درخواست های ارتباط
جستجو تنظیمات
لیست دوستان من

پروتکل LLMNR و حملاتی که از این طریق اتفاق می افتد

0 نظرات
1


ايا LLMNR را مي شناسيد؟

حتما تاکنون با حملاتی نطیر poisoning و spoofing آشنا می باشید، بطور مثال در arp spoofing شما در جواب يك arp request با آدرس خودتان جواب مي دهيد. در poisning نيز يك هاست با فرستادن gratuitous arp هاي متعدد ادرس خود را براي يك mac اعلام مي كند. حال میخواهیم به يك حمله مشابه و كمتر شناخته شده اشنا بپردازیم. يكي ديگر از poison ها بسيار معروف در شبكه مربوط به پروتكل LLMNR مي باشد.در اين روش ، يك هاست به دنبال ادرس يك name مي گردد و شما مي توانيد با فرستادن ادرس خودتان ، ترافيك را به سمت خودتان ارسال كنيد. بسته درخواست LLMNR به صورت ترافيك multicast و در ادرس مقصد 224.0.02 هست و از جمله ادرس هايي است كه پكت ارسال شده به دست تمامي هاست ها خواهد رسید.تفاوت اين سرويس با بقيه سرويس هاي در اين هست كه در اين حملات حتي پسورد هاي رمز شده كاربران می تواند در اختيار نفوذگر قرار گيرد و در مواردي نيز امكان mitm را فراهم مي كند. اما چگونه مي شود اين حملات را پيدا كرد ؟ به ياد داشته باشيم كه نبايد اين پروتكل در شبكه هاي مبتنی بر active directory ديده شود. شايد بهترين روش شناسايی آن capture ترافيك شبكه اي و يا گرفتن لاگ هاي فايروال هاي هاست است. اما در صورتي كه فقط مي خواهيد از بودن این پروتکل و داشتن فعاليت يا فعاليت غيرمعمول ان را در شبكه پيدا كنيد ، لاگ هاي deny بر روي فايروال بهترين گزينه هست. بدليل اينكه بسته هاي اين پروتكل broadcast است و به فايروال مي رسد.


برچسب ها
نظرات
هیچ نظری ارسال نشده است

برای ارسال نظر ابتدا به سایت وارد شوید

arrow