LLMNR(Link-Local Multicast Name Resolution)協議是一個用於對特定網絡中沒有 DNS 服務器的機器進行命名解析的協議。在 Windows Vista 和之後的版本中,LLMNR 已經被默認開啟。LLMNR 使用組播地址和多播 DNS 查詢協議來實現單個主機名的解析。
一、LLMNR 的工作原理
在一個網絡中,如果一個主機需要解析另一台主機的名稱時,它會首先輪詢自己的 DNS 解析器。但是,如果在本地 DNS 中找不到該主機名,則該查詢將會失敗。在這種情況下,LLMNR 就會發揮作用。
當 LLMNR 啟用時,當一個主機發現它無法使用 DNS 解析某個名稱時,它會向一個帶有相同的 LLMNR 回答的同一組中的主機發送一個請求。如果請求被另一個主機收到,該主機將會使用 ICMPv6 協議發回一條回答,該回答將包含它的 IPv6 地址。
如果請求在 IPv6 網絡上未能被處理,那麼該主機將轉而使用 IPv4 的多播查詢協議,這種協議稱為“NetBIOS Name Service (NBT-NS)”。這個協議查找在機器上運行的 NetBIOS 服務,以便解決主機名。如果可以找到 NetBIOS 服務,則 NBT-NS 將會返回該服務的 IP 地址。
二、LLMNR 的應用場景
LLMNR 使用於在同一本地網絡中的兩台 Windows 主機之間進行通訊。LLMNR 的優勢是在於它可以讓不同操作系統的主機名解析更加容易,並且開啟 LLNMR 能夠在沒有 DNS 服務器的網絡中使主機能夠互相發現、互相通信。
其他我們在這裡列舉一下 LLMNR 的一些適用場景:
1、當 DNS 服務器不可用時,LLMNR 可以用來幫助計算機對於其他計算機進行名稱解析。
2、當兩台 Windows 計算機連接在同一局域網內時,LLMNR 可以將所有主機都作為相同的廣播域項呈現,進而在它們之間實現基本的名稱解析服務。
三、LLMNR 的流量安全性問題
LLMNR 使用組播地址和多播查詢協議,因此由於其開放的傳輸方式,可能會引發一些網絡安全問題。攻擊者可以通過監聽網絡流量、偽造回答數據信息等方式,從而對 LLNMR 實現的局域網進行釣魚或劫持攻擊。
為了防止 LLNMR 的安全問題,以下是一些建議:
1、嘗試禁用 LLMNR 協議,這樣就可以避免基於 LLMNR 的攻擊。這樣可以通過增加特定的組策略來實現:計算機配置 – 管理模板 – 網絡 – DNS 客戶端 – “禁用 Link-Local Multicast Name Resolution”。
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\DNSClient] "EnableMulticast"=dword:00000000
2、在網絡邊界上採取策略和安全措施來防止未經授權的網絡訪問和竊聽。
3、在網絡上設置合適的訪問控制,同時禁止不必要的服務和協議。
四、總結
LLMNR 協議是一個用於對特定網絡中沒有 DNS 服務器的機器進行命名解析的協議。LLMNR 已經被默認開啟。LLMNR 使用組播地址和多播 DNS 查詢協議來實現單個主機名的解析。LLMNR 適用於在同一本地網絡中的兩台 Windows 主機之間進行通訊。由於其開放的傳輸方式,可能會引發一些網絡安全問題。為了防止 LLNMR 的安全問題,建議採取一些安全措施。
原創文章,作者:小藍,如若轉載,請註明出處:https://www.506064.com/zh-hant/n/156948.html
微信掃一掃 
支付寶掃一掃 