LLMNR和NETBIOS欺骗攻击的概念

1.LLMNR

本地链路多播名称解析（LLMNR)，是一种域名数据包格式。当DNS服务器不可用时，DNS客户端使用LLMNR解析本地网段中的机器和名称，知道DNS服务器恢复正常。

【资料图】

LLMNR的工作流程如下：

1.DNS客户端找到自己的内部名称缓存中查询的名称。

2.如果没有找到，主机将主DNS发送名称查询请求

3.主DNS没有回应或者收到了错误的信息，主DNS会像备DNS发送查询请求

4.备DNS没有回应或者收到了错误的信息，将使用LLMNR进行解析

5.主机通过UDP协议向组播地址224.0.0.252的5355端口发送多播查询请求获取主机名所对应的IP地址。

2.NETBIOS

一般用于在十几台计算机组成的局域网中（根据NETBOIS协议广播得到计算机名称，解析为相应的IP地址）。

提供三种服务。NETBOIS-NS(名称服务） 用于名称注册和解析，启动绘画和分发数据包。该服务需要域名服务器注册netbios的名称。默认监听137端口，

datagram distribution service（数据包分发服务）；无连接服务。服务负责进行错误检测和回复，默认监听UDP138端口

session service（会话服务）；允许两台计算机建立连接，允许电子邮件跨越多个数据包传输。

3.Net-NTLM hash

Net-NTLM hash 与NTLM Hash 不同

NTLM hash是指windows操作系统的security account manager 保存的用户密码散列值。

通常保存在sam文件中或者NTDS.DIT数据库，用于对访问资源的用户进行身份验证

Net-NTLM hash是指网络环境经过NTLM认证的散列值。挑战、响应验证中的“响应”就包含Net-NTLM HASH。 使用responder抓取的通常就是NET-NTLM HASH

抓取到的net-ntlm hash进行哈希传递攻击，只能使用hashcat等工具得到铭文后横向

responder监听LLMNR和nbt-ns，抓取所有的LLMNR和NBT-NS请求进行响应，获得最初的账户凭证