- LLMNR nyedhiyakake wong kanggo spoofing lan nyekel hash; mateni iku nyuda resiko njero.
- Gampang Mateni: GPO / Registry ing Windows lan Ngedit systemd-ditanggulangi ing Linux.
- Nglengkapi pamblokiran utawa mateni NBT‑NS lan verifikasi dening Registry/lalu lintas.
Protokol LLMNR minangka pasuryan sing akrab ing lingkungan Microsoft. Ing jaringan ing ngendi Windows minangka andalan, iku diaktifake kanthi gawan, lan nalika iku nate digawe raos, dina iki asring luwih saka sirah saka bantuan. Pramila prayoginipun anggenipun ngginakaken. carane kanggo mateni LLMNR utamané yen kita nggunakake jaringan WiFi umum.
Sadurunge nggawe keputusan, luwih becik ngerti apa sing ditindakake lan kenapa disaranake mateni. Kabar apik yaiku mateni iku gampang. ing Windows (kalebu Windows Server) lan Linux, liwat kabijakan, Registry, Intune, utawa kanthi tuning systemd-resolved.
Apa LLMNR lan kepiye cara kerjane?
LLMNR yaiku inisial saka Link-Lokal Multicast Resolusi JenengTujuane yaiku ngrampungake jeneng host ing segmen lokal tanpa gumantung ing server DNSIng tembung liyane, yen mesin ora bisa mutusake masalah jeneng liwat DNS, bisa nyoba takon tetanggan nggunakake multicast kanggo ndeleng yen ana wong "njupuk pitunjuk."
Mekanisme iki nggunakake port PDU 5355 lan dirancang kanggo operate ing jaringan lokal. Pitakonan dikirim dening multicast menyang jaringan langsung, lan komputer apa wae sing "ngerteni" jeneng kasebut bisa nanggapi kanthi ngucap "iku aku." Iki minangka pendekatan sing cepet lan prasaja kanggo lingkungan cilik utawa improvisasi ing ngendi DNS ora kasedhiya utawa ora bisa dikonfigurasi.
Ing praktik, pitakon LLMNR pindhah menyang segmen lokal, lan piranti sing ngrungokake lalu lintas kasebut bisa nanggapi yen dheweke percaya yen tujuan kasebut bener. Cakupan kasebut diwatesi ing tautan lokal, lan mula jenenge lan panggilan minangka "patch" nalika ora ana layanan jeneng resmi ing jaringan kasebut.
Wis pirang-pirang taun, utamane ing jaringan sing luwih cilik utawa panyebaran ad-hoc, kabukten migunani. Saiki, kanthi DNS sing nyebar lan murah, kasus panggunaan wis suda nganti meh mesthi nggawe akal kanggo mateni LLMNR lan urip kanthi tentrem.
Apa LLMNR pancen perlu? Risiko lan konteks
Pitakonan yuta dolar: apa aku kudu mudhun utawa ninggalake? Ing setelan domestik, jawaban sing paling umum yaiku "ya, aja ragu-ragu mudhun." Ing perusahaan iku trep kanggo validasi impact: Yen DNS lingkungan disetel kanthi bener lan telusuran bisa digunakake, LLMNR ora menehi apa-apa lan mbukak risiko sing ora perlu.
Masalah paling gedhe yaiku LLMNR ora kalebu pangayoman marang impersonationPenyerang ing subnet sampeyan dhewe bisa "nyamar dadi" piranti target lan nanggapi luwih awal utawa luwih disenengi, ngarahake sambungan lan nyebabake kekacauan. Iki minangka skenario serangan "man-in-the-middle" (MitM) sekolah lawas.
Minangka analogi, iku kelingan standar Wi‑Fi WEP, sing lair tanpa nimbang serangan modern lan wis dadi lungse. Ana kedadeyan sing padha karo LLMNR: Iku migunani ing sasi, nanging dina iki lawang mbukak kanggo ngapusi yen ninggalake urip ing jaringan perusahaan.
Kajaba iku, ing tangan mungsuh kanthi alat sing tepat, dheweke bisa meksa komputer sampeyan "nyanyi" informasi sensitif kaya NTLMv2 hashes nalika mikir lagi ngomong karo server sing sah. Sawise panyerang entuk hash kasebut, bisa nyoba kanggo crack wong-karo sukses beda-beda gumantung ing kawicaksanan lan kerumitan sandi-nambah risiko gangguan nyata.
Nalika mateni LLMNR?
Ing mayoritas penyebaran modern, sampeyan bisa mateni tanpa ngrusak apa-apa. Yen klien sampeyan mesthi mutusake kanthi DNS Lan yen sampeyan ora ngandelake "sihir" ing jaringan lokal, LLMNR ora perlu. Isih, validasi ing lingkungan kritis sadurunge push kabijakan kanggo kabeh organisasi.
Elinga yen keputusan kasebut ora mung teknis: uga nyuda risiko operasional lan kepatuhan. Mateni LLMNR minangka kontrol hardening sing gampang, bisa diukur, lan duwe pengaruh., mung apa wae kerangka keamanan sing wicaksana.
Pateni LLMNR ing Windows
Mangkene pilihan utama sing kasedhiya kanggo mateni LLMNR ing Windows:
Pilihan 1: Editor Kebijakan Grup Lokal (gpedit.msc)
Ing komputer mandiri utawa kanggo tes cepet, sampeyan bisa nggunakake Editor Kebijakan Grup Lokal. Tekan WIN + R, ketik gpedit.msc lan nampa kanggo mbukak.
Banjur, navigasi liwat: Konfigurasi Komputer > Cithakan Administratif > Jaringan. Ing sawetara edisi, setelan kasebut katon ing ngisor Klien DNS. Temokake entri "Pateni resolusi jeneng multicast" (jeneng bisa rada beda-beda) lan nyetel kabijakan menyang "Aktif".
Ing Windows 10 teks biasane diwaca minangka "Pateni resolusi jeneng multicast." Aplikasi utawa tampa owah-owahan lan miwiti maneh komputer. kanggo mesthekake yen setelan tim-sisi ditrapake kanthi bener.
Pilihan 2: Windows Registry
Yen luwih seneng langsung menyang titik utawa butuh metode sing bisa ditulis, sampeyan bisa nggawe nilai kebijakan ing Registry. Bukak CMD utawa PowerShell kanthi ijin administrator lan nglakokaké:
REG ADD "HKLM\Software\Policies\Microsoft\Windows NT\DNSClient" /f
REG ADD "HKLM\Software\Policies\Microsoft\Windows NT\DNSClient" /v "EnableMulticast" /t REG_DWORD /d 0 /fKanthi iki, LLMNR bakal dipateni ing tingkat kabijakan. Wiwiti maneh komputer kanggo nutup siklus lan nyegah pangolahan karo negara sadurunge tetep ing memori.
Pateni LLMNR karo GPO ing domain
Cara liya kanggo mateni LLMNR yaiku nggunakake pangowahan ing tengah saka kontroler domain kanthi mbukak Konsol Manajemen Kebijakan Grup. Gawe GPO anyar (contone, "MY-GPO") lan nyunting.
Ing editor, tindakake path: Konfigurasi Komputer > Cithakan Administratif > Jaringan > Klien DNS. Aktifake kabijakan "Pateni resolusi jeneng multicast". lan nutup editor kanggo nyimpen. Banjur, sambungake GPO menyang OU sing cocog lan paksa refresh kebijakan utawa ngenteni replikasi normal.
rampung. Sampeyan saiki duwe kabijakan domain sing terus-terusan ngethok LLMNR. Elinga yen nomenklatur pas penyesuaian bisa beda-beda. rada antarane versi Windows Server, nanging lokasi minangka dituduhake.
Intune: "Ditrapake" nanging gpedit nuduhake "Ora Dikonfigurasi"
Pitakonan umum: sampeyan nyurung profil konfigurasi saka Intune, ngandhani yen wis ditrapake kanthi bener, lan nalika mbukak gpedit, sampeyan ndeleng setelan kasebut "Ora Dikonfigurasi." Iki ora ateges ora aktif.. Intune ngetrapake setelan liwat CSP/Registry sing ora tansah dibayangke ing editor lokal minangka "Dikonfigurasi."
Cara sing dipercaya kanggo mriksa iki yaiku takon karo Log Kebijakan: Yen ana lan padha karo 0, nilai kasebut AktifakeMulticast ing HKLM\Software\Policies\Microsoft\Windows NT\DNSClient, LLMNR dipateni sanajan gpedit nuduhake "Ora dikonfigurasi".
Yen luwih seneng mesthekake iki liwat skrip (migunani kaya Remediation in Intune), iki skrip PowerShell sing prasaja kanggo nggawe nilai lan verifikasi:
New-Item -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient" -Force | Out-Null
New-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient" -Name "EnableMulticast" -PropertyType DWord -Value 0 -Force | Out-Null
(Get-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient").EnableMulticastIki kalebu kasus nalika Intune ujar manawa ditrapake, nanging sampeyan pengin kepastian maksimal utawa ngatasi masalah piranti "nakal". Kanggo audit akeh, gabungke skrip karo alat inventaris sampeyan utawa nganggo laporan Intune/Defender kanggo Endpoint.
Pateni LLMNR ing Linux (systemd-resolved)
Ing distribusi kaya Ubuntu utawa Debian sing nggunakake systemd-resolved, sampeyan bisa "mateni" LLMNR langsung. Owahi setelan solver Dadi:
sudo nano /etc/systemd/resolved.confIng file, atur parameter sing cocog supaya ora ambigu. Contone:
[Resolve]
LLMNR=noSimpen lan miwiti maneh layanan utawa komputer: Wiwiti maneh layanan biasane cukup, sanajan urip maneh uga bener yen luwih trep kanggo sampeyan.
sudo systemctl restart systemd-resolvedKanthi iku, systemd-resolved bakal mandheg nggunakake LLMNR. Yen sampeyan nggunakake solusi resolusi liyane (utawa distro liyane), priksa dokumentasine: pola kasebut ora beda banget lan mesthi ana "switch" sing padha.
Babagan NBT‑NS lan Windows Firewall
Mateni LLMNR minangka setengah perang. Responder lan alat sing padha uga ngeksploitasi NetBIOS Name Service (NBT‑NS), sing dianggo liwat port NetBIOS klasik (UDP 137/138 lan TCP 139). Iki nuwuhake pitakon akeh wong: apa cukup kanggo mblokir port ing firewall, utawa sampeyan kudu mateni NBT‑NS kanthi jelas?
Yen sampeyan ngetrapake aturan sing ketat ing firewall lokal - mlebu lan metu - mblokir 137 / UDP, 138 / UDP, lan 139 / TCP, sampeyan bakal nyuda eksposur sampeyan. Nanging, praktik paling apik ing lingkungan perusahaan yaiku mateni NetBIOS liwat TCP/IP. ing antarmuka, kanggo nyegah respon utawa iklan sing ora dikarepake yen kabijakan firewall diganti utawa diowahi dening aplikasi.
Ing Windows, ora ana "pabrik" GPO langsung kaya ing LLMNR, nanging sampeyan bisa nindakake liwat WMI utawa Registry. PowerShell berbasis WMI iki mateni kabeh adaptor sing aktif IP:
Get-WmiObject -Class Win32_NetworkAdapterConfiguration -Filter "IPEnabled=TRUE" | ForEach-Object { $_.SetTcpipNetbios(2) } Yen luwih seneng aturan firewall, terusake, nanging priksa manawa ana loro arah lan terus-terusan. Blok 137/UDP, 138/UDP lan 139/TCP lan ngawasi sing ora ana aturan konflik ing GPO liyane utawa EDR / solusi AV sing ngatur firewall.
Verifikasi: Cara mriksa manawa LLMNR lan NBT-NS ora main
Kanggo LLMNR ing Windows, deleng Registry: HKLM\Software\Policies\Microsoft\Windows NT\DNSClient\EnableMulticast kudu ana lan padha karo 0. Priksa Cepet ing PowerShell Aku bakal:
(Get-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient").EnableMulticastIng tingkat lalu lintas, technique prasaja kanggo mbukak search kanggo jeneng non-ana lan nggunakake Wireshark kanggo mirsani sing ora paket UDP 5355 output. Yen sampeyan ora ndeleng multicast menyang segmen lokal, sampeyan ana ing dalan sing bener.
Ing Linux karo systemd-resolved, priksa status karo resolvectl utawa systemctl: Priksa manawa LLMNR disetel menyang "ora" ing konfigurasi efektif lan layanan kasebut diwiwiti maneh tanpa kesalahan.
Kanggo NBT‑NS, konfirmasi yen aturan firewall sampeyan mblokir 137/UDP, 138/UDP, lan 139/TCP utawa yen NetBIOS dipateni ing adaptor. Sampeyan uga bisa sniff net kanggo sawetara wektu kanggo mriksa manawa ora ana panjalukan utawa pariwara NetBIOS ing udhara.
Pitakonan sing kerep ditakoni lan nuansa migunani
- Apa aku bakal ngilangi apa wae kanthi mateni LLMNR? Ing jaringan kanthi DNS sing dijaga kanthi apik, iki biasane ora kedadeyan. Ing lingkungan khusus utawa warisan, validasi dhisik ing grup pilot lan komunikasiake owah-owahan kanggo ndhukung.
- Napa gpedit nuduhake "Ora Dikonfigurasi" sanajan Intune ujar "Dikuatake"? Amarga editor lokal ora tansah nggambarake negara sing dileksanakake dening MDM utawa CSP. Bebener ana ing Registry lan asil nyata, ora ing teks gpedit.
- Apa wajib mateni NBT‑NS yen mblokir NetBIOS ing firewall? Yen pamblokiran rampung lan kuwat, sampeyan bakal nyuda resiko. Nanging, mateni NetBIOS liwat TCP/IP ngilangake respon tingkat tumpukan lan ngindhari kejutan yen aturan diganti, dadi pilihan sing luwih disenengi.
- Apa ana skrip sing siap kanggo mateni LLMNR? Ya, liwat Registry utawa PowerShell, kaya sing wis sampeyan deleng. Kanggo Intune, paket skrip minangka Remediasi lan tambahake mriksa kepatuhan.
Mateni LLMNR nyuda permukaan spoofing ing jaringan lokal lan nips serangan hash-grabbing karo alat kaya Responder ing pucuk. Yen sampeyan uga mblokir utawa mateni NBT‑NS lan ngurus DNS sampeyanSampeyan bakal duwe koktail keamanan sing prasaja lan efektif: kurang gangguan, kurang risiko, lan jaringan sing luwih disiapake kanggo panggunaan saben dina.
Editor khusus babagan teknologi lan masalah internet kanthi pengalaman luwih saka sepuluh taun ing macem-macem media digital. Aku wis kerja minangka editor lan panyipta konten kanggo e-commerce, komunikasi, pemasaran online lan perusahaan iklan. Aku uga wis nulis babagan ekonomi, keuangan lan situs web sektor liyane. Karyaku uga dadi semangatku. Saiki, liwat artikelku ing Tecnobits, Aku nyoba kanggo njelajah kabeh warta lan kesempatan anyar sing donya teknologi nawakake kita saben dina kanggo nambah gesang kita.