LLMNR(Link-Local Multicast Name Resolution,鏈路本地多播名稱解析)協議是一種基于
DNS包格式的協議。它可以將主機名解析為IPv4和IPv6的IP地址。這樣用戶就可以直接使用主機名訪問特定的主機和服務,而不用記憶對應的IP地址。該協議被廣泛使用在Windows Vista/7/8/10操作系統中。
該協議的工作機制很簡單。例如,計算機A和計算機B同處一個局域網中。當計算機A請求主機B時,先以廣播形式發送一個包含請求的主機名的UDP包。主機B收到該UDP包后,以單播形式發送UDP的響應包給主機A。由于整個過程中,都是以UDP方式進行,主機A根本不能確認響應主機B是否為該主機名對應的主機。這就造成欺騙的可能。
針對這個漏洞,Kali Linux提供了Responder工具。該工具不僅可以嗅探網絡內所有的LLMNR包,獲取各個主機的信息,還可以發起欺騙,誘騙發起請求的主機訪問錯誤的主機。為了滲透方便,該工具還可以偽造HTTP/s、SMB、SQL Server、FTP、IMAP、POP3等多項服務,從而采用釣魚的方式獲取服務認證信息,如用戶名和密碼等。
