Schwachstelle LLMNR & NBT-NS
LLMNR deaktivieren
Zur Auflösung von Hostnamen in IP-Adressen und umgekehrt gibt es ein Vielzahl von Techniken und Protokollen.
DNS ist die Technik zum Auflösen von IP-Adressen, gefolgt von weiteren:
LLMNR um das es aktuell geht, ist quasi eine zweite DNS Ebene und verfügt über einen eigenen Resolver-Cache, löst auch nur lokale (Subnetz) IP-Adressen auf, die über DNS nicht aufgelöst werden können.
Das Problem dabei ist, das eine Multicast-Anforderungen sehr einfach abgefangen und durch eine manipulierte Antwort ersetzt werden kann.
NetBIOS-Namen werden mithilfe des WINS-Dienstes in IP-Adressen aufgelöst. WINS nutzt NetBIOS über TCP/IP und ist ein unverzichtbares Werkzeug zur Namensauflösung und wichtig für Anwendungen die mit Browser-Listen arbeiten.
Welche Ports werden wofür benutzt?
DNS Port 53
WINS Port 137, 138, 139 und 445
NetBIOS UDP 137, 138, 139
LLMNR Multicast 5353; Unicast 5355
LLMNR Local Link Multicast Name Resolution deaktivieren GPO: