Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 1035

Атака с использованием Responder

ПроверилCybersecurity entrepreneur & security researcher

Что такое Атака с использованием Responder?

Атака с использованием ResponderАтака с использованием инструмента Responder от Лорана Гафье, отравляющего LLMNR, NBT-NS и mDNS, поднимающего ложные службы аутентификации и перехватывающего или ретранслирующего NTLM-данные в локальной сети.


Responder — Python-инструмент Лорана Гафье, объединяющий отравление LLMNR, NBT-NS, mDNS и DHCPv6 со встроенными ложными серверами аутентификации SMB, HTTP, FTP, MSSQL, LDAP, WPAD и прокси. Когда жертва ошибается в имени хоста или запрашивает имя, для которого нет DNS-записи, Windows откатывается к этим широковещательным/многоадресным протоколам; Responder отвечает первым, заявляет, что он и есть запрошенный хост, провоцирует жертву на аутентификацию и собирает challenge-response-хеши NTLMv1/NTLMv2 для офлайн-взлома с помощью hashcat или john.

Эксплуатируемое поведение — давнее архитектурное решение Windows: LLMNR (RFC 4795) и NBT-NS являются неаутентифицированными резервными механизмами разрешения имён, поэтому любой узел в сегменте может выдать себя за любое имя. Поскольку ответы широковещательные/многоадресные, атакующему нужно лишь присутствие на уровне L2 — без предварительных учётных данных — именно поэтому Responder обычно выдаёт хеши в первые минуты после подключения к корпоративной LAN. Запущенный пассивно в режиме --analyze, он картирует возможности отравления, не отправляя ответов; модуль WPAD -w перехватывает автонастройку прокси, чтобы принудить браузер к NTLM. Захваченные NTLMv2-хеши, устойчивые ко взлому, всё равно полезны: переданные в ntlmrelayx из Impacket, они превращаются в живые атаки NTLM Relay против узлов без подписи SMB или LDAP.

flowchart TD
  V[Жертва запрашивает неизвестное имя] --> Q{DNS разрешает?}
  Q -->|Нет| B[Широковещание LLMNR / NBT-NS / mDNS]
  B --> R["Responder отвечает первым<br/>'этот хост — я'"]
  R --> AU[Ложный сервер SMB/HTTP<br/>запрашивает аутентификацию]
  AU --> H[Захват challenge-response NTLMv2]
  H --> C[Офлайн-взлом<br/>hashcat / john]
  H --> RL[Живая ретрансляция через ntlmrelayx]
  G[Отключение LLMNR и NBT-NS через GPO] -.предотвращает.-> B

Защитники отключают LLMNR и NBT-NS через GPO, обязывают подпись SMB и LDAP, внедряют Extended Protection for Authentication и сегментируют сети, чтобы исключить чужой L2-доступ. Канарейки-приманки учётных данных и сигнатуры IDS для отравленных ответов LLMNR помогают обнаружить использование Responder.

Примеры

  1. 01

    Запуск Responder во внутреннем пентесте и сбор десятков NTLMv2-хешей в первые минуты после подключения к LAN.

  2. 02

    Связка WPAD-модуля Responder и ntlmrelayx для ретрансляции инициированной браузером NTLM-аутентификации во внутреннее веб-приложение.

Частые вопросы

Что такое Атака с использованием Responder?

Атака с использованием инструмента Responder от Лорана Гафье, отравляющего LLMNR, NBT-NS и mDNS, поднимающего ложные службы аутентификации и перехватывающего или ретранслирующего NTLM-данные в локальной сети. Относится к категории Атаки и угрозы в кибербезопасности.

Что означает Атака с использованием Responder?

Атака с использованием инструмента Responder от Лорана Гафье, отравляющего LLMNR, NBT-NS и mDNS, поднимающего ложные службы аутентификации и перехватывающего или ретранслирующего NTLM-данные в локальной сети.

Как защититься от Атака с использованием Responder?

Защита от Атака с использованием Responder обычно сочетает технические меры и операционные практики, как описано в определении выше.

Какие есть другие названия Атака с использованием Responder?

Распространённые альтернативные названия: Атака инструментом Responder, Отравитель LLMNR/NBT-NS.

Связанные термины