Ataque con Responder
¿Qué es Ataque con Responder?
Ataque con ResponderAtaque que usa la herramienta Responder de Laurent Gaffie para envenenar LLMNR, NBT-NS y mDNS, levantar servidores falsos y capturar o reenviar credenciales NTLM en la red local.
Responder es una herramienta en Python de Laurent Gaffie que combina el envenenamiento de LLMNR, NBT-NS, mDNS y DHCPv6 con servidores falsos integrados de autenticacion SMB, HTTP, FTP, MSSQL, LDAP, WPAD y proxy. Cuando una victima escribe mal un nombre de host o consulta un nombre que no tiene registro DNS, Windows recurre a estos protocolos de difusion/multidifusion; Responder contesta primero, afirma ser el host solicitado, induce a la victima a autenticarse y recolecta hashes challenge-response NTLMv1/NTLMv2 para cracking offline con hashcat o john.
El comportamiento explotado es una decision de diseno de Windows de larga data: LLMNR (RFC 4795) y NBT-NS son alternativas de resolucion de nombres no autenticadas, de modo que cualquier host del segmento puede suplantar cualquier nombre. Como las respuestas son de difusion/multidifusion, el atacante solo necesita presencia en la capa 2, sin credenciales previas, razon por la que Responder normalmente produce hashes a los pocos minutos de unirse a una LAN corporativa. Ejecutado de forma pasiva en modo --analyze, mapea las oportunidades de envenenamiento sin enviar respuestas; el modulo WPAD -w secuestra la autoconfiguracion de proxy para coaccionar NTLM del navegador. Los hashes NTLMv2 capturados que resisten el cracking siguen siendo utiles: canalizados al ntlmrelayx de Impacket, se convierten en ataques de NTLM relay en vivo contra hosts que carecen de firma SMB o LDAP.
flowchart TD
V[La victima consulta un nombre desconocido] --> Q{Resuelve DNS?}
Q -->|No| B[Difusion LLMNR / NBT-NS / mDNS]
B --> R[Responder contesta primero<br/>'ese host soy yo']
R --> AU[Servidor SMB/HTTP falso<br/>solicita autenticacion]
AU --> H[Capturar challenge-response NTLMv2]
H --> C[Cracking offline<br/>hashcat / john]
H --> RL[Relay en vivo via ntlmrelayx]
G[Deshabilitar LLMNR y NBT-NS via GPO] -.previene.-> BLos defensores deshabilitan LLMNR y NBT-NS via GPO, exigen firma SMB y LDAP, despliegan Extended Protection for Authentication y segmentan las redes para denegar el acceso no autorizado a la capa 2. Los canarios de credenciales senuelo y las firmas de IDS para respuestas LLMNR envenenadas ayudan a detectar el uso de Responder.
● Ejemplos
- 01
Lanzar Responder en un pentest interno y recoger decenas de hashes NTLMv2 a los pocos minutos de unirse a la LAN.
- 02
Encadenar el modulo WPAD de Responder con ntlmrelayx para reenviar auth NTLM iniciada por el navegador a una app web interna.
● Preguntas frecuentes
¿Qué es Ataque con Responder?
Ataque que usa la herramienta Responder de Laurent Gaffie para envenenar LLMNR, NBT-NS y mDNS, levantar servidores falsos y capturar o reenviar credenciales NTLM en la red local. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Ataque con Responder?
Ataque que usa la herramienta Responder de Laurent Gaffie para envenenar LLMNR, NBT-NS y mDNS, levantar servidores falsos y capturar o reenviar credenciales NTLM en la red local.
¿Cómo defenderse de Ataque con Responder?
Las defensas contra Ataque con Responder combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Ataque con Responder?
Nombres alternativos comunes: Responder tool attack, LLMNR/NBT-NS poisoner.