تخفیف های ویژه عیدانه توسینسو
تا 60 درصد تخفیف ویژه
00ساعت 00دقیقه 00ثانیه

LLMNR چیست و چه حملاتی از این طریق انجام می شود؟

حتما تاکنون با حملاتی نطیر poisoning و spoofing آشنا می باشید، بطور مثال در arp spoofing شما در جواب يك arp request با آدرس خودتان جواب مي دهيد. در poisning نيز يك هاست با فرستادن gratuitous arp هاي متعدد ادرس خود را براي يك mac اعلام مي كند. حال میخواهیم به يك حمله مشابه و كمتر شناخته شده اشنا بپردازیم. يكي ديگر از poison ها بسيار معروف در شبكه مربوط به پروتكل LLMNR مي باشد.در اين روش ، يك هاست به دنبال ادرس يك name مي گردد و شما مي توانيد با فرستادن ادرس خودتان ، ترافيك را به سمت خودتان ارسال كنيد.

بسته درخواست LLMNR به صورت ترافيك multicast و در ادرس مقصد 224.0.02 هست و از جمله ادرس هايي است كه پكت ارسال شده به دست تمامي هاست ها خواهد رسید.تفاوت اين سرويس با بقيه سرويس هاي در اين هست كه در اين حملات حتي پسورد هاي رمز شده كاربران می تواند در اختيار نفوذگر قرار گيرد و در مواردي نيز امكان mitm را فراهم مي كند.

اما چگونه مي شود اين حملات را پيدا كرد ؟ به ياد داشته باشيم كه نبايد اين پروتكل در شبكه هاي مبتنی بر active directory ديده شود. شايد بهترين روش شناسايی آن capture ترافيك شبكه اي و يا گرفتن لاگ هاي فايروال هاي هاست است. اما در صورتي كه فقط مي خواهيد از بودن این پروتکل و داشتن فعاليت يا فعاليت غيرمعمول ان را در شبكه پيدا كنيد ، لاگ هاي deny بر روي فايروال بهترين گزينه هست. بدليل اينكه بسته هاي اين پروتكل broadcast است و به فايروال مي رسد.

0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×