LLMNR 投毒
LLMNR 投毒 是什么?
LLMNR 投毒一种中间人技术 (MITRE T1557.001),滥用 UDP/5355 上的链路本地多播名称解析协议,将受害者引导至攻击者控制的主机。
LLMNR (RFC 4795) 是 Windows 在 DNS 失败时使用的备用名称解析协议。客户端通过 UDP/5355 多播发送未解析名称的查询,本地链路上的任何主机都可以应答。位于同一广播域的攻击者用自己的 IP 应答,然后诱导受害者的 SMB 或 HTTP 客户端发起认证,从而捕获 NTLMv2 挑战-响应数据,用于离线破解或 NTLM Relay。LLMNR 投毒是最可靠的内网攻击之一,因为 Windows 仍会针对拼写错误、配置错误的共享和已淘汰的打印机发起 LLMNR 查询。缓解方法很简单:通过组策略 (Turn off Multicast Name Resolution) 禁用 LLMNR,只依赖 DNS。检测信号包括异常的 UDP/5355 流量,以及来自可疑主机的 4624 登录事件。
● 示例
- 01
处于访客 VLAN 的攻击者通过应答拼写错误的共享名,在一小时内收集到数十个 NTLMv2 哈希。
- 02
将 LLMNR 投毒与 ntlmrelayx 组合,把捕获的认证转发到未签名的 SMB 目标。
● 常见问题
LLMNR 投毒 是什么?
一种中间人技术 (MITRE T1557.001),滥用 UDP/5355 上的链路本地多播名称解析协议,将受害者引导至攻击者控制的主机。 它属于网络安全的 攻击与威胁 分类。
LLMNR 投毒 是什么意思?
一种中间人技术 (MITRE T1557.001),滥用 UDP/5355 上的链路本地多播名称解析协议,将受害者引导至攻击者控制的主机。
如何防御 LLMNR 投毒?
针对 LLMNR 投毒 的防御通常结合技术控制与运营实践,详见上方完整定义。
LLMNR 投毒 还有哪些其他名称?
常见的别称包括: LLMNR 欺骗, T1557.001。