NetBIOS reiškia Tinklo pagrindinė įvesties išvesties sistema. Tai programinės įrangos protokolas, leidžiantis programoms, kompiuteriams ir staliniams kompiuteriams vietiniame tinkle (LAN) bendrauti su tinklo įranga ir perduoti duomenis tinkle. Programinės įrangos programos, kurios paleidžiamos "NetBIOS" tinkle, per savo NetBIOS pavadinimus nustato ir identifikuoja vienas kitą. NetBIOS vardas yra iki 16 simbolių ilgio ir dažniausiai atskirtas nuo kompiuterio pavadinimo. Du programos paleidžia "NetBIOS" sesiją, kai viena (klientas) siunčia komandą "paskambinti" kitam klientui (serveriui) per TCP port 139.
Kas naudojamas "Port 139"?
NetBIOS Tačiau jūsų WAN arba per internetą yra milžiniška saugumo rizika. Visą informaciją, pvz., Jūsų domeną, darbo grupę ir sistemos pavadinimus, taip pat informaciją apie paskyrą galima gauti naudojant "NetBIOS". Taigi, svarbu išlaikyti savo NetBIOS pageidaujamą tinklą ir užtikrinti, kad jis niekada nepaliks jūsų tinklo.
Užkardos, kaip saugos priemonė, visada blokuoja šį uostą, jei jį atidarote. Uostas 139 naudojamas Failų ir spausdintuvų bendrinimas bet atsitiks būti vieninteliu pavojingiausiu interneto prievadu. Taip yra todėl, kad iš kompiuterio, kuriame veikia įsilaužėliai, kietajame diske.
Kai priepuolis ant įrenginio turi aktyvų "Port 139", jis gali paleisti NBSTAT NetBIOS diagnostikos priemonė per TCP / IP, pirmiausia sukurta siekiant išspręsti NetBIOS vardų problemų sprendimo problemas. Tai žymi svarbų pirmąjį atakos etapą - Pėdsakai.
Naudojant komandą NBSTAT, užpuolikas gali gauti visą arba visą svarbią informaciją, susijusią su
- Vietinių NetBIOS pavadinimų sąrašas
- Kompiuterio vardas
- WINS sprendžiamų vardų sąrašas
- IP adresai
- Segmentų lentelės turinys su paskirties IP adresais
Naudodamasis pirmiau minėtomis detalėmis, užpuolikas turi visą svarbią informaciją apie sistemoje veikiančias OS, paslaugas ir pagrindines programas. Be to, jis taip pat turi privačius IP adresus, kuriuos LAN / WAN ir saugumo inžinieriai bandė sunkiai pasislėpti už NAT. Be to, vartotojo vardai taip pat yra įtraukti į sąrašus, pateiktus vykdant NBSTAT.
Tai palengvina įsilaužėlių nuotolinę prieigą prie kietųjų diskų katalogų ar diskų turinio. Tada jie gali tyliai įkelti ir paleisti bet kokias pasirinktas programas per kai kurias nemokamas programas, be to, kai kompiuterio savininkas niekada nesuvokia.
Jei naudojate daugialypį kompiuterį, išjunkite "NetBIOS" kiekvienoje tinklo plokštėje arba "Dial-Up Connection" pagal TCP / IP savybes, kuris nėra jūsų vietinio tinklo dalis.
Kas yra SMB uostas?
Nors "Port 139" techniškai žinomas kaip "NBT per IP", "Port 445" yra "SMB per IP". SMB reiškia ' Serverio pranešimų blokai" Serverio pranešimų blokas šiuolaikinėje kalboje taip pat žinomas kaip Bendra interneto failų sistema. Sistema veikia kaip taikymo sluoksnio tinklo protokolas, kuris visų pirma naudojamas bendrai prieiti prie failų, spausdintuvų, nuosekliųjų prievadų ir kitų rūšių ryšių tarp mazgų tinkle.
Dauguma SMB naudojimo apima kompiuterius, kuriuose veikia Microsoft Windows, kur jis buvo vadinamas "Microsoft Windows Network", prieš vėlesnį "Active Directory" įdiegimą. Jis gali veikti virš sesijos (ir žemesnio) tinklo sluoksnių keliais būdais.
Pavyzdžiui, "Windows" sistemoje SMB gali veikti tiesiogiai per TCP / IP be NetBIOS per TCP / IP. Kaip nurodysite, bus naudojamas 445 uostas. Kitose sistemose rasite paslaugas ir programas, naudojančias 139 prievadą. Tai reiškia, kad SMB veikia su NetBIOS per TCP / IP.
Piktybiniai įsilaužėliai pripažįsta, kad "Port 445" yra pažeidžiamas ir turi daug nesaugumo. Vienas atšalusio portalo 445 piktnaudžiavimo pavyzdys yra palyginti tylus išorės vaizdas NetBIOS kirminai. Šie kirminai lėtai, bet tiksliai nuskaito internetą 445 uosto atvejams, naudodami tokius įrankius kaip PsExec perkelti save į naują aukos kompiuterį, tada sustiprinti jų nuskaitymo pastangas. Būtent per šį ne taip gerai žinomą metodą, kad masyvi " Bot armijos", Kuriame yra dešimtys tūkstančių" NetBIOS "širdys pažeistų kompiuterių, yra surinkti ir dabar gyvena internete.
Kaip elgtis su "Port 445"
Atsižvelgiant į pirmiau minėtus pavojus, mūsų interesas yra neapsaugoti "Port 445" prie interneto, bet kaip ir "Windows Port 135", "Port 445" yra giliai įdėtas į "Windows" ir yra sunku saugiai uždaryti. Tuo tarpu jo uždarymas yra įmanomas, tačiau kitos priklausomos paslaugos, tokios kaip DHCP (Dinaminio pagrindinio kompiuterio konfigūracijos protokolas), kuris dažnai naudojamas automatiškai gauti IP adresą iš DHCP serverių, kuriuos naudoja daugelis korporacijų ir interneto paslaugų teikėjų, nustos veikti.
Atsižvelgiant į visas pirmiau aprašytas saugumo priežastis, daugelis interneto paslaugų teikėjų mano, kad jų naudotojų vardu reikia užblokuoti šį uostą. Tai atsitinka tik tuomet, kai nerandamas uostas 445 saugomas NAT maršrutizatoriaus ar asmeninės ugniasienės. Esant tokiai situacijai, jūsų interneto paslaugų teikėjas tikriausiai gali užkirsti kelią uosto 445 srautui pasiekti.
