قد تكون أجهزة الكمبيوتر التي تعمل بنظام Windows المتصلة بشبكتك المحلية ضعيفة. هل يجب عليك تأمين استخدام LLMNR أو الاستغناء عن الميزة تمامًا؟

Windows Active Directory هي خدمة أنشأتها Microsoft ولا تزال مستخدمة اليوم في العديد من المؤسسات حول العالم. يربط ويخزن المعلومات حول أجهزة وخدمات متعددة على نفس الشبكة معًا. ولكن إذا لم يتم تكوين Active Directory للشركة بشكل صحيح وآمن ، فقد يؤدي ذلك إلى سلسلة من نقاط الضعف والهجمات.

يعد هجوم LLMNR Poisoning أحد أكثر هجمات Active Directory شيوعًا. في حالة نجاحها ، يمكن لهجوم تسميم LLMNR أن يمنح مسؤول المتسلل وصولاً وامتيازات إلى خدمة Active Directory.

تابع القراءة لاكتشاف كيفية عمل هجوم تسمم LLMNR وكيفية منع حدوثه لك.

ما هو LLMNR؟

LLMNR تعني دقة اسم الإرسال المتعدد المحلي. إنها خدمة أو بروتوكول لتحليل الاسم يُستخدم على Windows لحل عنوان IP لمضيف على نفس الشبكة المحلية عندما لا يكون خادم DNS متاحًا.

يعمل LLMNR عن طريق إرسال استعلام إلى جميع الأجهزة عبر شبكة يطلب اسم مضيف معين. يقوم بذلك باستخدام حزمة طلب تحليل الاسم (NRR) التي تبثها إلى جميع الأجهزة الموجودة على تلك الشبكة. إذا كان هناك جهاز يحمل هذا الاسم المضيف ، فسوف يستجيب بحزمة استجابة دقة الاسم (NRP) التي تحتوي على عنوان IP الخاص به ويقوم بإنشاء اتصال مع الجهاز الطالب.

instagram viewer

لسوء الحظ ، LLMNR بعيد عن أن يكون وضعًا آمنًا لتحليل اسم المضيف. تتمثل نقطة ضعفه الرئيسية في أنه يستخدم اسم المستخدم جنبًا إلى جنب مع كلمة المرور المقابلة عند الاتصال.

ما هو التسمم LLMNR؟

يعتبر تسمم LLMNR نوعًا من هجوم الرجل في الوسط الذي يستغل بروتوكول LLMNR (تحليل الاسم متعدد الإرسال المحلي) في أنظمة Windows. في LLMNR Poisoning ، يستمع المهاجم وينتظر اعتراض طلب من الهدف. إذا نجحت ، يمكن لهذا الشخص بعد ذلك إرسال استجابة LLMNR ضارة إلى جهاز كمبيوتر مستهدف ، وخداعها إرسال معلومات حساسة (اسم المستخدم وكلمة المرور) إليهم بدلاً من الشبكة المقصودة الموارد. يمكن استخدام هذا الهجوم لسرقة بيانات الاعتماد أو إجراء استطلاع للشبكة أو شن مزيد من الهجمات على النظام أو الشبكة المستهدفة.

كيف يعمل التسمم LLMNR؟

في معظم الحالات ، يتم تحقيق LLMNR باستخدام أداة تسمى Responder. إنه نص برمجي مفتوح المصدر شائع يكتب عادةً بلغة بيثون ويستخدم لتسمم LLMNR و NBT-NS و MDNS. يقوم بإعداد خوادم متعددة مثل SMB و LDAP و Auth و WDAP ، إلخ. عند التشغيل على شبكة ، يستمع البرنامج النصي للمستجيب إلى استعلامات LLMNR التي يتم إجراؤها بواسطة أجهزة أخرى على تلك الشبكة وينفذ هجمات man-in-the-middle عليها. يمكن استخدام الأداة لالتقاط بيانات اعتماد المصادقة ، والوصول إلى الأنظمة ، وتنفيذ الأنشطة الضارة الأخرى.

عندما ينفذ المهاجم نص المستجيب ، يستمع البرنامج النصي بهدوء للأحداث واستفسارات LLMNR. عندما يحدث أحدهم ، فإنه يرسل ردودًا مسمومة إليهم. إذا نجحت هجمات الانتحال هذه ، فسيعرض المستجيب تجزئة اسم المستخدم وكلمة المرور للهدف.

يمكن للمهاجم بعد ذلك محاولة كسر تجزئة كلمة المرور باستخدام أدوات مختلفة لاختراق كلمة المرور. عادةً ما تكون تجزئة كلمة المرور عبارة عن تجزئة NTLMv1. إذا كانت كلمة مرور الهدف ضعيفة ، فسيتم إجبارها وتكسيرها في وقت قصير أو بدون وقت. وعندما يحدث هذا ، سيكون المهاجم قادرًا على تسجيل الدخول إلى حساب المستخدم ، وانتحال صفة ضحية أو تثبيت برامج ضارة أو تنفيذ أنشطة أخرى مثل استطلاع الشبكة والبيانات تهريب.

اجتياز هجمات التجزئة

الشيء المخيف في هذا الهجوم هو أنه في بعض الأحيان لا يلزم اختراق تجزئة كلمة المرور. يمكن استخدام التجزئة نفسها في تمريرة هجوم التجزئة. تمريرة هجوم التجزئة هو الذي يستخدم فيه المجرم الإلكتروني تجزئة كلمة المرور غير المكسورة للوصول إلى حساب المستخدم والمصادقة على نفسه.

في عملية المصادقة العادية ، تقوم بإدخال كلمة المرور الخاصة بك في نص عادي. يتم بعد ذلك تجزئة كلمة المرور باستخدام خوارزمية تشفير (مثل MD5 أو SHA1) ومقارنتها بالإصدار المجزأ المخزن في قاعدة بيانات النظام. إذا تطابق التجزئات ، فستصبح مصادقًا. ولكن ، في تمريرة هجوم التجزئة ، يعترض المهاجم تجزئة كلمة المرور أثناء المصادقة ويعيد استخدامها للمصادقة دون معرفة كلمة مرور النص العادي.

كيفية منع التسمم LLMNR؟

قد يكون التسمم بـ LLMNR هجومًا إلكترونيًا شائعًا ، وهذا يعني أيضًا أن هناك تدابير مختبرة وموثوق بها للتخفيف من حدته وتأمينك أنت وأصولك. تتضمن بعض هذه الإجراءات استخدام جدران الحماية ، والمصادقة متعددة العوامل ، و IPSec ، وكلمات مرور قوية ، وتعطيل LLMNR تمامًا.

1. تعطيل LLMNR

أفضل طريقة لتجنب حدوث هجوم تسمم LLMNR هي تعطيل بروتوكول LLMNR على شبكتك. إذا كنت لا تستخدم الخدمة ، فلا داعي لمزيد من المخاطر الأمنية.

إذا كنت بحاجة إلى مثل هذه الوظيفة ، فإن البديل الأفضل والأكثر أمانًا هو بروتوكول نظام اسم المجال (DNS).

2. تتطلب التحكم في الوصول إلى الشبكة

يمنع التحكم في الوصول إلى الشبكة هجمات التسمم بـ LLMNR من خلال فرض سياسات أمنية قوية وتدابير التحكم في الوصول على جميع أجهزة الشبكة. يمكنه اكتشاف ومنع الأجهزة غير المصرح بها من الوصول إلى الشبكة وتوفير المراقبة والتنبيهات في الوقت الفعلي

يمكن للتحكم في الوصول إلى الشبكة أيضًا منع هجمات تسمم LLMNR بواسطة فرض تجزئة الشبكة، مما يحد من سطح الهجوم على الشبكة ويقيد الوصول غير المصرح به إلى البيانات الحساسة أو الأنظمة الهامة.

3. تنفيذ تجزئة الشبكة

يمكنك تحديد نطاق هجمات تسمم LLMNR بواسطة تقسيم شبكتك إلى شبكات فرعية أصغر. يمكن القيام بذلك من خلال استخدام شبكات VLAN وجدران الحماية وإجراءات أمان الشبكة الأخرى.

4. استخدم كلمات مرور قوية

في حالة حدوث هجوم تسمم LLMNR ، فمن المستحسن استخدام كلمات مرور قوية لا يمكن اختراقها بسهولة. يمكن بسهولة تخمين كلمات المرور الضعيفة ، مثل تلك التي تستند إلى اسمك أو سلسلة من الأرقام ، أو تكون موجودة بالفعل في جدول القاموس أو قائمة كلمات المرور.

حافظ على وضعية أمنية قوية

يعد الحفاظ على وضع أمني جيد جانبًا مهمًا لحماية أنظمتك وبياناتك من التهديدات الإلكترونية مثل LLMNR Poisoning. يتطلب القيام بذلك مجموعة من الإجراءات الاستباقية ، مثل تنفيذ كلمات مرور قوية ، وتحديث البرامج والأنظمة بانتظام ، وتثقيف الموظفين حول أفضل ممارسات الأمان.

من خلال التقييم المستمر وتحسين الإجراءات الأمنية ، يمكن لمؤسستك أن تظل في طليعة الانتهاكات والتهديدات وحماية أصولك من الهجمات.