Skip to content
PortsDB

Référence des ports

Port 547 (UDP) – Serveur DHCPv6

Serveur DHCPv6 — attribue les adresses IPv6 et les options réseau aux clients d'un lien.

udpWell-knownSouvent attaqué

État par défaut

Ouvert sur les serveurs et relais DHCPv6. L'IPv6 est activé par défaut sur Windows, laissant les clients réceptifs au DHCPv6 pirate même là où il est inutilisé.

Attaques courantes

  • Serveur DHCPv6 pirate détournant la configuration IPv6 du client
  • mitm6 — détournement DNS via DHCPv6 pour relayer NTLM dans Active Directory
  • Injection de l'option serveur DNS pour rediriger la résolution
  • Déni de service par épuisement du pool d'adresses

Durcissement

  • Désactiver l'IPv6 ou le DHCPv6 sur les clients où il n'est pas utilisé
  • Activer DHCPv6 Guard / RA Guard sur les ports de commutateur
  • Imposer la signature LDAP et le channel binding pour neutraliser le relais mitm6
  • Restreindre le DHCPv6 aux serveurs autorisés et surveiller les répondeurs pirates
  • Segmenter et inspecter le trafic IPv6, pas seulement l'IPv4

Commande nmap

nmap -6 -sU -p547 --script dhcp6-discover <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 547

Le port 547 est le port du serveur DHCPv6. Sur les réseaux IPv6, les serveurs et relais DHCPv6 écoutent sur UDP 547 pour attribuer des adresses IPv6 et distribuer des options réseau — serveurs DNS, listes de recherche de domaine et plus — aux clients, qui répondent depuis UDP 546. C'est l'équivalent IPv6 du DHCP IPv4 sur les ports 67/68. Surtout, Windows moderne active l'IPv6 par défaut et le préfère à l'IPv4, si bien que les clients écoutent le DHCPv6 même sur des réseaux qui ne l'ont jamais déployé.

Pourquoi c'est important pour la sécurité

Parce que Windows favorise l'IPv6, un attaquant qui répond aux requêtes DHCPv6 peut discrètement contrôler la configuration réseau d'un client avant même que les services IPv4 légitimes répondent. La célèbre attaque mitm6 en abuse : un serveur DHCPv6 pirate s'attribue comme serveur DNS de la victime, intercepte la résolution de noms et force une authentification NTLM ensuite relayée vers LDAP — une voie puissante vers la prise de contrôle d'Active Directory.

Comment il est attaqué

Des outils comme mitm6 lancent un répondeur DHCPv6 pirate, gagnent la course contre tout serveur réel et injectent une option serveur DNS malveillante. Le trafic de la victime est canalisé via l'attaquant, qui relaie NTLM vers LDAP ou d'autres services pour ajouter un compte ordinateur ou accorder des droits. Les attaquants épuisent aussi le pool d'adresses pour un déni de service.

Liste de durcissement

Désactivez l'IPv6 ou le DHCPv6 sur les clients réellement inutilisés. Activez DHCPv6 Guard et RA Guard sur les commutateurs d'accès pour rejeter les réponses pirates. Imposez la signature LDAP et le channel binding pour faire échouer le NTLM relayé. Restreignez le DHCPv6 aux serveurs autorisés, surveillez les répondeurs pirates et inspectez le trafic IPv6 aussi rigoureusement que l'IPv4. Le script nmap ci-dessus découvre les serveurs DHCPv6 sur les réseaux que vous êtes autorisé à tester. </content>

Ports liés

Port 546Port 67Port 68Port 389

Questions fréquentes

À quoi sert le port 547 ?
Le port 547 est le port du serveur DHCPv6. Les serveurs et relais écoutent sur UDP 547 pour distribuer adresses IPv6, serveurs DNS et autres options aux clients (qui utilisent le port 546).
Pourquoi le DHCPv6 est-il dangereux dans Active Directory ?
Windows préfère l'IPv6 ; un serveur DHCPv6 pirate (mitm6) peut devenir le serveur DNS du client, rediriger l'authentification et relayer NTLM vers LDAP pour la prise de contrôle du domaine.