LLMNR/NBT-NS 投毒:Windows 网络中的“身份窃贼”

在现代企业网络中,数据安全是核心议题。然而,许多潜在的威胁并非来自复杂的零日漏洞,而是潜藏在看似寻常的网络协议深处。Link-Local Multicast Name Resolution (LLMNR) NetBIOS Name Service (NBT-NS) 就是这样一对"幕后帮手",它们在Windows网络中默默地支持着设备间的名称解析。然而,正是它们的设计特性――缺乏严格的身份验证机制,使得它们成为网络攻击者眼中的"身份窃贼"利用的完美目标。LLMNR/NBT-NS 投毒攻击,作为一种经典的内网渗透技术,能够悄无声息地捕获用户的敏感凭证哈希,为攻击者打开通往企业核心资产的大门。本文将深入剖析LLMNR/NBT-NS投毒攻击的原理、工具,以及它如何在内网渗透中扮演关键角色,并最终探讨有效的防御策略。

I. LLMNRNBT-NS:幕后的帮手

在复杂的网络环境中,计算机需要将人类可读的主机名(如"文件服务器")转换为机器可识别的IP地址。这个过程称为名称解析。通常,域名系统(DNS)扮演着主要角色。然而,当DNS服务器不可用或无法解析某个名称时,Windows操作系统会求助于一些"备用方案"LLMNRNBT-NS便是其中之二。

A. 什么是LLMNR LLMNR,全称Link-Local Multicast Name Resolution(链路本地多播名称解析),是微软为Windows Vista及更高版本操作系统引入的一种名称解析协议。它的主要目的是在没有DNS服务器或DNS解析失败的局域网(同一链路)内,允许主机解析其他主机的名称。当一台计算机需要解析一个名称,而DNS无法提供答案时,它会向本地网络中的所有设备(通过多播)发送一个LLMNR查询。网络中任何能够解析该名称的设备都可以响应。LLMNR协议的致命弱点在于它没有任何身份验证机制。它基于"先到先得"的信任原则:任何设备都可以对查询做出响应,并且请求者会默认信任第一个响应的设备。这种固有的信任,正是攻击者进行投毒攻击的温床。

B. 什么是NBT-NS NBT-NS,全称NetBIOS Name ServiceNetBIOS名称服务),是LLMNR"前辈",在Windows NT时代及更早的Windows版本中广泛使用,用于通过NetBIOS协议在TCP/IP网络上进行名称解析。即使在现代Windows系统中,NBT-NS也常常作为DNSLLMNR的最终备用方案而默认启用。与LLMNR类似,NBT-NS也通过广播查询(在IPv4网络中)来工作,并且同样缺乏任何形式的身份验证。这意味着,任何监听NBT-NS查询的设备都可以冒充被请求的资源并发送响应。虽然NetBIOS协议本身相对较旧,但NBT-NS在许多企业网络中依然活跃,特别是当用户尝试访问一些老旧的网络共享或输入错误的主机名时。

C. 为什么它们是默认开启的? LLMNRNBT-NS之所以默认开启,主要是为了方便。在小型、非托管的网络环境中,或者当DNS配置不完善时,它们能够确保设备间的名称解析仍然有效,从而提高用户体验。例如,在一个家庭网络中,如果用户输入了一个不存在的设备名称,LLMNRNBT-NS可能会帮助他们找到相似的设备。然而,这种"便利性"是以牺牲安全性为代价的。它们的设计初衷并未充分考虑恶意攻击的场景,因此留下了显著的安全隐患。

II. 投毒攻击:身份窃贼的作案手法

LLMNR/NBT-NS 投毒攻击的核心思想是利用这些协议的无身份验证特性,在名称解析过程中插入恶意响应,从而劫持受害者的网络流量,最终诱骗受害者泄露敏感凭证。

A. LLMNR/NBT-NS 投毒原理 攻击过程通常是这样的:

  1. 监听与等待: 攻击者首先会在目标内网中部署一个监听工具(例如,后面将介绍的Responder)。这个工具会持续监听LLMNRUDP 端口 5355)和NBT-NSUDP 端口 137)的广播查询。
  2. 触发查询: 受害者机器在以下情况下可能会触发LLMNR/NBT-NS查询:
    • 用户输入了错误的主机名、文件共享路径或服务名称(例如,输入了\\fileservr而不是\\fileserver)。
    • 用户尝试访问一个不存在的Web资源或服务。
    • DNS服务器无法解析某个名称。
    • 某些应用程序或服务在启动时进行名称解析。
  3. 恶意响应: 一旦攻击者的工具捕获到受害者的LLMNRNBT-NS查询,它会立即发送一个虚假的响应。这个响应声称攻击者就是受害者正在寻找的那个资源,并将攻击者自己的IP地址作为目标资源的IP地址发送给受害者。由于LLMNRNBT-NS缺乏身份验证,受害者机器会接受这个虚假响应,并认为攻击者的IP地址就是它要连接的合法资源。
  4. 流量劫持: 受害者机器现在将尝试与攻击者的机器建立连接,而不是与它最初想要访问的合法资源。这是一个典型的中间人(Man-in-the-Middle, MiTM)攻击。

B. 密码哈希捕获 当受害者机器尝试连接到攻击者冒充的"合法资源"时,如果该资源需要身份验证(例如,SMB共享、Web服务等),受害者机器会尝试进行身份验证。在Windows环境中,这通常涉及发送用户的凭证哈希。 具体来说,受害者机器会使用NTLMNT LAN Manager)身份验证协议,向攻击者发送一个"挑战-响应"消息。在这个过程中,受害者不会直接发送明文密码,而是发送其密码的NTLMv2哈希。攻击者的工具会捕获这个NTLMv2哈希,而受害者机器在大多数情况下不会察觉到任何异常,只是最终可能会收到一个"资源未找到"的错误消息。整个身份验证过程通常在用户无感知的情况下自动完成。

C. Responder工具:攻击者的利器LLMNR/NBT-NS投毒攻击中,Responder 是一个广受欢迎且功能强大的开源Python工具。它极大地简化了攻击者的操作,自动化了整个投毒、哈希捕获和中继过程。 Responder的工作原理如下:

  • 它监听来自LLMNRNBT-NSmDNS(多播DNS)协议的传入请求。
  • 当它检测到对不存在或无法解析的名称的查询时,它会立即响应,冒充该服务。
  • Responder默认会启动多个服务(如SMBHTTPFTPSQL等),以响应各种客户端连接尝试。当受害者机器尝试与这些由Responder伪造的服务进行身份验证时,Responder就会捕获到用户的Net-NTLMv2哈希。
  • 攻击者只需在目标内网中的一台机器上运行一个简单的命令,例如sudo responder -I eth0 -dwP(其中eth0是监听的网络接口,-dwP用于开启多种监听模式),即可开始监听并捕获哈希。

Responder的出现使得LLMNR/NBT-NS投毒攻击变得异常简单高效,即使是经验不足的攻击者也能轻易实施。

III. NTLMv2 哈希:身份的数字指纹

捕获到NTLMv2哈希是LLMNR/NBT-NS投毒攻击的关键一步,因为这些哈希是用户身份的数字指纹,可以被攻击者进一步利用。

A. 什么是NTLMv2 哈希? NTLMNT LAN Manager)是微软在Windows网络中用于身份验证的一套安全协议。多年来,它经历了多个版本演进,其中NTLMv2是目前最常用且相对安全的版本(相较于其前身LMNTLMv1)。NTLMv2哈希并非用户的明文密码本身,而是基于用户密码和一系列随机挑战值计算得出的一串加密数据。它在"挑战-响应"机制中用于证明用户的身份,而无需在网络上传输明文密码。尽管NTLMv2比早期版本更健壮,但它仍然可以被离线破解或用于"哈希传递"攻击。对于攻击者而言,一个有效的NTLMv2哈希与用户的明文密码具有同等价值,因为它允许他们以该用户的身份进行认证。

B. 哈希的利用:从捕获到渗透 一旦攻击者成功捕获到NTLMv2哈希,他们有几种主要途径可以将其转化为对内网的进一步渗透:

  1. 离线破解(Offline Cracking): 攻击者可以使用高性能的密码破解工具,如HashcatJohn the Ripper,结合字典攻击、暴力破解或彩虹表,尝试从捕获的NTLMv2哈希中还原出明文密码。如果用户的密码较弱、常见或存在于已泄露的密码数据库中,那么破解成功的可能性就很高。一旦获得明文密码,攻击者就可以直接使用这些凭证登录到各种服务和系统。
  2. 哈希传递(Pass-the-Hash - PtH): 哈希传递是一种高级攻击技术,它允许攻击者在不知道明文密码的情况下,直接使用捕获到的NTLMv2哈希来认证到其他系统。其原理是:在Windows NTLM身份验证过程中,系统实际上是使用密码的哈希值进行挑战-响应计算,而不是明文密码。因此,如果攻击者拥有正确的哈希值,他们就可以模拟这个过程,欺骗目标系统认为他们是合法用户。PtH攻击在Windows环境中非常有效,尤其是在没有启用或强制执行Kerberos身份验证的域环境中。
  3. 中继攻击(Relay Attacks): 中继攻击是LLMNR/NBT-NS投毒的另一种利用方式,通常与SMB协议结合使用,被称为SMB Relay。在这种攻击中,攻击者捕获到受害者发送的NTLMv2哈希后,不会尝试破解它,而是实时地将这个哈希"中继"或转发到网络中的另一个目标服务(例如,另一台服务器的SMB服务)。如果目标服务接受NTLM身份验证且没有启用SMB签名(一种防止中继攻击的防御机制),攻击者就可以以受害者的身份在该服务上执行操作,例如创建计划任务、执行命令或访问文件共享。这种攻击的危险性在于,它无需破解哈希即可实现,且可以在攻击发生时立即利用。

IV. 内网渗透:身份窃贼的下一步

LLMNR/NBT-NS投毒攻击在内网渗透中扮演着重要的"初始立足点"角色。一旦攻击者通过这种方式获取了有效凭证或哈希,他们就可以将其作为进一步渗透的跳板。

  1. 横向移动(Lateral Movement): 捕获到的凭证(无论是明文密码还是哈希)可以用于登录到内网中的其他机器、文件服务器、数据库或Web应用程序。攻击者会尝试利用这些凭证在网络中横向移动,寻找价值更高的目标。
  2. 权限提升(Privilege Escalation): 攻击者通常不会满足于普通用户权限。他们会利用捕获到的凭证,结合其他技术,尝试获取更高权限的账户,例如域管理员账户。如果某个域管理员不小心触发了LLMNR/NBT-NS查询,其哈希被捕获,那么整个域的安全将岌岌可危。
  3. 数据窃取和持久化: 在获得更高权限和更广泛的访问权限后,攻击者可以窃取敏感数据,部署后门以实现持久化访问,甚至控制整个企业网络。

LLMNR/NBT-NS投毒攻击的危险之处在于,它并非利用软件漏洞,而是利用了Windows系统默认的网络行为和协议设计上的固有缺陷。这意味着即使系统打满了最新的安全补丁,如果LLMNRNBT-NS协议仍然启用且缺乏适当的防御措施,攻击者仍然可以成功实施攻击。

V. 防御之道:筑牢网络安全防线

尽管LLMNR/NBT-NS投毒攻击看似强大,但通过实施一系列有效的防御措施,企业可以显著降低其风险。

A. 禁用LLMNRNBT-NS 这是最直接也最有效的防御措施。如果企业网络中已部署了功能完善的DNS服务器,并且所有设备都已正确配置以使用DNS进行名称解析,那么LLMNRNBT-NS通常是不必要的。

  • 禁用LLMNR 可以通过组策略对象(GPO)在域级别统一禁用。路径通常是"计算机配置" -> "管理模板" -> "网络" -> "DNS客户端" -> "关闭多播名称解析"。将其设置为"已启用"即可禁用LLMNR
  • 禁用NBT-NS 可以在每个网络适配器的TCP/IP设置中禁用NetBIOS over TCP/IP。导航到"网络连接" -> "Internet协议版本4 (TCP/IPv4)" -> "属性" -> "高级" -> "WINS"选项卡,选择"禁用TCP/IP上的NetBIOS"。此外,也可以在DHCP服务器中配置选项,将NetBIOS over TCP/IP禁用推送到所有DHCP客户端。

B. 实施SMB签名(SMB Signing): SMB签名要求在SMB通信中对数据进行数字签名,以验证数据来源和完整性。这可以有效防止SMB中继攻击,即使攻击者捕获了NTLMv2哈希,也无法将其成功中继到启用了SMB签名的目标。可以通过GPO强制启用SMB签名。

C. 强化密码策略和多因素认证(MFA):

  • 强密码策略: 强制用户使用足够复杂、长度长且包含多种字符的密码,并定期更换。这会大大增加离线破解NTLMv2哈希的难度和时间成本。考虑使用密码短语而非简单密码。
  • 多因素认证(MFA): 对于所有敏感账户和关键系统,部署MFA是至关重要的。即使攻击者成功窃取了密码哈希并破解出明文密码,MFA也能阻止他们仅凭密码进行认证,从而极大地提升账户安全性。

D. 网络监控和入侵检测/防御系统(IDS/IPS):

  • 流量监控: 持续监控网络流量,特别是LLMNRUDP 5355)和NBT-NSUDP 137)端口上的异常活动。大量的LLMNR/NBT-NS查询或来自非授权设备的响应都可能是攻击的指示。
  • IDS/IPS部署: 部署入侵检测系统(IDS)和入侵防御系统(IPS),它们可以检测并阻止已知的LLMNR/NBT-NS投毒工具(如Responder)的活动,或者发出告警。
  • 终端检测与响应(EDR): EDR解决方案可以检测终端上的Responder进程或相关恶意行为。

E. 最小权限原则: 实施最小权限原则,确保用户和应用程序只拥有完成其工作所需的最低权限。限制域管理员账户的使用范围,避免在非必要情况下使用高权限账户登录普通工作站。这样可以减少高价值凭证被捕获的风险。

结论

LLMNR/NBT-NS投毒攻击是Windows网络中一个长期存在且极具威胁的"身份窃贼"。它利用了协议层面的信任缺陷,能够轻松地捕获用户的NTLMv2哈希,并为攻击者打开内网渗透的大门。从初始的密码哈希捕获,到利用Responder工具进行自动化攻击,再到通过离线破解、哈希传递或中继攻击实现横向移动和权限提升,整个攻击链清晰且高效。

然而,企业并非束手无策。通过禁用不必要的LLMNRNBT-NS协议、强制实施SMB签名、强化密码策略并部署多因素认证、加强网络监控以及遵循最小权限原则,可以有效地构筑一道坚固的防线,抵御这类"身份窃贼"的入侵。理解这些看似微不足道的协议背后的安全隐患,并采取积极主动的防御措施,是确保企业内网安全的关键一步。只有这样,我们才能真正筑牢网络安全防线,保护数字资产免受"身份窃贼"的侵害。

评论

发表评论

此博客中的热门博文

gemini转发国内的部署教程

图片
 最近看到了这个项目 tech-shrimp/gemini-balance-lite: Gemini API 代理, 把Gemini API免费中转到国内。还可以聚合多个Gemini API Key,随机选取API Key的使用实现负载均衡,使得Gemini API免费成倍增加。 今天来演示一下搭建过程 1.点击deploy 2.输入项目名后点击creat 此时就会开始部署,等待一会 3.中转部署完成后,此时分配的域名并不能访问,所以要添加自定义域名 点击下方的黑色按钮,按照下方图片操作 点击Add domain 输入自己域名,没有自己注册一个 dpdns 再去把域名绑定到cloudflare 再输入域名后,会提示输入两个记录 输入域名服务商的dns解析即可 输入完成后点击refresh,域名前打上一个勾说明配置成功 在浏览器输入域名能正确输出结果proxy running就可以了 4.api获取 进入 aistudio 点击get api 创建api密钥复制即可 5.客户端使用 下载 cherry studio 点击左下角设置-模型服务-添加 随便输入一个名字 提供商openai或gemini二选一 api输入刚才复制的api 地址输入刚才的域名 添加一个模型,例如: gemini-2.5-pro gemini-2.0-flash-exp 然后点击测试,成功就说明可以使用,没成功把上述操作重新看一遍 之后cherry studio的设置就要自己摸索 完✌
Read more »

移动 IP 技术:如何在不同网络间无缝切换?

  引言 在当今移动互联网时代,我们习惯了随时随地保持网络连接。无论是乘坐高铁从一个城市到另一个城市,还是在家中、办公室、咖啡店之间切换,我们的手机和智能设备似乎都能保持网络畅通。这种无缝的网络体验背后,离不开一项关键技术——移动IP技术。移动IP技术让设备在不同网络间移动时能够保持连接的连续性,就像我们搬家时不会失去家庭地址一样,我们的设备在移动过程中也能保持"网络地址"的稳定性 8 。 传统IP技术的局限性 传统的IP协议设计之初主要针对固定网络环境。在传统的互联网架构中,每个设备都有一个固定的IP地址,这个地址标识了设备在网络中的位置。当设备需要与其他设备通信时,通信双方都需要知道对方的IP地址 8 。这种设计在固定网络中运行良好,但在移动场景下却面临诸多挑战。 当移动设备从一个网络切换到另一个网络时,由于IP地址的变化,原有的通信连接会被中断。例如,当你的手机从一个基站切换到另一个基站时,运营商需要为你分配新的IP地址,这就像换了个"网络服务站" 3 。这种IP地址的变化会导致正在进行的通话、下载或其他网络应用中断,严重影响用户体验。 移动IP技术的基本原理 移动IP技术正是为了解决上述问题而设计的。其核心思想是为移动设备分配两个IP地址: 家乡地址(Home Address) 和 转交地址(Care-of Address) 6 。 家乡地址 是移动设备永久不变的IP地址,就像公民的身份证号码一样,即使在设备移动过程中也不会改变。 转交地址 是移动设备当前所在网络的临时IP地址,当设备移动到新的网络时会发生变化。 移动IP技术通过 家乡代理(Home Agent) 和 外地代理(Foreign Agent) 两个关键组件来实现无缝切换 6 。家乡代理位于移动设备的家乡网络中,负责维护移动设备的位置信息;外地代理则位于移动设备当前访问的外地网络中,负责将发往移动家乡地址的数据包转发到其当前位置。 移动IP的关键技术组件 1. 家乡代理(Home Agent) 家乡代理是移动IP技术中的核心组件之一。它位于移动设备的家乡网络中,主要职责包括: 维护移动设备的位置信息,记录其当前的转交地址 截发发往移动设备家乡地址的数据包 将数据包通过隧道技术转发到移动设备的当前位置 处理移动设备的位置更新请求 2. 外地代理(Forei...
Read more »

公共 Wi-Fi 安全吗?你需要知道的风险

  在咖啡馆、机场、酒店甚至公交车上,公共 Wi-Fi 热点随处可见。它们提供了一种便捷的方式来连接互联网,无需消耗移动数据流量。然而,这种便利背后潜藏着诸多安全风险。了解这些风险并采取适当的预防措施至关重要,以保护您的个人信息和设备安全。 什么是公共 Wi-Fi? 公共 Wi-Fi 是指在公共场所提供的无线网络连接,通常是开放的,无需密码或只需简单密码即可连接。这些网络通常由企业、政府或第三方服务提供商提供,旨在方便公众访问互联网。 公共 Wi-Fi 的便利性 公共 Wi-Fi 的主要优点是其便利性。它允许用户在没有移动数据或固定网络连接的情况下访问互联网。这对于旅行者、学生、以及那些需要随时随地保持联系的人来说尤其有用。此外,公共 Wi-Fi 通常是免费的,这使其成为一个经济实惠的选择。 公共 Wi-Fi 的风险 虽然公共 Wi-Fi 提供了诸多便利,但也存在一些严重的风险: 不安全的网络连接:  许多公共 Wi-Fi 网络未加密,这意味着您在网络上发送和接收的数据可以被拦截和读取。攻击者可以使用各种工具来监视网络流量,捕获密码、信用卡信息和其他敏感数据。 中间人攻击:  中间人攻击是指攻击者拦截您与网站或服务之间的通信,并冒充其中一方。这使得攻击者可以窃取您的登录凭据、个人信息或操纵您看到的信息。 恶意热点:  攻击者可以设置虚假的 Wi-Fi 热点,模仿合法的网络名称(例如,咖啡馆的 Wi-Fi)。当您连接到这些恶意热点时,您的所有流量都会通过攻击者的服务器,他们可以窃取您的数据或向您的设备注入恶意软件。 恶意软件传播:  公共 Wi-Fi 网络可能成为恶意软件传播的途径。攻击者可以利用未打补丁的操作系统或应用程序漏洞,通过网络传播病毒、蠕虫和其他恶意软件。 嗅探攻击:  攻击者可以使用嗅探工具来捕获网络上的数据包。这些数据包可能包含用户名、密码、电子邮件和其他敏感信息。即使网站使用 HTTPS 加密,攻击者仍然可以捕获加密的流量并尝试破解密码。 会话劫持:  攻击者可以劫持您的会话,冒充您访问网站或服务。这通常通过窃取您的会话 cookie 来实现,这些 cookie 存储了您的登录信息和会话状态。 如何保护自己 尽管存在上述风险,您仍然可以在使用公共 Wi-Fi 时采取一些措施来保护自己...
Read more »