内网渗透之Responder攻防（上）1

"内网渗透之Responder攻防（上）" Responder 是一种欺骗工具，广泛应用于内网渗透攻击中。它可以欺骗受害机器，使其发送 NTLM V2 Hash，从而获取受害机器的认证信息。本文将详细介绍 Responder 的原理和使用方式。 知识点一：Responder 的原理 Responder 是基于 LLMNR、NBNS、MDNS 三种协议的欺骗工具。LLMNR（链路本地多播名称解析）是一种基于域名系统（DNS）数据包格式的协议，用于对同一本地链路上的主机执行名称解析。NBNS（名称服务器）协议是 TCP/IP 上的 NetBIOS 协议族的一部分，提供主机名和地址映射方法。MDNS（多播DNS）协议将主机名解析为不包含本地名称服务器的小型网络中的 IP 地址。 知识点二：Responder 的欺骗原理 Responder 通过欺骗受害机器，使其发送 NTLM V2 Hash。欺骗过程如下： 1. 受害机器 ping 不存在的主机名时，会按照下列流程尝试解析： * 查看本地 hosts 文件 * 查找 DNS 缓存 * DNS 服务器 * 尝试 LLMNR、NBNS 和 MDNS 协议进行解析 2. 在 DNS 解析失败后，Responder 会模拟 LLMNR、NBNS 和 MDNS 协议，欺骗受害机器，使其发送 NTLM V2 Hash。 知识点三：NTLM 认证 NTLM 认证是一种常用的认证协议，早期 SMB 协议在网络上传输明文口令，后来微软进行了改进推出了 NTLMv1 会话协议。由于 NTLMv1 也很脆弱，所以后来就有了 NTLM v2 以及 Kerberos 验证体系。目前 winserver 2008 及以后的 windows 版本默认均是使用 NetNTLMv2 的，默认使用 NTLMv1 的有 2003、XP 这些机器。 知识点四：Responder 的应用 Responder 广泛应用于内网渗透攻击中，攻击方可以使用 Responder 欺骗受害机器，使其发送 NTLM V2 Hash，从而获取受害机器的认证信息。APT 组织也曾经使用过 Responder 进行攻击。 知识点五：防御措施 为了防御 Responder 欺骗攻击，防守方可以采取以下措施： * 禁用 LLMNR、NBNS 和 MDNS 协议 * 使用防火墙阻止欺骗流量 * 使用入侵检测系统检测欺骗行为 * 采用加密认证协议，例如 Kerberos Responder 是一种强大的欺骗工具，广泛应用于内网渗透攻击中。为了防御欺骗攻击，防守方需要采取相应的防御措施。