LLMNR (Link-Local Multicast Name Resolution)
LLMNR, Microsoft tarafından geliştirilmiş bir protokoldür ve ağ üzerindeki cihazların adlarının çözülmesini sağlar. LLMNR, özellikle küçük ve ev ağlarında kullanılır ve DNS'e alternatif olarak ad çözümleme sağlar.
Özellikler:
Link-Local: LLMNR, ad çözümleme isteklerini yalnızca aynı ağ segmentinde (link-local) bulunan cihazlara gönderir. Bu, geniş bir ağa yayılmadan sadece aynı yerel ağdaki cihazlar arasında ad çözümleme sağlar.
Multicast: LLMNR, ağ üzerindeki cihazlara ad çözümleme isteklerini multicast ile gönderir. Bu, ağ üzerindeki cihazların hepsinin isteği almasına ve yanıt vermesine olanak tanır.
Varsayılan Olarak Etkin: Windows işletim sistemlerinde, LLMNR varsayılan olarak etkinleştirilmiştir, bu da onu ağ üzerindeki ad çözümleme işlemleri için kullanılabilir hale getirir.
Güvenlik Riskleri:
Zehirleme (Poisoning): Saldırganlar, LLMNR yanıtlarını zehirleyerek, ağ üzerindeki cihazlardan sahte yanıtlar alabilir. Bu yöntemle, şifre hash'leri veya diğer hassas bilgileri toplayabilirler.
Zayıf Güvenlik Önlemleri: LLMNR, ağ üzerindeki ad çözümleme isteklerine şifrelenmiş veya kimlik doğrulama gerektirmeyen yanıtlar verir. Bu durum, saldırganların kolayca müdahale etmesine neden olabilir.
NBT-NS (NetBIOS Name Service)
NBT-NS, NetBIOS (Network Basic Input/Output System) protokolü üzerine kuruludur ve Windows ağlarında ad çözümleme işlemlerini gerçekleştirir. NetBIOS, bilgisayarların ağ üzerinde birbirlerini tanımasına ve iletişim kurmasına olanak sağlar.
Özellikler:
NetBIOS Üzerinden Çalışır: NBT-NS, NetBIOS adlarını IP adreslerine çözmek için kullanılır. Bu, özellikle eski Windows sistemlerinde yaygın olarak kullanılan bir yöntemdir.
Ad Çözümleme: NBT-NS, NetBIOS adlarını çözümleyerek, ağ üzerindeki bilgisayarlar arasında iletişim sağlar.
Varsayılan Olarak Etkin: Windows işletim sistemlerinde NBT-NS de varsayılan olarak etkindir ve bu da onu ağ üzerinde kolayca kullanılabilir hale getirir.
Güvenlik Riskleri:
Zehirleme (Poisoning): Saldırganlar, NBT-NS yanıtlarını zehirleyerek ağ üzerindeki cihazların yanlış ad çözümleme bilgileri almasına neden olabilir. Bu, hassas bilgilerin ele geçirilmesine yol açabilir.
Kimlik Doğrulama Eksiklikleri: NBT-NS, genellikle kimlik doğrulama veya şifreleme içermeyen ad çözümleme yanıtları sağlar, bu da saldırganların bu bilgileri toplamasını kolaylaştırır.
LLMNR ve NBT-NS ile Bilgi Toplama
Bu iki protokol, ağ üzerindeki cihazların adlarının çözülmesini sağlayarak, aşağıdaki yöntemlerle bilgi toplamanızı sağlar:
Şifre Hash'lerinin Toplanması: LLMNR ve NBT-NS, ağ üzerindeki kullanıcıların şifre hash'lerini içerebilecek yanıtlar dönebilir. Bu hash'ler, daha sonra şifre kırma saldırıları için kullanılabilir.
Ağ Topolojisi Bilgisi: Bu protokoller, ağ üzerindeki cihazların adları hakkında bilgi toplamak için de kullanılabilir. Bu, ağ topolojisini anlamak ve hedefler belirlemek için faydalıdır.
Responder Aracı
Responder aracı, LLMNR ve NBT-NS protokollerini zehirlemek için kullanılır. Bu araç, ağ üzerindeki ad çözümleme isteklerine sahte yanıtlar vererek, şifre hash'lerini ve diğer hassas bilgileri toplar.
Kullanım:
Komut: responder -I eth0 komutu, belirtilen ağ arayüzünde Responder'ı başlatır.
İşlev: Responder, LLMNR ve NBT-NS isteklerine sahte yanıtlar vererek ağ üzerindeki cihazlardan hassas bilgileri toplar.
Bu araçların etkinliği, ağ güvenliğini test edenlerin veya saldırganların ağ üzerindeki güvenlik açıklarını keşfetmesine yardımcı olabilir, bu nedenle ağ güvenliğini artırmak için bu protokolleri devre dışı bırakmak veya uygun güvenlik önlemleri almak önemlidir.
responder -I eth0
[*] NTLMv2 Hashes
[*] PC2\martin:123456:6dcd4ae8e8e379d3455383a7302a0d34:xxxxxxxxxxxx:010100000000000000000000000000000000000000000000000
Elinize sağlık hocam.