You are currently viewing LLMNR POISONING
  • Post author:
  • Post last modified:25.06.2025
  • Post category:Metody

LLMNR POISONING

LLMNR Poisoning to technika ataku polegająca na przechwytywaniu i manipulowaniu zapytań Link-Local Multicast Name Resolution (LLMNR) w sieciach Windows. Atak ten wykorzystuje słabość w mechanizmie rozwiązywania nazw domenowych, gdy standardowe DNS nie może rozwiązać zapytania.

Na czym polega atak

LLMNR to protokół używany przez systemy Windows do rozwiązywania nazw hostów w sieci lokalnej, gdy zapytanie DNS kończy się niepowodzeniem. Protokół ten działa w sposób multicast – gdy host nie może rozwiązać nazwy przez DNS, wysyła zapytanie LLMNR do wszystkich urządzeń w sieci lokalnej.

Atakujący wykorzystuje ten mechanizm poprzez:

  1. Nasłuchiwanie zapytań LLMNR w sieci
  2. Odpowiadanie na wszystkie zapytania, podając swój adres IP jako odpowiedź
  3. Gdy ofiara próbuje się połączyć z atakującym, inicjowane jest uwierzytelnienie NTLM
  4. Przechwytywanie hashy NTLM, które mogą zostać złamane offline

Jakie luki wykorzystuje

  • Brak uwierzytelniania w LLMNR: Protokół nie weryfikuje tożsamości odpowiadającego hosta
  • Fallback mechanism: Windows automatycznie próbuje LLMNR gdy DNS nie działa
  • NTLM authentication: Systemy automatycznie inicjują uwierzytelnianie NTLM przy próbie połączenia
  • Multicast nature: Każde urządzenie w sieci może odpowiedzieć na zapytanie LLMNR

Przykładowe polecenie

responder -I eth0 -dw -v

Wyjaśnienie parametrów:

  • -I eth0 – określa interfejs sieciowy do nasłuchiwania (eth0)
  • -d – włącza tryb DHCP poisoning
  • -w – uruchamia serwer WPAD (Web Proxy Auto-Discovery)
  • -v – włącza tryb verbose (szczegółowe logowanie)

Polecenie uruchamia narzędzie Responder, które będzie nasłuchiwać zapytań LLMNR, NBT-NS i MDNS na interfejsie eth0, jednocześnie prowadząc ataki DHCP poisoning i WPAD.

Mitygacja

Podstawowa metoda obrony:

Wyłączenie LLMNR przez Group Policy

GPO → Computer Configuration → Administrative Templates → Network → DNS Client → Turn off multicast name resolution

Konfiguracja krok po kroku:

  1. Otwórz Group Policy Management Console
  2. Przejdź do Computer Configuration → Administrative Templates → Network → DNS Client
  3. Włącz opcję „Turn off multicast name resolution”
  4. Zastosuj politykę do odpowiednich jednostek organizacyjnych

Dodatkowe metody obrony:

  1. Wyłączenie NetBIOS over TCP/IP:
    • W ustawieniach karty sieciowej → TCP/IP Properties → Advanced → WINS → „Disable NetBIOS over TCP/IP”
  2. Network segmentation:
    • Separacja sieci na mniejsze segmenty
    • Ograniczenie ruchu multicast między segmentami

Dodatkowe środki bezpieczeństwa

  • Konfiguracja DNS: Zapewnienie poprawnej konfiguracji DNS aby zmniejszyć liczbę nieudanych zapytań
  • SMB Signing: Wymuszenie podpisywania SMB w całej sieci
  • Kerberos authentication: Preferowanie Kerberos nad NTLM gdzie to możliwe