歡迎來到藍隊云技術小課堂，每天分享一個技術小知識。

Responder 是一個強大的網絡滲透測試工具，特別適合用于局域網中的名稱解析協議攻擊。它通過模擬 LLMNR、NBT-NS、SMB 等協議響應，誘使設備將敏感信息（如用戶名和密碼）暴露給攻擊者。下面我們就來看看如何使用 Responder 進行攻擊。

1. 啟動 Responder

首先，確保你的設備（如 Kali Linux）上已經安裝了 Responder 工具。安裝命令如下：

sudo apt update

sudo apt install responder

安裝完成后，啟動 Responder 并指定監聽的網絡接口：

sudo responder -I eth0

其中，eth0 是你要監聽的網絡接口，可以根據實際情況替換成正確的接口名稱（例如 wlan0 或 ens33）。

2. 捕獲憑證

在 Responder 啟動后，它會開始監聽并偽造 LLMNR、NBT-NS、SMB 等協議的響應。當網絡中的其他設備請求共享資源時，Responder 會響應這些請求，并可能捕獲設備的憑證信息，如 NTLM 哈希值。你會在終端看到類似以下的輸出：

[*] Captured NTLMv2 Hash: DOMAIN\\\\\\\\user:hash

這些哈希值可以通過暴力破解工具（如 hashcat）進行破解，嘗試恢復出明文密碼：

hashcat -m 5600 hash.txt /usr/share/wordlist.txt

3. 防止攻擊

為了防止 Responder 這類工具的攻擊，網絡管理員可以采取一些重要的安全防護措施：

· 禁用 LLMNR 和 NBT-NS 協議：如果不需要這些協議，可以在網絡設備或操作系統中禁用它們。對于 Windows 系統，可以在注冊表中禁用 LLMNR 和 NetBIOS。

· 強化 DNS 安全：使用 DNSSEC 等技術來確保 DNS 請求和響應的完整性和真實性，避免 DNS 投毒等攻擊。

· 使用強認證協議：例如，使用 Kerberos 而不是 NTLM 來進行身份驗證。Kerberos 提供了更強的安全性和防篡改性。

· 限制 DHCP：防止惡意的 DHCP 服務器通過網絡進行攻擊。可以啟用 DHCP snooping 和動態 ARP 檢查等功能來防止此類攻擊。

藍隊云官網上擁有完善的技術支持庫可供參考，大家可自行查閱，更多技術問題，可以直接咨詢。同時，藍隊云整理了運維必備的工具包免費分享給大家使用，需要的朋友可以直接咨詢。

更多技術知識，藍隊云期待與你一起探索。