ARP欺骗攻击,如何应对arp欺骗攻击
简介
LLR&NBT-NS欺骗攻击是一种典型的内部网络攻击。但是一方面很少有人知道,另一方面在Windows中默认开启,所以攻击还是有效的。在本文中,我们首先向读者解释什么是LLMNR & NBT-NS攻击,然后介绍如何通过该攻击进行渗透测试,最后给出针对该漏洞的防御措施。
什么是LLMNR和NetBIOS名称服务器广播?
当DNS名称服务器请求失败时,Microsoft Windows系统将尝试通过链接本地多播名称解析(LLMNR)和Net-BIOS名称服务(NBT-NS)在本地解析名称。
LLMNR和Netbios NS广播有什么问题吗?
当无法解析DNS名称时,客户端将向网络广播未经身份验证的UDP,并询问它是否是本地系统的名称。事实上,这个过程是未经认证的,会广播到整个网络,从而允许网络上的任何机器响应并声称是目标机器。
什么是LLMNR / NBT-NS中毒攻击?
通过监听LLMNR和NetBIOS广播,攻击者可以伪装成受害者(客户端)想要访问的目标机器,让受害者乖乖交出相应的登录凭证。接受连接后,攻击者可以使用Responder.py或Metasploit等工具将请求转发给执行身份验证过程的恶意服务(如smbtcp: 137)。在身份验证过程中,受害者会将用于身份验证的NTLMv2哈希值发送到流氓服务器。这个哈希值将被保存到磁盘,然后可以使用Hashcat或John Ripper(TJR)等工具离线破解,或者直接用于传递哈希攻击。
在Windows中,LLMNR和NBT-NS是默认启用的,很少有人知道这种攻击,所以我们可以在内部渗透测试中使用这种攻击来收集凭据。为此,我们可以在用其他攻击手段测试的过程中,保持Responder.py一直运行。
Linux和苹果用户是否受该攻击的影响?
是的,Linux和Apple客户端也使用类似的协议,即多播DNS(mDNS),它侦听TCP:5353端口。有关mDSN的更多信息,请参考mDNS的维基百科页面。
典型的LLMNR/NetBIOS名称服务器攻击
下图显示了一个典型的场景,在该场景中,由于无法解析服务器名称,用户受到了这种攻击。
攻击过程详解
1.用户发送了不正确的SMB共享地址 SNARE01。
2.DNS服务器响应 snare 01-未找到
3.客户端广播LLMNR/NBT-NS
4.响应者告诉客户端它是SNARE01,并接受NTLMv2哈希值
5.响应者将错误发送回客户端,因此如果终端用户不擅长这样做,他们通常不会感到惊慌。
实例:使用KaliResponder.py
首先克隆项目
git clone https://github.com/sdfzy/Responder.git使用您的本地接口和IP地址运行Responder.py,如下所示:
python Responder.py-I 192 . 168 . 210 . 145-I eth 0以便您可以启动responder . py:
在Responder.py运行后,我们模拟用户键入错误的SMB服务器名称,例如使用SNARE01而不是SHARE01。
接下来,从客户端计算机输入错误的SMB服务器名称:
注意:实验室环境中的客户端计算机是Windows 2008 Server R2。
在客户端广播不正确的服务器名称的几秒钟内,Responder.py完成了对广播请求的响应,并将NTLMv2哈希值写入硬盘。
最后一步是破解NTLMv2哈希值。此步骤的成功取决于目标环境中密码策略的复杂性,这可能需要一些时间。当密码策略已知或者密码安全性疑似较高时,ocl-hashcat将是离线破解的最佳选择。因为我们在测试实验室环境中故意使用不安全的密码,所以这里使用john来破解NTLMv2哈希值:
如何保护网络免受LLMNR / NBT-NS中毒攻击
好消息是:这种攻击很容易防范。请注意,为此需要禁用LLMNR和NetBIOS名称服务。如果只禁用LLMNR,Windows会将无法解析的名称传送到NetBIOS名称服务器进行解析。
禁用NetBIOS名称服务
似乎没有办法用GPO来禁用NetBIOS名称服务(如果知道,请在回复中告知!),其说明书如下所示。
1.请打开:控制面板网络和互联网网络连接。
2.右键单击网络接口,选择属性,然后双击“Internet协议版本4 TCP/IPv4”
3.在下一个屏幕上,单击高级,然后选择WINS选项卡。
4.单击“禁用TCP/IP上的NetBIOS”旁边的单选按钮
有关详细信息,请参考以下屏幕截图:
禁用LLMNR
幸运的是,您可以使用GPO禁用LLMNR,如下所示:
1.Start=Run=gpedit.msc
打开本地计算机策略=计算机配置=管理模板=网络=DNS客户端。
2.点按“关闭多播名称解析”并将其设定为“已启用”
小结
本文介绍了一种经典的内网攻击方法。虽然这种方法由来已久,但至今仍然有效,因为很少有人知道这种攻击,并且Windows中默认启用相关设置。
【本文原作者:shan66,本文由平安客原创,由渔阳、平安脉搏整理发布】