Forum
Arkadaşlar herkese merhabalar.
Kısaca konuyu özetlemek gerekirse 100 bilgisayar ve 20 tane yazıcıdan oluşan bi ağım var.Ağda son 1 aydır llnmr atak diye güvenlik duvarımdan uyarı alıyorum.LLNMR atak adı altında ne kadar konu varsa okudum bu atağın donanımdan kaynaklandığı söyleniyor.Ağda olan farklı işletim sistemlerinden tutunda yazıcılara kadar konu uzayıp gidiyor.Güvenlik duvarından Ips sensorden customlara bunları ekledim yoksa internete çıkamayacak kadar interneti sömürüyor.
FreeGate-4.AL F-SBID( --attack_id 1248; --name "FreeGate-4.AL"; --default_action drop_session; --service HTTP; --protocol tcp; --flow from_client;--pattern "Accept-Language: zh-cn"; --no_case; --context header; )
Freegate-1 F-SBID( --attack_id 5358; --name "Freegate-1"; --protocol tcp; --pattern "tinysoc.appspot.com"; --no_case;)
Freegate-2 F-SBID( --attack_id 5359; --name "Freegate-2"; --protocol udp; --pattern "nbgtr.com"; --no_case;)
Freegate-3.DNS F-SBID( --attack_id 1190; --name "Freegate-3.DNS"; --protocol udp; --service DNS; --flow from_client; --byte_test 1,<,128,2; --pattern "vcxde.com"; --context host; --no_case;)
IDM.Block.Range.Base F-SBID( --attack_id 3996; --name "IDM.Block.Range.Base"; --default_action drop_session; --service HTTP;--protocol tcp; --flow from_client;--pattern "range: bytes="; --no_case; --context header; )
IDM.Block.UserAgent.Base F-SBID( --attack_id 9589; --name "IDM.Block.UserAgent.Base"; --default_action drop_session; --service HTTP; --protocol tcp; --flow from_client;--pattern "Trident/4.0"; --no_case; --context header; )
girdğim customlar internetin sömürülmesi engelledi fakat cihazı bayacana kasıyor ve LLNMR atak arka planda yani ağda devam ediyor.Bu LLNMR atağı nasıl tespit edebilirim.Manuel olarak bilgisayarlarda 5355 portlarınıda kapattım. aynı şekilde gpedit.msc de bulunan llnmr yi de kapattım ama sorun devam ediyor ağı inanılmaz bir şekilde kasıyor.Güvenlik duvarının burda yapabileceği birsey yok zannedersem.Wireshark ile ağı takip ettiğimde tüm bilgisayarların 224.0.0.252 hedefine gittiğini görüyorum.Bu llnmr atağın tam olarak neden kaynaklandğını veya nelerden kaynaklanabileceği konusunda üstadlardan yardım bekliyorum teşekkürler.
DNS server'iniz duzgun çalisiyor yani network'te name resolution 'da bir sorun yok ise bu llnmr protokolu'ne ihtiyaciniz yok bu protokol dns isim cozumlemsinin mumkun olmadigi durumlarda multicast uzerinden isim cozumlemesi yapiyor.
GPO'dan bu protokolu client' larda kapatabilirsin ;
Computer Policy -> Computer Configuration -> Administrative Templates -> Network -> DNS Client
Turn Off Multicast Name Resolution
Ama daha onemlisi, kimin/hangi bilgisayarlarin yaptigini tespit etmek:
Multicast 224.0.0.252 adresinden UDP 5355 uzerinden baglanti kuruyor.
Karsi tarafi buldugunda ise unicast tcp 5355 uzerinden konusuyor.
Su link'e bir gozatmani oneririm.
http://www.sternsecurity.com/blog/local-network-attacks-llmnr-and-nbt-ns-poisoning
Eger LLNMR &NBT attack ise Netbios name resolution' u kapanman gerekibilir, link'te anlatilmis.
Kolay gelsin
Verdiğiniz linki inceliycem özcan bey eğerki başka bi fikri olan varsa lütfen burdan benimle tecrubelerini paylaşırsa sevinirim.