Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 1035

Responder 攻击

审核人Cybersecurity entrepreneur & security researcher

Responder 攻击 是什么?

Responder 攻击利用 Laurent Gaffie 的 Responder 工具对 LLMNR、NBT-NS 和 mDNS 进行投毒,运行伪造认证服务,在本地网络中捕获或转发 NTLM 凭据的攻击。


Responder 是 Laurent Gaffie 编写的 Python 工具,它将对 LLMNR、NBT-NS、mDNS 和 DHCPv6 的投毒能力与内置的伪造 SMB、HTTP、FTP、MSSQL、LDAP、WPAD 和代理认证服务结合在一起。当受害者打错主机名或查询一个没有 DNS 记录的名称时,Windows 会回退到这些广播/多播协议;Responder 抢先应答,声称自己就是被请求的主机,诱导受害者进行认证,并收割 NTLMv1/NTLMv2 挑战-响应哈希,以便用 hashcat 或 john 进行离线破解。

被利用的行为是 Windows 长期以来的一项设计选择:LLMNR(RFC 4795)和 NBT-NS 是未经认证的名称解析回退机制,因此网段上的任何主机都可以冒充任何名称。由于这些响应是广播/多播的,攻击者只需具备二层(Layer-2)接入——无需任何预先凭据——这正是 Responder 通常能在加入企业 LAN 几分钟内就拿到哈希的原因。以 --analyze 模式被动运行时,它只映射投毒机会而不发送应答;-w WPAD 模块则劫持代理自动配置以强制浏览器的 NTLM 认证。即便捕获到的 NTLMv2 哈希难以破解,它们仍然有用:导入 Impacket 的 ntlmrelayx 后,便可对缺少 SMB 或 LDAP 签名的主机发起实时的 NTLM Relay 攻击。

flowchart TD
  V[受害者查询一个未知名称] --> Q{DNS 能解析吗?}
  Q -->|否| B[广播 LLMNR / NBT-NS / mDNS]
  B --> R["Responder 抢先应答<br/>'那台主机就是我'"]
  R --> AU["伪造 SMB/HTTP 服务器<br/>提示认证"]
  AU --> H[捕获 NTLMv2 挑战-响应]
  H --> C["离线破解<br/>hashcat / john"]
  H --> RL[通过 ntlmrelayx 实时转发]
  G[通过 GPO 禁用 LLMNR 与 NBT-NS] -.阻止.-> B

防御方应通过组策略(GPO)禁用 LLMNR 与 NBT-NS、强制 SMB 与 LDAP 签名、部署认证扩展保护(Extended Protection for Authentication),并对网络进行分段以阻止恶意二层接入。蜜罐凭据(honey-credential)诱饵和针对被投毒 LLMNR 响应的 IDS 特征有助于检测 Responder 的使用。

示例

  1. 01

    在内部渗透测试中运行 Responder,加入 LAN 几分钟内即收集到数十个 NTLMv2 哈希。

  2. 02

    将 Responder 的 WPAD 模块与 ntlmrelayx 串联,把浏览器发起的 NTLM 认证转发至内部 Web 应用。

常见问题

Responder 攻击 是什么?

利用 Laurent Gaffie 的 Responder 工具对 LLMNR、NBT-NS 和 mDNS 进行投毒,运行伪造认证服务,在本地网络中捕获或转发 NTLM 凭据的攻击。 它属于网络安全的 攻击与威胁 分类。

Responder 攻击 是什么意思?

利用 Laurent Gaffie 的 Responder 工具对 LLMNR、NBT-NS 和 mDNS 进行投毒,运行伪造认证服务,在本地网络中捕获或转发 NTLM 凭据的攻击。

如何防御 Responder 攻击?

针对 Responder 攻击 的防御通常结合技术控制与运营实践,详见上方完整定义。

Responder 攻击 还有哪些其他名称?

常见的别称包括: Responder 工具攻击, LLMNR/NBT-NS 投毒工具。

相关术语