NetBIOS tähistab Võrgu põhiväljundsüsteem. See on tarkvaraprotokoll, mis võimaldab rakendustel, arvutites ja kohtvõrkides paiknevaid lauaarvutit kasutada võrguparameetritega ühendamiseks ja andmete edastamiseks kogu võrgu kaudu. NetBIOS-võrgu kaudu töötavad tarkvararakendused leiavad ja määravad oma NetBIOS-i nimede kaudu üksteist. NetBIOSi nimi on kuni 16 tähemärki pikk ja tavaliselt arvuti nimega eraldi. Kaks rakendust käivitavad NetBIOS-i seansi, kui üks (klient) saadab käsku teisele kliendile (serverile) helistada TCP port 139.
Mis on port 139 kasutusel
NetBIOS teie WAN-i või Internetis on aga tohutu julgeolekurisk. Igasugust teavet, näiteks teie domeeni, töörühma ja süsteeminimede ning konto teavet saate NetBIOS-i vahendusel. Niisiis on oluline säilitada oma NetBIOS eelistatud võrgul ja tagada, et see ei jäta kunagi oma võrku.
Tulemüürid, turvalisuse näitaja, blokeerivad selle porti alati, kui see on avatud. PORT 139 kasutatakse Failide ja printerite jagamine kuid juhtub olema üks kõige ohtlikumaid porti Internetis. See on nii, sest see jätab häkkerile avatud kasutaja kõvakettale.
Kui ründaja on seadmel aktiivse port 139 leidnud, saab ta käivitada NBSTAT NetBIOS-i diagnostiline tööriist TCP / IP-ga, mis on peamiselt mõeldud NetBIOSi nime lahendamise probleemide tõrkeotsinguks. See tähistab rünnaku olulist esimest sammu - Jalajälgimine.
NBSTAT käsku kasutades võib ründaja saada mõnda või kogu kriitilist teavet, mis on seotud
- Nimekiri kohalikest NetBIOS-i nimedest
- Arvuti nimi
- WINSi poolt lahendatud nimede loend
- IP-aadressid
- Seansi tabeli sisu koos sihtkoha IP-aadressidega
Eespool toodud üksikasjadel on ründajal kogu oluline teave operatsioonisüsteemide, teenuste ja suurte rakenduste kohta, mis töötavad süsteemis. Lisaks neile on ka privaatsed IP-aadressid, mida LAN / WAN ja turvainsenerid on püüdnud NAT-i taga varjata. Veelgi enam, kasutajatunnused kuuluvad ka NBSTAT-i käivitatavates loendites.
See võimaldab häkkeritel hõlpsa juurdepääsu kõvaketta kataloogide või draivide sisule. Seejärel saavad nad vaikimisi üles laadida ja käivitada mis tahes valitud programmid mõne vabavaratööriista abil, ilma et arvuti omanik oleks kunagi teadlik.
Kui kasutate mitmemõõtmelist masinat, keelake NetBIOS iga võrgukaardi või dial-up ühenduse TCP / IP-omaduste all, mis ei kuulu teie kohaliku võrgu hulka.
Mis on SMB port?
Kuigi Port 139 on tehniliselt tuntud kui "NBT üle IP", on port 445 "SMB üle IP". SMB tähistab ' Serveri teate plokid" Serveri teate plokk tänapäevases keeles on tuntud ka kui Üldine Interneti-failisüsteem. Süsteem toimib rakenduskihi võrguprotokollina, mida kasutatakse peamiselt jagatud juurdepääsu võimaldamiseks failidele, printeritele, jadapordidele ja muude võrgu sõlmede vahelisele sidele.
Enamik SMB-d kasutatakse arvutis töötavana Microsoft Windows, kus ta oli tuntud kui Microsoft Windowsi võrgustik enne Active Directory käivitamist. See võib toimuda Sessioni (ja madalama) võrgustiku kihtide ülaosas mitmel viisil.
Näiteks Windowsis võib SMB otse TCP / IP-i kaudu töötada ilma NetBIOS-i TCP / IP-i vajaduseta. Nagu märkisite, kasutab see porti 445. Teistes süsteemides leiate teenused ja rakendused, mis kasutavad porti 139. See tähendab, et SMB töötab NetBIOSiga TCP / IP-i kaudu.
Pahatahtlikud häkkerid tunnistavad, et Port 445 on haavatav ja tal on palju ebakindlust. Port 445 väärkasutuse ühe külmutamise näide on suhteliselt vaikne välimus NetBIOS ussid. Need ussid analüüsivad aeglaselt, kuid täpselt kindlaks Internetti port 445 puhul, kasutades selliseid tööriistu nagu PsExec ennast uude ohvriarvutisse üle kanda, siis kahekordistada nende skaneerimise jõupingutusi. See on läbi selle mitte tuntud meetodi, et massiline " Bot armee", Mis sisaldab kümneid tuhandeid NetBIOS-ussarvutiga seotud kompaktseid masinaid, on kokku pandud ja nüüd elavad Internetis.
Kuidas toimida Port 445-ga
Arvestades ülaltoodud ohtusid, on meie huvides mitte avada portaal 445 Internetile, vaid nagu Windows Port 135, Port 445 on põhjalikult Windowsi sisse lülitatud ja seda on raske turvaliselt sulgeda. Sellest hoolimata on selle sulgemine võimalik, kuid ka muid sõltuvaid teenuseid nagu DHCP (Dünaamiline serveri konfiguratsiooniprotokoll), mida sageli kasutatakse mitmete ettevõtete ja Interneti-teenuse pakkujate poolt kasutatavate DHCP-serverite IP-aadressi automaatseks hankimiseks, peatub.
Arvestades kõiki eespool kirjeldatud turvakaalutlusi, peavad paljud Interneti-teenuse pakkujad selle porti blokeerima oma kasutajate nimel. See juhtub alles siis, kui port 445 ei leita olevat NATi ruuteri või isikliku tulemüüri poolt kaitstud. Sellises olukorras võib teie Interneti-teenuse pakkuja tõenäoliselt välistada, et sadama 445 liiklus jõuab teid kätte.
