LLMNR(Link-Local Multicast Name Resolution):链路本地多播名称解析是一种解析本地主机名到IP地址的协议。它允许在没有DNS服务器的情况下进行名称解析。
工作原理:
(1)当主机需要解析本地主机名时,它会向网络上的多播地址发送LLMNR查询。
(2)如果有其他主机知道所需要的名称,则它们可以恢复==回复一个LLMNR响应,提供相应的IP地址
(3)如果没有其他主机回复,则认为名称无法解析。
安全风险:LLMNR欺骗攻击:攻击者可以发送虚假的LLMNR响应,诱导主机将数据发送到攻击者控制的主机上。
MDNS(Multicast DNS):mDNS(多播DNS)是一种类似于LLMNR的协议,用于解析本地域名到IP地址。它也用于设备发现和服务发现,特别是在局域网内。
工作原理:
(1)设备使用多播地址发送mDNS查询,通常在UDP端口5353上。
(2)其他设备可以回复mDNS响应,提供所需的服务或资源的IP地址。
安全风险: mDNS欺骗攻击:与LLMNR欺骗类似,攻击者可以发送虚假的mDNS响应,导致设备与恶意服务通信。
NBNS(NetBIOS Name Service):NetBIOS名称服务是一种过时的协议,用于在局域网内解析NetBIOS名到IP地址。NetBIOS主要用于早期的Windows系统。
工作原理:
(1)主机使用UDP端口137发送NBNS请求。
(2)NBNS服务器回复响应,提供NetBIOS名的IP地址。
安全风险:
(1)NBNS欺骗攻击:攻击者可以发送虚假的NBNS响应,欺骗其他设备将数据发送到错误的地址。
(2)NetBIOS信息收集:攻击者可以通过NBNS查询获取网络上的NetBIOS名称和相关信息。