Attaque Responder
Qu'est-ce que Attaque Responder ?
Attaque ResponderAttaque utilisant l'outil Responder de Laurent Gaffie pour empoisonner LLMNR, NBT-NS et mDNS, heberger des serveurs d'authentification factices et capturer ou relayer des identifiants NTLM sur un reseau local.
Responder est un outil Python de Laurent Gaffie qui combine l'empoisonnement LLMNR, NBT-NS, mDNS et DHCPv6 avec des serveurs d'authentification factices integres SMB, HTTP, FTP, MSSQL, LDAP, WPAD et proxy. Quand une victime fait une faute de frappe sur un nom d'hote ou interroge un nom sans enregistrement DNS, Windows se rabat sur ces protocoles broadcast/multicast ; Responder repond en premier, pretend etre l'hote demande, invite la victime a s'authentifier et recolte des hashes challenge-response NTLMv1/NTLMv2 pour un cassage hors ligne avec hashcat ou john.
Le comportement exploite est un choix de conception ancien de Windows : LLMNR (RFC 4795) et NBT-NS sont des mecanismes de resolution de noms de secours non authentifies, donc tout hote du segment peut usurper n'importe quel nom. Comme les reponses sont broadcast/multicast, l'attaquant n'a besoin que d'une presence de niveau 2, sans identifiants prealables, ce qui explique pourquoi Responder produit generalement des hashes quelques minutes apres avoir rejoint un LAN d'entreprise. En mode passif --analyze, il cartographie les opportunites d'empoisonnement sans envoyer de reponses ; le module WPAD -w detourne la configuration automatique de proxy pour forcer le NTLM du navigateur. Les hashes NTLMv2 captures qui resistent au cassage restent utiles : injectes dans ntlmrelayx d'Impacket, ils deviennent des attaques NTLM relay en direct contre des hotes depourvus de signature SMB ou LDAP.
flowchart TD
V[La victime interroge un nom inconnu] --> Q{DNS resout ?}
Q -->|Non| B[Broadcast LLMNR / NBT-NS / mDNS]
B --> R[Responder repond en premier<br/>'cet hote est moi']
R --> AU[Serveur SMB/HTTP factice<br/>demande une authentification]
AU --> H[Capture du challenge-response NTLMv2]
H --> C[Cassage hors ligne<br/>hashcat / john]
H --> RL[Relais en direct via ntlmrelayx]
G[Desactiver LLMNR et NBT-NS via GPO] -.previent.-> BLes defenseurs desactivent LLMNR et NBT-NS via GPO, imposent la signature SMB et LDAP, deploient Extended Protection for Authentication et segmentent les reseaux pour refuser tout acces de niveau 2 non autorise. Des leurres d'identifiants (honey-credentials) et des signatures IDS pour les reponses LLMNR empoisonnees aident a detecter l'utilisation de Responder.
● Exemples
- 01
Lancer Responder lors d'un pentest interne et collecter des dizaines de hashes NTLMv2 quelques minutes apres avoir rejoint le LAN.
- 02
Chainer le module WPAD de Responder avec ntlmrelayx pour relayer une auth NTLM declenchee par le navigateur vers une application web interne.
● Questions fréquentes
Qu'est-ce que Attaque Responder ?
Attaque utilisant l'outil Responder de Laurent Gaffie pour empoisonner LLMNR, NBT-NS et mDNS, heberger des serveurs d'authentification factices et capturer ou relayer des identifiants NTLM sur un reseau local. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Attaque Responder ?
Attaque utilisant l'outil Responder de Laurent Gaffie pour empoisonner LLMNR, NBT-NS et mDNS, heberger des serveurs d'authentification factices et capturer ou relayer des identifiants NTLM sur un reseau local.
Comment se défendre contre Attaque Responder ?
Les défenses contre Attaque Responder combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Attaque Responder ?
Noms alternatifs courants : Attaque outil Responder, Empoisonneur LLMNR/NBT-NS.