responder 这个工具首先是一个LLMNR和NBT-NS响应者，它将根据它们的名字后缀来回答特定的NBT-NS（NetBIOS名称服务）查询 。默认情况下，该工具只会回答针对SMB的文件服务器服务请求。这背后的概念是针对我们的答案，并在网络上隐身。这也有助于确保我们不会破坏合法的NBT-NS行为。如果您希望此工具回答工作站服务请求名称后缀，可以通过命令行将-r选项设置为1。

项目地址：https：//github.com/lgandx/Responder/responder

用法：

responder -I eth0 -w -r -f

或

responder -I eth0 -wrf

选项：

--version    显示程序的版本号并退出

-h，--help     显示此帮助信息并退出

-A， --analyze     分析模式。这个选项可以让你看到NBT-NS，BROWSER，LLMNR请求没有回应。

-I eth0，--interface = eth0     使用网络接口，可以使用'ALL'作为所有接口的通配符

-i 10.0.0.21，--ip = 10.0.0.21     使用本地IP（仅适用于OSX）

-e 10.0.0.22，--externalip = 10.0.0.22    毒药所有请求与另一个IP地址比回应者的一个。

-b，--basic     返回一个基本的HTTP认证。默认值：NTLM

-r，--wredir     启用netbios wredir后缀查询的答案。回答wredir可能会打破东西网络。默认：False

-d，--NBTNSdomain      为netbios域后缀查询启用答案。回答域名后缀可能会打破东西在网络上。默认：False

-f，--fingerprint     这个选项允许你指定一个主机发出NBT-NS或LLMNR查询。

-w，--wpad     启动WPAD流氓代理服务器。默认值是False

-U UPSTREAM_PROXY，--upstream-proxy = UPSTREAM_PROXY  恶意WPAD代理使用的上游HTTP代理传出请求（格式：主机：端口）

-F，--ForceWpadAuth在wpad.dat     文件上强制执行NTLM / Basic验证恢复。这可能会导致登录提示。默认：假

-P，--ProxyAuth强制NTLM（透明）/ Basic（提示）代理的身份验证。 WPAD不需要上。与此结合使用时，此选项非常有效-r。默认：False

- lm   强制LM哈希降级Windows XP / 2003和早。默认：False

-v，--verbose     增加详细程度。

示例：

1. 指定要重定向到（-i 192.168.1.202）的IP地址，启用WPAD流氓代理（-w On），netbios wredir（-r
   On）和fingerprinting（-f On）的答案：

  root@kali:~# responder -i 192.168.1.202 -w On -r On -f On

1. root@kali:~# responder -I eth0 -w -r -f

   responder -I eth0 -w -r -f

responder效果与评价：

由于此工具是一个LLMNR和NBT-NS响应者，它将根据它们的名字后缀来回答特定的NBT-NS（NetBIOS名称服务）查询 ，因此不像以前所遇到的其它工具，直接利用浏览器代理监控127.0.0.1:80/8080/1234那样去监控流量。