LLMNR چیست و چه حملاتی از این طریق انجام می شود؟

LLMNR چیست؟ حتما تاکنون با حملاتی نطیر poisoning و spoofing آشنا می باشید، بطور مثال در arp spoofing شما در جواب يك arp request با آدرس خودتان جواب مي دهيد. در poisning نيز يك هاست با فرستادن gratuitous arp هاي متعدد ادرس خود را براي يك mac اعلام مي كند. حال میخواهیم به يك حمله مشابه و كمتر شناخته شده اشنا بپردازیم. يكي ديگر از poison ها بسيار معروف در شبكه مربوط به پروتكل LLMNR مي باشد.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

در اين روش ، يك هاست به دنبال ادرس يك name مي گردد و شما مي توانيد با فرستادن ادرس خودتان ، ترافيك را به سمت خودتان ارسال كنيد.بسته درخواست LLMNR به صورت ترافيك multicast و در ادرس مقصد 224.0.02 هست و از جمله ادرس هايي است كه پكت ارسال شده به دست تمامي هاست ها خواهد رسید.تفاوت اين سرويس با بقيه سرويس هاي در اين هست كه در اين حملات حتي پسورد هاي رمز شده كاربران می تواند در اختيار نفوذگر قرار گيرد و در مواردي نيز امكان mitm را فراهم مي كند.

اما چگونه مي شود اين حملات را پيدا كرد ؟ به ياد داشته باشيم كه نبايد اين پروتكل در شبكه هاي مبتنی بر active directory ديده شود. شايد بهترين روش شناسايی آن capture ترافيك شبكه اي و يا گرفتن لاگ هاي فايروال هاي هاست است. اما در صورتي كه فقط مي خواهيد از بودن این پروتکل و داشتن فعاليت يا فعاليت غيرمعمول ان را در شبكه پيدا كنيد ، لاگ هاي deny بر روي فايروال بهترين گزينه هست. بدليل اينكه بسته هاي اين پروتكل broadcast است و به فايروال مي رسد.


نظرات