NetBIOS стои Система за основна входна изходна мрежа, Това е софтуерен протокол, който позволява на приложения, персонални компютри и настолни компютри в локална мрежа (LAN) да комуникират с мрежов хардуер и да предават данни в мрежата. Софтуерните приложения, които се изпълняват в NetBIOS мрежа, се намират и се идентифицират взаимно чрез техните NetBIOS имена. Името на NetBIOS е с дължина до 16 знака и обикновено е отделно от името на компютъра. Две приложения стартират сесия NetBIOS, когато един (клиент) изпраща команда за "обаждане" на друг клиент (сървър) TCP порт 139.
За какво се използва портът 139
NetBIOS на Вашата WAN или чрез интернет, е огромен риск за сигурността. Всички видове информация, като вашия домейн, имена на работни групи и системи, както и информация за профила могат да бъдат получени чрез NetBIOS. Затова е важно да поддържате NetBIOS на предпочитана мрежа и да гарантирате, че никога няма да напусне мрежата ви.
Защитните стени, като мярка за сигурност, винаги блокират този порт, ако го отворите. Портът 139 се използва за Споделяне на файлове и принтери но се случва да бъде единственият най-опасен порт в Интернет. Това е така, защото то напуска твърдия диск на потребител, изложен на хакери.
След като нападателят намери активен порт 139 на устройство, той може да работи NBSTAT диагностичен инструмент за NetBIOS през TCP / IP, предназначен предимно за отстраняване на проблеми с разрешаването на имената на NetBIOS. Това е важна първа стъпка от атака - отпечатък.
С помощта на командата NBSTAT нападателят може да получи част или цялата критична информация, свързана с него
- Списък на локалните NetBIOS имена
- Име на компютъра
- Списък с имена, разрешени от WINS
- IP адреси
- Съдържание на таблицата на сесиите с целевите IP адреси
С горепосочените подробности, нападателят разполага с цялата важна информация за операционната система, услугите и основните приложения, които се изпълняват в системата. Освен това той има и частни IP адреси, които LAN / WAN и инженерите по сигурността се опитват трудно да се скрият зад NAT. Освен това идентификационните номера на потребителите също са включени в списъците, предоставени от управляващия NBSTAT.
Това улеснява хакерите да получат отдалечен достъп до съдържанието на директории или устройства на твърдия диск. След това те могат безмълвно да качват и да пускат програми по свой избор чрез някои безплатни инструменти, без изобщо да е знаел собственикът на компютъра.
Ако използвате мултифункционална машина, деактивирайте NetBIOS на всяка мрежова карта или Dial-Up Connection под TCP / IP свойствата, които не са част от вашата локална мрежа.
Какво представлява SMB порт
Докато порт 139 е технически известен като "NBT over IP", порт 445 е "SMB over IP". SMB означава " Блокиране на сървърни съобщения". Блок за съобщения на сървъра на съвременния език също е известен като Обща интернет файлова система, Системата работи като мрежов протокол на ниво приложение, който се използва главно за споделен достъп до файлове, принтери, серийни портове и други видове комуникации между възлите в мрежата.
Повечето ползвания на SMB включват компютрите, които се изпълняват Microsoft Windows, където е известно като "Microsoft Windows Network" преди последващото въвеждане на Active Directory. Той може да се движи в горната част на слоя на сесията (и по-ниската) мрежа по няколко начина.
Например в Windows SMB може да се изпълнява директно през TCP / IP, без да е необходимо NetBIOS през TCP / IP. Това ще се използва, както посочвате, порт 445. На други системи ще намерите услуги и приложения, използващи порт 139. Това означава, че SMB работи с NetBIOS през TCP / IP.
Злонамерените хакери признават, че Порт 445 е уязвим и има много несигурности. Един охлаждащ пример за злоупотреба с Port 445 е сравнително тихият външен вид NetBIOS червеи, Тези червеи бавно, но по добре определен начин сканират интернет за случаите на порт 445, използват инструменти като PsExec да се прехвърлят в новия компютър на жертвата, а след това да удвоят усилията си за сканиране. Чрез този не толкова известен метод, че масивните " Бот армиите", Съдържащи десетки хиляди машини NetBIOS компрометирани с червеи, се сглобяват и сега обитават интернет.
Как да се справя с Порт 445
Имайки предвид горните опасности, в наш интерес е да не излагаме Port 445 на интернет, но като Windows Port 135, Port 445 е дълбоко вграден в Windows и е трудно да се затвори безопасно. Това каза, затварянето му е възможно, обаче, други зависими услуги като DHCP (Протокол за конфигуриране на динамичен хост), който често се използва за автоматично получаване на IP адрес от DHCP сървърите, използвани от много корпорации и доставчици на интернет услуги, ще спре да функционира.
Имайки предвид всички причини за сигурността, описани по-горе, много ISP смятат, че е необходимо да блокират този порт от името на своите потребители. Това се случва само, когато порта 445 не е защитена от маршрутизатор NAT или персонална защитна стена. В такава ситуация вашият ISP може вероятно да попречи на трафика от пристанище 445 да ви достигне.
