Responder-Angriff
Was ist Responder-Angriff?
Responder-AngriffAngriff mit Laurent Gaffies Tool Responder, das LLMNR, NBT-NS und mDNS vergiftet, falsche Authentifizierungsdienste betreibt und im lokalen Netz NTLM-Credentials abgreift oder weiterleitet.
Responder ist ein Python-Werkzeug von Laurent Gaffie, das LLMNR-, NBT-NS-, mDNS- und DHCPv6-Poisoning mit eingebauten Rogue-Servern fuer SMB, HTTP, FTP, MSSQL, LDAP, WPAD und Proxy kombiniert. Vertippt sich ein Opfer im Hostnamen oder fragt es einen Namen ab, fuer den kein DNS-Eintrag existiert, faellt Windows auf diese Broadcast-/Multicast-Protokolle zurueck; Responder antwortet zuerst, gibt sich als der angefragte Host aus, fordert das Opfer zur Authentifizierung auf und sammelt NTLMv1-/NTLMv2-Challenge-Response-Hashes fuer das Offline-Cracking mit hashcat oder john.
Das ausgenutzte Verhalten ist eine langjaehrige Windows-Designentscheidung: LLMNR (RFC 4795) und NBT-NS sind unauthentifizierte Fallback-Mechanismen der Namensaufloesung, sodass jeder Host im Segment jeden Namen impersonieren kann. Da die Antworten Broadcast/Multicast sind, braucht der Angreifer nur Layer-2-Praesenz, keine vorherigen Credentials, weshalb Responder ueblicherweise binnen Minuten nach dem Beitritt zu einem Unternehmens-LAN Hashes liefert. Im passiven --analyze-Modus kartiert es Poisoning-Gelegenheiten, ohne Antworten zu senden; das -w-WPAD-Modul kapert die Proxy-Autokonfiguration, um Browser-NTLM zu erzwingen. Erfasste NTLMv2-Hashes, die dem Cracking widerstehen, sind weiterhin nuetzlich: In Impackets ntlmrelayx eingespeist, werden sie zu aktiven NTLM-Relay-Angriffen gegen Hosts ohne SMB- oder LDAP-Signing.
flowchart TD
V[Opfer fragt einen unbekannten Namen ab] --> Q{DNS loest auf?}
Q -->|Nein| B[Broadcast LLMNR / NBT-NS / mDNS]
B --> R[Responder antwortet zuerst<br/>'dieser Host bin ich']
R --> AU[Rogue-SMB/HTTP-Server<br/>fordert Authentifizierung an]
AU --> H[NTLMv2-Challenge-Response erfassen]
H --> C[Offline-Cracking<br/>hashcat / john]
H --> RL[Live relayen via ntlmrelayx]
G[LLMNR & NBT-NS per GPO deaktivieren] -.verhindert.-> BVerteidiger deaktivieren LLMNR und NBT-NS per GPO, erzwingen SMB- und LDAP-Signing, setzen Extended Protection for Authentication ein und segmentieren das Netz, um Rogue-Layer-2-Zugriffe zu unterbinden. Honey-Credential-Canaries und IDS-Signaturen fuer vergiftete LLMNR-Antworten helfen, den Einsatz von Responder zu erkennen.
● Beispiele
- 01
Einsatz von Responder im internen Pentest und Erfassung Dutzender NTLMv2-Hashes binnen Minuten nach LAN-Beitritt.
- 02
Verketten des WPAD-Moduls von Responder mit ntlmrelayx, um browser-getriebene NTLM-Auth an eine interne Web-App zu relayen.
● Häufige Fragen
Was ist Responder-Angriff?
Angriff mit Laurent Gaffies Tool Responder, das LLMNR, NBT-NS und mDNS vergiftet, falsche Authentifizierungsdienste betreibt und im lokalen Netz NTLM-Credentials abgreift oder weiterleitet. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Responder-Angriff?
Angriff mit Laurent Gaffies Tool Responder, das LLMNR, NBT-NS und mDNS vergiftet, falsche Authentifizierungsdienste betreibt und im lokalen Netz NTLM-Credentials abgreift oder weiterleitet.
Wie schützt man sich gegen Responder-Angriff?
Schutzmaßnahmen gegen Responder-Angriff kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Responder-Angriff?
Übliche alternative Bezeichnungen: Responder-Tool-Angriff, LLMNR/NBT-NS-Poisoner.