27 décembre 2024

Krusell France

Ta dose d'actu digital !

Détection d’attaques LLMNR : le guide complet

1 mois ago Julien Castex
Détecter attaques LLMNR avec Honeypot
Rate this post

Réécrire un Pot de Miel pour Détecter une Attaque LLMNR sur Votre Réseau

Sommaire masquer
1 Réécrire un Pot de Miel pour Détecter une Attaque LLMNR sur Votre Réseau
2 Protocole LLMNR et Attaque LLMNR Poisoning
3 Détecter une Tentative d’Exploitation du Protocole LLMNR
4 Script PowerShell de Détection LLMNR
5 Visualisation dans les Logs
6 Conclusion
7 Actualités similaires :

Dans cet article, nous allons apprendre à mettre en place un pot de miel (honeypot) afin de piéger un attaquant sur notre réseau et détecter une attaque LLMNR poisoning.

Protocole LLMNR et Attaque LLMNR Poisoning

Le protocole LLMNR (Local Link Multicast Name Resolution) est un protocole de résolution de nom activé par défaut sous Windows et utilisant le multicast. L’attaque LLMNR poisoning consiste pour l’attaquant à abuser de l’utilisation de ce protocole en répondant systématiquement aux voisins en émettant une requête “oui je connais la correspondance”, puis en donnant son adresse IP en réponse.

Il est essentiel de détecter une tentative d’exploitation du protocole LLMNR sur un réseau. Les requêtes LLMNR et les réponses obtenues ne sont pas journalisées dans l’observateur d’évènements, donc il est difficile de les détecter de cette manière. Pour y remédier, il est possible de mettre en place un honeypot pour piéger l’attaquant.

Détecter une Tentative d’Exploitation du Protocole LLMNR

Pour détecter une tentative d’exploitation du protocole LLMNR sur un réseau, il est possible de créer un script PowerShell qui émet des requêtes LLMNR à une fréquence aléatoire sur le réseau. Si une réponse est obtenue à ces requêtes, l’adresse IP de l’attaquant peut alors être journalisée et l’attaquant détecté.

Il est important de noter que la plupart des outils d’attaque répondent par défaut à toutes les requêtes LLMNR. Par conséquent, la mise en place d’un honeypot pour détecter une tentative d’exploitation est une solution simple mais efficace.

Script PowerShell de Détection LLMNR

Un script PowerShell basé sur la CmdLet “Resolve-DnsName” peut être utilisé pour détecter des attaques LLMNR sur un réseau. Ce script émet des requêtes LLMNR à intervalles aléatoires et journalise les réponses obtenues pour identifier l’adresse IP de l’attaquant. Le script peut être adapté avec différents paramètres selon les besoins.

Visualisation dans les Logs

Une fois le script en place, il est possible de détecter des attaques LLMNR dans l’observateur d’évènements de Windows. Chaque requête et réponse est journalisée, ce qui permet de suivre l’activité du script en temps réel et de détecter toute tentative d’exploitation du protocole LLMNR.

Il est également recommandé de centraliser les évènements dans un SIEM (Security Information and Event Management) comme Splunk ou ELK pour une meilleure gestion des alertes et des menaces.

Conclusion

En conclusion, la mise en place d’un honeypot pour détecter des attaques LLMNR sur un réseau est une stratégie efficace et simple à mettre en œuvre. Il est important de prendre des mesures pour sécuriser son réseau et désactiver les protocoles LLMNR et NBNS pour éviter les attaques potentielles.

Source : www.it-connect.fr

  • julien castex redacteur tech

    Julien est un journaliste tech polyvalent avec une expérience couvrant divers aspects de la high tech, en passant par les smartphones et l'Intelligence Artificielle. Il écrit sur les dernières tendances technologiques, les startups et les projets innovants ainsi que les impacts de la technologie sur la société.

    Voir toutes les publications

Actualités similaires :

  1. Jouer à Wordle en français : guide complet
  2. Identifier une chanson sur Google en la fredonnant: le guide complet
  3. Maîtrisez les instructions If, Else et Elif en Bash : guide complet !
  4. Comment craquer le mot de passe d’une archive ZIP ? Guide complet
  5. Résoudre les problèmes de macOS Sequoia : guide complet
  6. Remplir sa déclaration d’impôt avec TurboImpôt: le guide complet
Tags:

Plus d'actu

Windows - Renouveler les tickets Kerberos sans fermer sa session

Optimiser l’authentification Kerberos sur Windows : astuces et tutoriel

4 heures ago Julien Castex
Windows - Comment libérer de l'espace disque facilement

Optimiser Windows 11 : Libérez de l’espace disque efficacement

1 jour ago Julien Castex
Comment réinitialiser Windows 11 sans perdre ses fichiers

Réinitialisation PC Windows 11 : gardez vos données !

3 jours ago Julien Castex

Vous avez peut-être manqué

Joint advisory warns of Chinese telecom hacking campaign

CloudSEK révèle: Hackers ont volé 994TB de données en 2024

59 minutes ago Julien Castex
Patriot launches new P400 V4 PCIe 4.0 M.2 SSD for PC and PS5

Découvrez le nouveau SSD Patriot P400 V4 avec des vitesses explosif pour gamers

1 heure ago Alex Lopez
Apple has lofty sales ambitions for its foldable iPhone

Apple prévoit de lancer son premier iPhone pliable en 2026. Quelles seront les réelles ambitions de la marque ?

2 heures ago Julien Castex
Our favorite games of 2024 — PS5, Nintendo Switch, Xbox Series X and PC

Les meilleurs jeux de 2024 : classement complet et détails.

3 heures ago Alex Lopez