LLMNR协议：Windows下的局域网多播名称解析协议

协议简介 自Windows Vista起，Windows操作系统开始支持一种新的名称解析协议—LLMNR，主要用于局域网中的名称解析。LLMNR能够很好的支持IPv4和IPv6，它也是一个仅次于DNS的名称解析方式。同时，Linux操作系统中也实现了LLMNR。LLMNR协议解析名称的特点为端到端，IPv4的广播地址为224.0.0.252，IPv6的广播地址为FF02:0:0:0:0:0:1:3或FF02::1:3。

解析顺序

1. 检查本地NetBIOS缓存，如果缓存中没有记录，则向当前子网/域发送广播进行查询。
2. 检查当前子网/域内主机，如果没有主机响应，则整个请求宣告以失败结束。

协议风险 根据LLMNR协议的解析过程，当用户访问一个不存在的网络域名时，例如：Al1ex.com，首先会检查本地NetBIOS缓存。由于缓存记录中没有，进而转向当前子网/域内进行广播查询。此时，如果攻击者进行恶意应答，例如欺骗用户Al1ex.com为攻击者的服务器端IP地址，用户便会先向攻击者提供的恶意IP地址发起请求，同时使用用户的Net-NTLM进行身份验证。攻击者通过LLMNR投毒的方式即可成功捕获用户的身份信息。

协议攻击 攻击者可以通过LLMNR协议进行投毒攻击。当用户访问一个无法解析的域名（不存在/拼写错误）时，攻击者可以使用LLMNR协议投毒的方式将攻击者主机的IP地址作为应答，进而窃取用户的Net-NTLM Hash。

演示环境

• 域控主机：192.168.174.2
• 域内主机：192.168.174.4
• 攻击主机：192.168.174.129

攻击手法 下面通过两种方式演示如何进行LLMNR/NBNS欺骗攻击。

Responder

Step 1：在攻击主机上执行以下命令开启Responder。

<code>./Responder.py -I eth0</code>

Step 2：模拟受害者访问不存在的\\Al1ex.com。

Step 3：在Responder端成功捕获到用户的NTLM-Hash。

Step 4：对用户的NTLM-Hash进行爆破（NTLM V1为5500，NTLM v2为5600）。

<code>hashcat -m 5600 HTTP-NTLMv2-192.168.174.111.txt passkey.txt</code>

Inveigh

Step 1：以管理员权限打开攻击机器的PowerShell，并输入以下命令。

<code>. .\Inveigh.ps1 Invoke-Inveigh -ConsoleOutput Y</code>

Step 2：模拟受害者用户访问不存在的UNC路径，且无需认证。

Step 3：攻击主机中捕获到用户的Net-NTLM Hash。

Inveigh-Zero

Step 1：以管理员权限打开攻击机器的命令提示符（cmd）并执行以下命令。

<code>Inveigh.exe</code>

Step 2：模拟用户在浏览器中输入错误的UNC查询路径，且无需填写表单信息。

Step 3：捕获到用户的Net-NTLM Hash。

防御措施 为了防止遭到LLMNR Poison攻击，可以通过导入以下注册表键值关闭LLMNR。不过，关闭了LLMNR后，可能会影响用户的一些正常需求。

<code>reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient" /v EnableMulticast /t REG_DWORD /d 0 /f reg add "HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows NT\DNSClient" /v EnableMulticast</code>