Skip to content
PortsDB

Référence des ports

Port 5353 (UDP) – mDNS

Multicast DNS — résout les noms d'hôtes et découvre les services sur un réseau local sans serveur DNS.

udpRegisteredSouvent attaqué

État par défaut

Ouvert par défaut sur macOS, iOS, Linux (Avahi), Windows, imprimantes et objets IoT. Devrait être confiné au sous-réseau local.

Attaques courantes

  • Énumération des services, appareils et noms d'hôtes du LAN
  • DDoS par réflexion / amplification mDNS lorsqu'exposé à Internet
  • Usurpation/empoisonnement des réponses mDNS sur le segment local

Durcissement

  • Bloquer l'UDP 5353 entrant en bordure d'Internet
  • Désactiver mDNS/Bonjour/Avahi là où il n'est pas nécessaire
  • Filtrer mDNS entre les VLAN ; le conserver uniquement sur des segments de confiance
  • Corriger les répondeurs mDNS (Avahi, mDNSResponder) contre les CVE connues

Commande nmap

nmap -sU -p5353 --script dns-service-discovery <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Qu'est-ce qui tourne sur le port 5353 ?

UDP 5353 transporte le DNS multicast (mDNS), le protocole de résolution de noms et de découverte de services sans configuration derrière Apple Bonjour, Avahi sous Linux, et des piles similaires sous Windows et sur les objets IoT. Les hôtes interrogent le groupe multicast 224.0.0.251/ff02::fb pour résoudre les noms .local et pour annoncer ou trouver des services — imprimantes, AirPlay, partages de fichiers — sans serveur DNS central. Il est conçu pour un seul sous-réseau local.

Pourquoi c'est important pour la sécurité

mDNS diffuse volontiers une mine d'informations : noms d'hôtes, indices d'OS, modèles d'appareils et services offerts par chaque hôte, fournissant à un attaquant sur le LAN un inventaire instantané pour le ciblage. Lorsqu'un appareil ou un pare-feu mal configuré laisse interroger mDNS depuis hors sous-réseau ou Internet, il devient à la fois une fuite d'informations et un réflecteur de DDoS par réflexion/amplification, car les réponses peuvent être plus volumineuses que la requête. Sur le segment local, des réponses falsifiées peuvent aussi empoisonner la résolution .local.

Comment il est attaqué

Un attaquant sur le LAN envoie des requêtes de découverte de services mDNS pour énumérer chaque appareil, nom d'hôte et service annoncé. Les répondeurs exposés à Internet sont détournés comme réflecteurs dans un DDoS par amplification. Sur le lien local, les attaquants usurpent des réponses mDNS pour rediriger les résolutions de noms .local vers des hôtes malveillants.

Liste de durcissement

Bloquez l'UDP 5353 entrant au périmètre afin que mDNS ne quitte jamais le sous-réseau local, et filtrez-le entre les VLAN. Désactivez mDNS/Bonjour/Avahi sur les serveurs et appareils n'ayant pas besoin de découverte de services, et maintenez à jour les répondeurs tels qu'Avahi et Apple mDNSResponder. Utilisez la commande nmap ci-dessus pour énumérer l'exposition mDNS sur les hôtes que vous êtes autorisé à tester.

Ports liés

Port 53Port 1900Port 137Port 5355

Questions fréquentes

À quoi sert le port 5353 ?
UDP 5353 transporte le DNS multicast (mDNS), à la base d'Apple Bonjour et d'Avahi. Il permet aux appareils de résoudre les noms .local et d'annoncer des services comme les imprimantes et AirPlay sans serveur DNS.
mDNS est-il un risque de sécurité sur Internet ?
Oui. mDNS est destiné au sous-réseau local ; si un appareil répond au mDNS depuis Internet, il divulgue des détails d'appareil et peut être détourné comme source de DDoS par réflexion/amplification.