Атака с использованием Responder
Что такое Атака с использованием Responder?
Атака с использованием ResponderАтака с использованием инструмента Responder от Лорана Гафье, отравляющего LLMNR, NBT-NS и mDNS, поднимающего ложные службы аутентификации и перехватывающего или ретранслирующего NTLM-данные в локальной сети.
Responder — Python-инструмент Лорана Гафье, объединяющий отравление LLMNR, NBT-NS, mDNS и DHCPv6 со встроенными ложными серверами аутентификации SMB, HTTP, FTP, MSSQL, LDAP, WPAD и прокси. Когда жертва ошибается в имени хоста или запрашивает имя, для которого нет DNS-записи, Windows откатывается к этим широковещательным/многоадресным протоколам; Responder отвечает первым, заявляет, что он и есть запрошенный хост, провоцирует жертву на аутентификацию и собирает challenge-response-хеши NTLMv1/NTLMv2 для офлайн-взлома с помощью hashcat или john.
Эксплуатируемое поведение — давнее архитектурное решение Windows: LLMNR (RFC 4795) и NBT-NS являются неаутентифицированными резервными механизмами разрешения имён, поэтому любой узел в сегменте может выдать себя за любое имя. Поскольку ответы широковещательные/многоадресные, атакующему нужно лишь присутствие на уровне L2 — без предварительных учётных данных — именно поэтому Responder обычно выдаёт хеши в первые минуты после подключения к корпоративной LAN. Запущенный пассивно в режиме --analyze, он картирует возможности отравления, не отправляя ответов; модуль WPAD -w перехватывает автонастройку прокси, чтобы принудить браузер к NTLM. Захваченные NTLMv2-хеши, устойчивые ко взлому, всё равно полезны: переданные в ntlmrelayx из Impacket, они превращаются в живые атаки NTLM Relay против узлов без подписи SMB или LDAP.
flowchart TD
V[Жертва запрашивает неизвестное имя] --> Q{DNS разрешает?}
Q -->|Нет| B[Широковещание LLMNR / NBT-NS / mDNS]
B --> R["Responder отвечает первым<br/>'этот хост — я'"]
R --> AU[Ложный сервер SMB/HTTP<br/>запрашивает аутентификацию]
AU --> H[Захват challenge-response NTLMv2]
H --> C[Офлайн-взлом<br/>hashcat / john]
H --> RL[Живая ретрансляция через ntlmrelayx]
G[Отключение LLMNR и NBT-NS через GPO] -.предотвращает.-> BЗащитники отключают LLMNR и NBT-NS через GPO, обязывают подпись SMB и LDAP, внедряют Extended Protection for Authentication и сегментируют сети, чтобы исключить чужой L2-доступ. Канарейки-приманки учётных данных и сигнатуры IDS для отравленных ответов LLMNR помогают обнаружить использование Responder.
● Примеры
- 01
Запуск Responder во внутреннем пентесте и сбор десятков NTLMv2-хешей в первые минуты после подключения к LAN.
- 02
Связка WPAD-модуля Responder и ntlmrelayx для ретрансляции инициированной браузером NTLM-аутентификации во внутреннее веб-приложение.
● Частые вопросы
Что такое Атака с использованием Responder?
Атака с использованием инструмента Responder от Лорана Гафье, отравляющего LLMNR, NBT-NS и mDNS, поднимающего ложные службы аутентификации и перехватывающего или ретранслирующего NTLM-данные в локальной сети. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Атака с использованием Responder?
Атака с использованием инструмента Responder от Лорана Гафье, отравляющего LLMNR, NBT-NS и mDNS, поднимающего ложные службы аутентификации и перехватывающего или ретранслирующего NTLM-данные в локальной сети.
Как защититься от Атака с использованием Responder?
Защита от Атака с использованием Responder обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Атака с использованием Responder?
Распространённые альтернативные названия: Атака инструментом Responder, Отравитель LLMNR/NBT-NS.