/ / Ngộ độc LLMNR là gì và bạn có thể ngăn chặn nó như thế nào?

Ngộ độc LLMNR là gì và bạn có thể ngăn chặn nó như thế nào?

Windows Active Directory là một dịch vụ do Microsoft tạo ra, ngày nay vẫn được sử dụng trong nhiều tổ chức trên khắp thế giới. Nó kết nối và lưu trữ thông tin về nhiều thiết bị và dịch vụ trên cùng một mạng với nhau. Nhưng nếu Active Directory của một công ty không được cấu hình đúng cách và an toàn, nó có thể dẫn đến một loạt lỗ hổng và các cuộc tấn công.


Một trong những cuộc tấn công Active Directory phổ biến hơn là cuộc tấn công Ngộ độc LLMNR. Nếu thành công, một cuộc tấn công đầu độc LLMNR có thể cấp cho quản trị viên tin tặc quyền truy cập và các đặc quyền đối với dịch vụ Active Directory.

Đọc tiếp để khám phá cách thức hoạt động của cuộc tấn công đầu độc LLMNR và cách ngăn chặn nó xảy ra với bạn.


LLMNR là gì?

LLMNR là viết tắt của Độ phân giải tên đa hướng liên kết cục bộ. Đây là một dịch vụ hoặc giao thức phân giải tên được sử dụng trên Windows để phân giải địa chỉ IP của máy chủ lưu trữ trên cùng một mạng cục bộ khi máy chủ DNS không khả dụng.

LLMNR hoạt động bằng cách gửi một truy vấn tới tất cả các thiết bị trên mạng yêu cầu một tên máy chủ cụ thể. Nó thực hiện điều này bằng cách sử dụng gói Yêu cầu phân giải tên (NRR) mà nó sẽ phát tới tất cả các thiết bị trên mạng đó. Nếu có một thiết bị có tên máy chủ đó, nó sẽ phản hồi bằng gói Phản hồi phân giải tên (NRP) chứa địa chỉ IP của nó và thiết lập kết nối với thiết bị yêu cầu.

Thật không may, LLMNR không phải là một chế độ phân giải tên máy chủ an toàn. Điểm yếu chính của nó là nó sử dụng tên người dùng cùng với mật khẩu tương ứng khi giao tiếp.

Ngộ độc LLMNR là gì?

LLMNR Poisoning là một kiểu tấn công trung gian khai thác giao thức LLMNR (Link-Local Multicast Name Resolution) trong các hệ thống Windows. Trong LLMNR Poisoning, kẻ tấn công lắng nghe và chờ chặn yêu cầu từ mục tiêu. Nếu thành công, người này sau đó có thể gửi phản hồi LLMNR độc hại đến máy tính mục tiêu, lừa máy tính đó gửi thông tin nhạy cảm (tên người dùng và mật khẩu băm) cho họ thay vì tài nguyên mạng dự kiến. Cuộc tấn công này có thể được sử dụng để đánh cắp thông tin đăng nhập, thực hiện trinh sát mạng hoặc khởi động các cuộc tấn công tiếp theo vào hệ thống hoặc mạng mục tiêu.

Ngộ độc LLMNR hoạt động như thế nào?

Hình ảnh của một cuộc tấn công bằng chất độc LLMNR

Trong hầu hết các trường hợp, LLMNR đạt được bằng cách sử dụng một công cụ có tên là Phản hồi. Nó là một tập lệnh nguồn mở phổ biến thường được viết bằng python và được sử dụng để đầu độc LLMNR, NBT-NS và MDNS. Nó thiết lập nhiều máy chủ như SMB, LDAP, Auth, WDAP, v.v. Khi chạy trên mạng, tập lệnh Reply sẽ lắng nghe các truy vấn LLMNR do các thiết bị khác trên mạng đó thực hiện và thực hiện các cuộc tấn công trung gian vào chúng. Công cụ này có thể được sử dụng để lấy thông tin đăng nhập xác thực, giành quyền truy cập vào hệ thống và thực hiện các hoạt động độc hại khác.

Khi kẻ tấn công thực thi tập lệnh phản hồi, tập lệnh sẽ lặng lẽ lắng nghe các sự kiện và truy vấn LLMNR. Khi một sự cố xảy ra, nó sẽ gửi phản hồi bị nhiễm độc cho họ. Nếu các cuộc tấn công giả mạo này thành công, bộ phản hồi sẽ hiển thị tên người dùng và mật khẩu băm của mục tiêu.

Sau đó, kẻ tấn công có thể cố gắng bẻ khóa hàm băm mật khẩu bằng nhiều công cụ bẻ khóa mật khẩu khác nhau. Hàm băm mật khẩu thường là hàm băm NTLMv1. Nếu mật khẩu của mục tiêu yếu, nó sẽ bị cưỡng bức và bẻ khóa trong thời gian ngắn hoặc nhanh chóng. Và khi điều này xảy ra, kẻ tấn công sẽ có thể đăng nhập vào tài khoản của người dùng, mạo danh nạn nhân, cài đặt phần mềm độc hại hoặc thực hiện các hoạt động khác như trinh sát mạng và đánh cắp dữ liệu.

Vượt qua các cuộc tấn công Hash

Điều đáng sợ về cuộc tấn công này là đôi khi mã băm mật khẩu không cần phải bẻ khóa. Bản thân hàm băm có thể được sử dụng để vượt qua cuộc tấn công băm. Vượt qua cuộc tấn công băm là một trong đó tội phạm mạng sử dụng hàm băm mật khẩu chưa bị bẻ khóa để có quyền truy cập vào tài khoản của người dùng và xác thực chính mình.

Trong quy trình xác thực thông thường, bạn nhập mật khẩu của mình ở dạng văn bản thuần túy. Sau đó, mật khẩu được băm bằng thuật toán mã hóa (chẳng hạn như MD5 hoặc SHA1) và được so sánh với phiên bản đã băm được lưu trữ trong cơ sở dữ liệu của hệ thống. Nếu giá trị băm khớp, bạn sẽ được xác thực. Tuy nhiên, khi vượt qua cuộc tấn công băm, kẻ tấn công chặn mật khẩu băm trong quá trình xác thực và sử dụng lại nó để xác thực mà không cần biết mật khẩu văn bản thuần túy.

Làm thế nào để ngăn ngừa ngộ độc LLMNR?

Ngộ độc LLMNR có thể là một cuộc tấn công mạng phổ biến, điều này cũng có nghĩa là có các biện pháp đã được thử nghiệm và đáng tin cậy để giảm thiểu nó cũng như bảo vệ bạn và tài sản của bạn. Một số biện pháp này bao gồm việc sử dụng tường lửa, xác thực đa yếu tố, IPSec, mật khẩu mạnh và vô hiệu hóa LLMNR hoàn toàn.

1. Vô hiệu hóa LLMNR

Cách tốt nhất để tránh một cuộc tấn công đầu độc LLMNR xảy ra với bạn là vô hiệu hóa giao thức LLMNR trên mạng của bạn. Nếu bạn không sử dụng dịch vụ, bạn không cần phải chịu rủi ro bảo mật bổ sung.

Nếu bạn cần chức năng như vậy, giải pháp thay thế tốt hơn và an toàn hơn là giao thức Hệ thống tên miền (DNS).

2. Yêu cầu kiểm soát truy cập mạng

Kiểm soát truy cập mạng ngăn chặn các cuộc tấn công đầu độc LLMNR bằng cách thực thi các chính sách bảo mật mạnh mẽ và các biện pháp kiểm soát truy cập trên tất cả các thiết bị mạng. Nó có thể phát hiện và chặn các thiết bị trái phép truy cập mạng và cung cấp cảnh báo và giám sát theo thời gian thực

Kiểm soát truy cập mạng cũng có thể ngăn chặn các cuộc tấn công đầu độc LLMNR bằng cách thực thi phân đoạn mạng, giúp hạn chế bề mặt tấn công của mạng và hạn chế truy cập trái phép vào dữ liệu nhạy cảm hoặc hệ thống quan trọng.

đồ họa kỹ thuật số của mạng khối phi tập trung

3. Thực hiện phân đoạn mạng

Bạn có thể giới hạn phạm vi của các cuộc tấn công Ngộ độc LLMNR bằng cách chia mạng của mình thành các mạng con nhỏ hơn. Điều này có thể được thực hiện thông qua việc sử dụng VLAN, tường lửa và các biện pháp bảo mật mạng khác.

4. Sử dụng mật khẩu mạnh

Trong trường hợp xảy ra Tấn công đầu độc LLMNR, bạn nên sử dụng mật khẩu mạnh không dễ bị bẻ khóa. Mật khẩu yếu, chẳng hạn như mật khẩu dựa trên tên của bạn hoặc một dãy số, có thể dễ dàng đoán ra hoặc đã tồn tại trong bảng từ điển hoặc danh sách mật khẩu.

Duy trì một tư thế an ninh mạnh mẽ

Duy trì trạng thái bảo mật tốt là một khía cạnh quan trọng trong việc bảo vệ hệ thống và dữ liệu của bạn trước các mối đe dọa trên mạng như Ngộ độc LLMNR. Làm như vậy đòi hỏi sự kết hợp của các biện pháp chủ động, như triển khai mật khẩu mạnh, thường xuyên cập nhật phần mềm và hệ thống, đồng thời hướng dẫn nhân viên về các phương pháp hay nhất về bảo mật.

Bằng cách liên tục đánh giá và cải thiện các biện pháp bảo mật, tổ chức của bạn có thể vượt qua các vi phạm và mối đe dọa cũng như bảo vệ tài sản của bạn khỏi các cuộc tấn công.

Bài viết liên quan:

  1. Cách hợp nhất nhiều sổ làm việc Excel với Python
  2. 7 ứng dụng tốt nhất cho thanh thiếu niên để quản lý căng thẳng và lo lắng
  3. 6 cách bảo vệ loa thông minh Google Nest của bạn
  4. 5 cách khắc phục màn hình xanh HYPERVISOR_ERROR trên Windows 10 & 11

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *