当前位置：首页 > news >正文

responder使用教程

news 2026/4/5 3:19:27

Responder是Kali Linux中一款强大的网络欺骗工具，主要用于在局域网中捕获各种网络协议的认证信息，特别是NTLM哈希。它通过响应LLMNR（链路本地多播名称解析）、NBT-NS（NetBIOS名称服务）和mDNS（多播DNS）等名称解析请求，欺骗目标主机将认证信息发送到攻击者控制的机器上。

该工具广泛应用于渗透测试中，帮助安全测试人员发现网络中的认证漏洞。当目标主机尝试解析一个不存在的主机名时，Responder会伪装成该主机并响应，从而诱使目标发送认证凭据（通常是NTLM哈希），这些哈希可以被捕获并用于后续的密码破解或传递哈希攻击。

Responder命令及参数说明

基本用法

responder -I eth0 -w -d

responder -I eth0 -wd

参数选项

参数	描述
–version	显示程序版本号并退出
-h, –help	显示帮助信息并退出
-A, –analyze	分析模式。此选项允许你查看NBT-NS、BROWSER、LLMNR请求而不进行响应
-I eth0, –interface=eth0	使用的网络接口，你可以使用’ALL’作为所有接口的通配符
-i 10.0.0.21, –ip=10.0.0.21	使用的本地IP（仅适用于OSX）
-6 <IPv6>, –externalip6=<IPv6>	用另一个IPv6地址而不是Responder自身的地址来欺骗所有请求
-e 10.0.0.22, –externalip=10.0.0.22	用另一个IP地址而不是Responder自身的地址来欺骗所有请求
-b, –basic	返回Basic HTTP认证。默认：NTLM

参数	描述
-d, –DHCP	启用对DHCP广播请求的响应。此选项将在DHCP响应中注入一个WPAD服务器。默认：关闭
-D, –DHCP-DNS	此选项将在DHCP响应中注入一个DNS服务器，否则将添加WPAD服务器。默认：关闭
-w, –wpad	启动WPAD恶意代理服务器。默认值：关闭
-u UPSTREAM_PROXY, –upstream-proxy=UPSTREAM_PROXY	恶意WPAD代理用于传出请求的上游HTTP代理（格式：host:port）
-F, –ForceWpadAuth	强制对wpad.dat文件的检索进行NTLM/Basic认证。这可能会导致登录提示。默认：关闭
-P, –ProxyAuth	强制代理使用NTLM（透明）/Basic（提示）认证。WPAD不需要开启。此选项非常有效。默认：关闭
-Q, –quiet	让Responder保持安静，禁用来自欺骗器的大量输出。默认：关闭

参数	描述
–lm	强制为Windows XP/2003及更早版本降级LM哈希。默认：关闭
–disable-ess	强制ESS降级。默认：关闭
-v, –verbose	增加详细程度
-t 1e, –ttl=1e	更改被欺骗响应的默认Windows TTL。值为十六进制（30秒=1e）。使用’-t random’获取随机TTL
-N ANSWERNAME, –AnswerName=ANSWERNAME	指定LLMNR欺骗器在其Answer部分返回的规范名称。默认情况下，答案的规范名称与查询相同。更改此值主要在尝试通过HTTP执行Kerberos中继时有用
-E, –ErrorCode	将SMB服务器返回的错误代码更改为STATUS_LOGON_FAILURE。默认情况下，状态是STATUS_ACCESS_DENIED。更改此值允许从运行WebClient服务的受欺骗机器获取WebDAV认证