, un protocole Windows hérité qui résout les noms NetBIOS en adresses IP sur un réseau local — un précurseur de la résolution par DNS.
Pourquoi le service de noms NetBIOS est-il dangereux ?
Quand un hôte ne peut pas résoudre un nom via DNS, il diffuse une requête NBT-NS. Les attaquants munis de Responder répondent à ces diffusions, capturant ou relayant des identifiants NTLM.