LLMNR Poisoning

LLMNR

El Link-Local Multicast Name (LLMNR) es un protocolo de resolución de nombres utilizado en redes locales que permite a los dispositivos comunicarse entre sí utilizando multicast. Fue desarrollado por Microsoft y está diseñado para proporcionar una forma de resolución de nombres cuando otros métodos tradicionales, como el Domain Name System (DNS), no están disponibles en una red local.

Aquí hay algunos puntos clave sobre LLMNR:

  1. Resolución de Nombres: LLMNR se utiliza para resolver nombres de host a direcciones IP dentro de una red local cuando no hay un servidor DNS disponible. Por ejemplo, si un dispositivo en la red necesita comunicarse con otro dispositivo por su nombre de host, puede utilizar LLMNR para obtener la dirección IP correspondiente.

  2. Multicast: LLMNR utiliza mensajes de multicast para enviar consultas y respuestas a todos los dispositivos en la red local. Esto significa que un dispositivo que necesita resolver un nombre de host enviará una consulta LLMNR a una dirección multicast específica, y los dispositivos que tengan la información requerida pueden responder con la dirección IP correspondiente.

  3. Funcionamiento sin Servidor de Nombres Centralizado: A diferencia del DNS, que depende de servidores DNS centralizados para resolver nombres de dominio, LLMNR permite que los dispositivos se comuniquen directamente entre sí en la red local sin necesidad de un servidor centralizado.

  4. Limitaciones: Aunque LLMNR puede ser útil en redes locales donde no hay un servidor DNS disponible, tiene algunas limitaciones y vulnerabilidades de seguridad. Por ejemplo, puede ser susceptible a ataques de envenenamiento de caché, donde un dispositivo malicioso responde a consultas LLMNR con información falsa para redirigir el tráfico a ubicaciones no deseadas.

En resumen, LLMNR es un protocolo de resolución de nombres utilizado en redes locales para permitir que los dispositivos se comuniquen entre sí utilizando multicast cuando no hay un servidor DNS disponible.

NetBIOS

El NetBIOS Name Service (NBT-NS) es un servicio utilizado en redes de Microsoft Windows para resolver nombres NetBIOS a direcciones IP. NetBIOS (Sistema básico de entrada/salida de red) es un conjunto de protocolos de red desarrollado originalmente por IBM y ampliamente adoptado por Microsoft para permitir la comunicación entre dispositivos en redes locales.

Aquí hay algunos puntos clave sobre el servicio de nombres NetBIOS (NBT-NS):

  1. Resolución de Nombres NetBIOS: NetBIOS utiliza nombres de hasta 16 caracteres alfanuméricos para identificar dispositivos en una red. El servicio de nombres NetBIOS (NBT-NS) se utiliza para resolver estos nombres de NetBIOS a direcciones IP.

  2. Protocolo de Resolución: Cuando un dispositivo necesita comunicarse con otro dispositivo utilizando su nombre NetBIOS, primero realiza una consulta al servicio de nombres NetBIOS (NBT-NS) en busca de la dirección IP asociada con ese nombre.

  3. Funciona en el nivel de datagramas: El servicio de nombres NetBIOS (NBT-NS) opera en el nivel de datagramas de la pila de protocolos TCP/IP. Utiliza el puerto UDP 137 para enviar y recibir consultas y respuestas de resolución de nombres NetBIOS.

  4. Compatibilidad con Windows: NBT-NS es ampliamente utilizado en entornos de red de Windows, especialmente en versiones más antiguas de Windows que dependen fuertemente de NetBIOS para la comunicación entre dispositivos.

  5. Seguridad y Limitaciones: Aunque NBT-NS es ampliamente utilizado, también tiene algunas limitaciones y problemas de seguridad. Por ejemplo, puede ser susceptible a ataques de envenenamiento de caché, donde un dispositivo malicioso responde a consultas NBT-NS con información falsa para redirigir el tráfico a ubicaciones no deseadas.

En resumen, el servicio de nombres NetBIOS (NBT-NS) es utilizado en redes de Windows para resolver nombres NetBIOS a direcciones IP, facilitando la comunicación entre dispositivos en la red.

Responder

sudo responder -I eth0 -w -d -v

Mitigación

  • Para mitigar LLMNR, seleccionar “Turn OFF Multicast Name Resolution” en Group Policy Managment > Computer Configuration > Polices > Administrative Templates > Network > DNS Client in the Group Policy Editor.

  • Para mitigar NBT-NS, ir a Network Connections > Network Adapter Properties > TCP/IPv4 Properties > Advanced tab > WINS tab y seleccionar “Disabled NetBIOS over TCP/IP”.

AnteriorGolden TicketSiguienteMimikatz

Última actualización