1.4 Windows常用協議

1.4.1 LLMNR

1.LLMNR簡介

鏈路本地多播名稱解析（LLMNR）是一個基于域名系統（DNS）數據包格式的協議，可用于解析局域網中本地鏈路上的主機名稱。它可以很好地支持IPv4和IPv6，是僅次于DNS解析的名稱解析協議。

2.LLMNR解析過程

當本地hosts和DNS解析失敗時，會使用LLMNR解析。LLMNR解析過程如圖1-26所示。

1）主機在本地NetBIOS緩存名稱中進行查詢。

2）如果在緩存名稱中沒有查詢到，則以此向配置的主備DNS服務器發送解析請求。

3）如果主備DNS服務器沒有回復，則向當前子網域發送多播，獲取對應的IP地址。

4）本地子網域中的其他主機收到并檢查多播包。如果沒有響應，則請求失敗。

從以上工作過程可以明白，LLMNR是以多播形式進行查詢的，類似于ARP通過MAC尋找IP地址。這樣就存在一個欺騙攻擊問題。

3.LLMNR欺騙攻擊

假設用戶訪問一個域名xxx，如圖1-27所示，在hosts文件和DNS解析失敗時，會通過LLMNR進行廣播請求。攻擊者利用該廣播請求時間向請求用戶回復響應IP地址，這時域名xxx映射的IP就是攻擊者IP，用戶訪問域名xxx就會解析到攻擊IP，這樣攻擊者便可以拿到NetNTLM哈希。

4.LLMNR防御措施

1）在Windows系統中依次選擇“開始”→“運行”選項，然后輸入gpedit.msc命令打開本地組策略管理器，如圖1-28所示。

2）依次選擇“計算機配置”→“管理模板”→“網絡”→“DNS客戶端”，如圖1-29所示。

3）雙擊打開“關閉多播名稱解析”策略設置，如圖1-30所示。

4）將“關閉多播名稱解析”策略設置中的狀態改為“已禁用”，如圖1-31所示。