欢迎来到蓝队云技术小课堂，每天分享一个技术小知识。

Responder 是一个强大的网络渗透测试工具，特别适合用于局域网中的名称解析协议攻击。它通过模拟 LLMNR、NBT-NS、SMB 等协议响应，诱使设备将敏感信息（如用户名和密码）暴露给攻击者。下面我们就来看看如何使用 Responder 进行攻击。

1. 启动 Responder

首先，确保你的设备（如 Kali Linux）上已经安装了 Responder 工具。安装命令如下：

sudo apt update

sudo apt install responder

安装完成后，启动 Responder 并指定监听的网络接口：

sudo responder -I eth0

其中，eth0 是你要监听的网络接口，可以根据实际情况替换成正确的接口名称（例如 wlan0 或 ens33）。

2. 捕获凭证

在 Responder 启动后，它会开始监听并伪造 LLMNR、NBT-NS、SMB 等协议的响应。当网络中的其他设备请求共享资源时，Responder 会响应这些请求，并可能捕获设备的凭证信息，如 NTLM 哈希值。你会在终端看到类似以下的输出：

[*] Captured NTLMv2 Hash: DOMAIN\\\\\\\\user:hash

这些哈希值可以通过暴力破解工具（如 hashcat）进行破解，尝试恢复出明文密码：

hashcat -m 5600 hash.txt /usr/share/wordlist.txt

3. 防止攻击

为了防止 Responder 这类工具的攻击，网络管理员可以采取一些重要的安全防护措施：

· 禁用 LLMNR 和 NBT-NS 协议：如果不需要这些协议，可以在网络设备或操作系统中禁用它们。对于 Windows 系统，可以在注册表中禁用 LLMNR 和 NetBIOS。

· 强化 DNS 安全：使用 DNSSEC 等技术来确保 DNS 请求和响应的完整性和真实性，避免 DNS 投毒等攻击。

· 使用强认证协议：例如，使用 Kerberos 而不是 NTLM 来进行身份验证。Kerberos 提供了更强的安全性和防篡改性。

· 限制 DHCP：防止恶意的 DHCP 服务器通过网络进行攻击。可以启用 DHCP snooping 和动态 ARP 检查等功能来防止此类攻击。

蓝队云官网上拥有完善的技术支持库可供参考，大家可自行查阅，更多技术问题，可以直接咨询。同时，蓝队云整理了运维必备的工具包免费分享给大家使用，需要的朋友可以直接咨询。

更多技术知识，蓝队云期待与你一起探索。