Skip to content
PortsDB

Référence des ports

Port 5355 (UDP) – LLMNR

LLMNR — un protocole de résolution de noms de secours sous Windows, utilisé quand le DNS échoue sur le lien local.

udpRegisteredSouvent attaqué

État par défaut

Activé par défaut sur les clients Windows. Écoute sur UDP 5355 et répond aux requêtes de noms multicast, ce qui le rend idéal à empoisonner.

Attaques courantes

  • Empoisonnement LLMNR/NBT-NS avec Responder pour capturer des empreintes NTLM
  • Cassage hors ligne des challenge-réponses NetNTLMv1/v2 capturés
  • Relais NTLM de l'authentification empoisonnée vers SMB ou LDAP
  • Man-in-the-middle des recherches de noms échouées ou mal saisies

Durcissement

  • Désactiver LLMNR via stratégie de groupe (Désactiver la résolution de noms multicast)
  • Désactiver NetBIOS sur TCP/IP (NBT-NS) sur toutes les interfaces
  • Veiller à un DNS correctement configuré pour que le secours soit inutile
  • Imposer la signature SMB et LDAP pour casser le relais
  • Alerter sur les répondeurs LLMNR pirates et l'activité de type Responder

Commande nmap

nmap -sU -p5355 --script llmnr-resolve <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 5355

Le port 5355 transporte LLMNR (Link-Local Multicast Name Resolution), un protocole de secours Windows utilisé lorsque la résolution DNS normale échoue. Quand un hôte ne parvient pas à résoudre un nom — souvent une faute de frappe ou un chemin de partage obsolète — Windows diffuse une requête multicast sur UDP 5355 demandant au lien local « qui est ce nom ? ». N'importe quelle machine du segment peut répondre. LLMNR coexiste avec l'ancien NBT-NS sur le port 137, tous deux activés par défaut sous Windows.

Pourquoi c'est important pour la sécurité

La conception « faire confiance au répondeur le plus rapide » de LLMNR est l'une des faiblesses les plus exploitées des réseaux Active Directory. Comme le protocole accepte une réponse de n'importe quel hôte, un attaquant répond simplement aux recherches échouées et incite la victime à s'authentifier auprès de lui. Cette authentification transporte le challenge-réponse NTLM de la victime, qui peut être cassé hors ligne pour récupérer le mot de passe ou relayé pour obtenir un accès — le tout sans exploiter le moindre bogue logiciel.

Comment il est attaqué

L'outil classique est Responder : il écoute les requêtes LLMNR et NBT-NS, répond à chacune et récolte les empreintes NetNTLMv1/v2 lorsque les victimes se connectent. Les empreintes capturées sont cassées hors ligne ou relayées directement vers SMB ou LDAP pour le mouvement latéral et l'élévation de privilèges. L'attaque est passive, fiable et ne nécessite aucun identifiant pour démarrer.

Liste de durcissement

Désactivez LLMNR via stratégie de groupe (« Désactiver la résolution de noms multicast ») et désactivez NetBIOS sur TCP/IP (NBT-NS) sur chaque interface — ensemble, ils suppriment la surface d'empoisonnement. Assurez-vous que le DNS est correctement configuré pour que le secours ne soit jamais déclenché. Imposez la signature SMB et LDAP pour qu'une authentification capturée ne puisse être relayée, et alertez sur les répondeurs pirates. Le script nmap ci-dessus teste la résolution LLMNR sur les hôtes que vous êtes autorisé à tester. </content>

Ports liés

Port 137Port 138Port 139Port 445Port 389

Questions fréquentes

À quoi sert le port 5355 ?
Le port 5355 est LLMNR, un mécanisme de secours Windows qui résout les noms d'hôtes par multicast quand le DNS n'a pas de réponse. Il permet aux hôtes voisins de répondre avec l'adresse d'un nom demandé.
Pourquoi désactiver LLMNR ?
Parce que n'importe quel hôte peut répondre à une requête LLMNR, un attaquant exécutant Responder se fait passer pour le nom demandé, capture l'empreinte NTLM de la victime, puis la casse ou la relaie. Désactiver LLMNR supprime le vecteur.