Skip to content
PortsDB

Référence des ports

Port 67 (UDP) – Serveur DHCP

Port serveur DHCP — attribue les adresses IP et la configuration réseau aux clients.

udpWell-knownSouvent attaqué

État par défaut

Ouvert sur les serveurs DHCP et la plupart des routeurs/passerelles du réseau local. Non routé sur Internet par conception.

Attaques courantes

  • Serveur DHCP pirate distribuant des paramètres passerelle/DNS malveillants
  • Famine DHCP saturant le pool pour provoquer un déni de service
  • Usurpation DHCP pour une redirection en man-in-the-middle
  • Injection dans les champs d'options et bugs d'analyse de paquets malformés

Durcissement

  • Activer le DHCP snooping sur les commutateurs pour bloquer les serveurs pirates
  • N'autoriser que les ports serveur DHCP connus ; rejeter les réponses serveur sur les ports d'accès
  • Utiliser la sécurité de port / l'inspection ARP dynamique pour limiter la famine
  • Segmenter et surveiller le trafic DHCP ; alerter sur les sources OFFER/ACK inattendues
  • Maintenir le démon DHCP à jour contre les vulnérabilités d'analyse

Commande nmap

nmap -sU -p67 --script dhcp-discover <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 67

Le port 67 est le côté serveur du DHCP (Dynamic Host Configuration Protocol). Les serveurs DHCP écoutent ici les messages DISCOVER et REQUEST des clients et répondent par des paquets OFFER et ACK qui attribuent une adresse IP, un masque de sous-réseau, une passerelle par défaut et des serveurs DNS. Les clients émettent et reçoivent sur le port 68. Le protocole repose sur la diffusion et fonctionne au sein d'un même domaine de diffusion.

Pourquoi c'est important pour la sécurité

Le DHCP n'est pas authentifié par défaut, donc n'importe quel hôte du segment peut répondre aux requêtes clients. Quiconque gagne la course à la réponse contrôle la passerelle et le DNS d'un client, une position puissante pour intercepter en man-in-the-middle tout le trafic sortant. Comme le protocole est local, la menace est un initié ou un appareil compromis plutôt qu'Internet, mais l'impact — redirection complète du trafic et capture d'identifiants — est sévère.

Comment il est attaqué

Un serveur DHCP pirate devance le serveur légitime pour distribuer une passerelle et un DNS malveillants, redirigeant silencieusement les victimes. La famine DHCP inonde de messages DISCOVER pour épuiser le pool d'adresses, privant les vrais clients de service et préparant souvent le terrain pour le serveur pirate de l'attaquant. L'usurpation et des champs d'options forgés peuvent aussi exploiter des bugs d'analyse dans le démon DHCP.

Liste de durcissement

Activez le DHCP snooping sur les commutateurs gérés pour que seuls les ports de confiance désignés puissent envoyer des réponses serveur, en rejetant le trafic OFFER/ACK pirate. Associez-le à l'inspection ARP dynamique et à la sécurité de port pour freiner la famine. Segmentez et surveillez le DHCP, en alertant sur les sources serveur inattendues, et maintenez le démon à jour. La commande nmap ci-dessus détecte les serveurs DHCP répondant sur un segment que vous êtes autorisé à tester.

Ports liés

Port 68Port 53Port 69Port 123

Questions fréquentes

Quelle est la différence entre le port 67 et 68 ?
Le port 67 est le côté serveur qui reçoit les requêtes clients et envoie les offres/accusés ; le port 68 est le côté client qui écoute les réponses du serveur.
Le DHCP peut-il être attaqué depuis Internet ?
Le DHCP est un protocole de diffusion local normalement non routé sur Internet, donc les attaques proviennent du segment local — ce qui fait du DHCP snooping au niveau commutateur le contrôle clé.