• LLMNR Poisoning oder Link-Local Multicast Name Resolution Poisoning ist ein sehr häufig verwendeter Angriff, wenn es darum geht, einen Penetrationstest gegen ein lokales Netzwerk durchzuführen. LLMNR- und NBT-NS-Angriffe (NetBIOS Name Service) gehen Hand in Hand, da sie mit demselben Tool durchgeführt werden können. Das Link-Local Multicast Name Resolution-Protokoll selbst basiert auf DNS und ermöglicht es Hosts, andere Hostnamen auf derselben lokalen Verbindung aufzulösen.

     

    Welche Tools können zum Einsatz kommen?

    1. nmap -Pn -n -p 139,445 --script smb-enum-shares.nse <IP-Address>
    2. responder 3.smbclient //IP-Address/share

     

     

    Lösung (Mitigation)

    Die LLMNR Auflösung kann per Gruppenrichtlinie deaktiviert werden:

    Englisch: Computer Configuration > Policies > Administrative Templates > Network > DNS Client > Turn off multicast name resolution

    Deutsch: Computerkonfiguration > Richtlinien > Administrative Vorlagen > Netzwerk > DNS-Client > Multicastnamensauflösung deaktivieren

     

     

    Wir benutzen Cookies

    Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.

    Weitere Informationen Impressum