Responder是Kali Linux中一款强大的网络欺骗工具主要用于在局域网中捕获各种网络协议的认证信息特别是NTLM哈希。它通过响应LLMNR链路本地多播名称解析、NBT-NSNetBIOS名称服务和mDNS多播DNS等名称解析请求欺骗目标主机将认证信息发送到攻击者控制的机器上。该工具广泛应用于渗透测试中帮助安全测试人员发现网络中的认证漏洞。当目标主机尝试解析一个不存在的主机名时Responder会伪装成该主机并响应从而诱使目标发送认证凭据通常是NTLM哈希这些哈希可以被捕获并用于后续的密码破解或传递哈希攻击。Responder命令及参数说明基本用法responder -I eth0 -w -dresponder -I eth0 -wd参数选项参数描述–version显示程序版本号并退出-h, –help显示帮助信息并退出-A, –analyze分析模式。此选项允许你查看NBT-NS、BROWSER、LLMNR请求而不进行响应-I eth0, –interfaceeth0使用的网络接口你可以使用’ALL’作为所有接口的通配符-i 10.0.0.21, –ip10.0.0.21使用的本地IP仅适用于OSX-6 IPv6, –externalip6IPv6用另一个IPv6地址而不是Responder自身的地址来欺骗所有请求-e 10.0.0.22, –externalip10.0.0.22用另一个IP地址而不是Responder自身的地址来欺骗所有请求-b, –basic返回Basic HTTP认证。默认NTLM参数描述-d, –DHCP启用对DHCP广播请求的响应。此选项将在DHCP响应中注入一个WPAD服务器。默认关闭-D, –DHCP-DNS此选项将在DHCP响应中注入一个DNS服务器否则将添加WPAD服务器。默认关闭-w, –wpad启动WPAD恶意代理服务器。默认值关闭-u UPSTREAM_PROXY, –upstream-proxyUPSTREAM_PROXY恶意WPAD代理用于传出请求的上游HTTP代理格式host:port-F, –ForceWpadAuth强制对wpad.dat文件的检索进行NTLM/Basic认证。这可能会导致登录提示。默认关闭-P, –ProxyAuth强制代理使用NTLM透明/Basic提示认证。WPAD不需要开启。此选项非常有效。默认关闭-Q, –quiet让Responder保持安静禁用来自欺骗器的大量输出。默认关闭参数描述–lm强制为Windows XP/2003及更早版本降级LM哈希。默认关闭–disable-ess强制ESS降级。默认关闭-v, –verbose增加详细程度-t 1e, –ttl1e更改被欺骗响应的默认Windows TTL。值为十六进制30秒1e。使用’-t random’获取随机TTL-N ANSWERNAME, –AnswerNameANSWERNAME指定LLMNR欺骗器在其Answer部分返回的规范名称。默认情况下答案的规范名称与查询相同。更改此值主要在尝试通过HTTP执行Kerberos中继时有用-E, –ErrorCode将SMB服务器返回的错误代码更改为STATUS_LOGON_FAILURE。默认情况下状态是STATUS_ACCESS_DENIED。更改此值允许从运行WebClient服务的受欺骗机器获取WebDAV认证使用教程1. 基本运行模式在指定接口上启动Responder开启WPAD服务器并响应DHCP请求responder -I eth0 -w -d或使用简写形式responder -I eth0 -wd2. 分析模式仅监听和分析网络请求而不进行响应适合前期侦查responder -I eth0 -A3. 启用详细输出在调试或需要详细信息时使用responder -I eth0 -v4. 使用外部IP进行欺骗指定不同于Responder所在主机的IP地址进行欺骗responder -I eth0 -e 192.168.1.1055. 强制Basic认证默认情况下Responder使用NTLM认证可强制使用Basic认证responder -I eth0 -b6. 启用代理认证强制代理使用认证提高捕获成功率responder -I eth0 -P7. 结合WPAD和强制认证启动WPAD服务器并强制对wpad.dat文件进行认证responder -I eth0 -w -F8. 使用DHCP注入DNS服务器在DHCP响应中注入DNS服务器而不是WPAD服务器responder -I eth0 -d -D9. 捕获WebDAV认证更改SMB服务器错误代码以捕获WebDAV认证responder -I eth0 -E10. 静默模式运行减少输出信息适合后台运行responder -I eth0 -Q注意事项使用Responder进行未授权的网络测试是非法的请确保你拥有合法授权。该工具主要用于渗透测试和安全评估帮助组织发现并修复网络中的安全漏洞。在某些网络环境中Responder可能会与正常的网络服务产生冲突使用后应及时停止。捕获的NTLM哈希可以使用Hashcat等工具进行破解或用于Pass-the-Hash攻击。不同版本的Responder参数可能略有差异可使用-h参数查看当前版本的详细帮助。