NetBIOS viết tắt của Hệ thống đầu vào cơ bản mạng. Nó là giao thức phần mềm cho phép các ứng dụng, máy tính và máy tính để bàn trên mạng cục bộ (LAN) giao tiếp với phần cứng mạng và truyền dữ liệu qua mạng. Các ứng dụng phần mềm chạy trên mạng NetBIOS định vị và nhận diện lẫn nhau thông qua tên NetBIOS của chúng. Tên NetBIOS dài tối đa 16 ký tự và thường tách biệt với tên máy tính. Hai ứng dụng bắt đầu phiên NetBIOS khi một (máy khách) gửi một lệnh để “gọi” một máy khách khác (máy chủ) qua Cổng TCP 139.
Cổng 139 được sử dụng cho
NetBIOS trên mạng WAN hoặc qua Internet, tuy nhiên, là một nguy cơ bảo mật rất lớn. Tất cả các loại thông tin, chẳng hạn như tên miền, nhóm làm việc và tên hệ thống của bạn, cũng như thông tin tài khoản có thể thu được thông qua NetBIOS. Vì vậy, nó là điều cần thiết để duy trì NetBIOS của bạn trên mạng ưa thích và đảm bảo nó không bao giờ rời khỏi mạng của bạn.
Tường lửa, như một giải pháp bảo đảm an toàn luôn chặn cổng này thứ nhất, nếu bạn mở nó ra. Cổng 139 được sử dụng cho Chia sẻ tập tin và máy in nhưng lại là Cổng duy nhất nguy khốn nhất trên Internet. Điều này là như vậy chính do nó rời khỏi đĩa cứng của một người dùng tiếp xúc với tin tặc.
Khi kẻ tấn công đã định vị một cổng 139 hoạt động trên thiết bị, anh ta có thể chạy NBSTAT một công cụ chẩn đoán cho NetBIOS qua TCP / IP, được thiết kế chủ yếu để giúp gỡ rối các vấn đề về độ phân giải tên NetBIOS. Điều này đánh dấu bước quan trọng đầu tiên của cuộc tấn công – Dấu chân.
Sử dụng lệnh NBSTAT, kẻ tiến công hoàn toàn có thể lấy 1 số ít hoặc toàn bộ những thông tin quan trọng tương quan đến
- Danh sách tên NetBIOS cục bộ
- Tên máy tính
- Danh sách các tên được giải quyết bởi WINS
- Các địa chỉ IP
- Nội dung của bảng phiên với địa chỉ IP đích
Với những chi tiết cụ thể trên, người tiến công có toàn bộ những thông tin quan trọng về hệ điều hành quản lý, dịch vụ và những ứng dụng chính đang chạy trên mạng lưới hệ thống. Bên cạnh đó, ông cũng có địa chỉ IP riêng mà LAN / WAN và những kỹ sư bảo mật thông tin đã nỗ lực rất là để ẩn đằng sau NAT. Hơn nữa, User ID cũng được gồm có trong list được phân phối bằng cách chạy NBSTAT .
Điều này làm cho nó thuận tiện hơn cho tin tặc để truy vấn từ xa vào nội dung của những thư mục hoặc ổ đĩa cứng. Sau đó, họ hoàn toàn có thể tải lên và chạy bất kể chương trình nào mà họ chọn trải qua một số ít công cụ ứng dụng không tính tiền mà không cần chủ sở hữu máy tính biết đến. Nếu bạn đang sử dụng máy đa người, hãy tắt NetBIOS trên mọi thẻ mạng hoặc Kết nối quay số trong thuộc tính TCP / IP, đó không phải là một phần của mạng cục bộ của bạn.
Cổng SMB là gì
Trong khi Port 139 được biết về mặt kỹ thuật là ‘NBT over IP’, Cổng 445 là ‘SMB over IP’. SMB viết tắt của ‘Khối thông điệp máy chủ’. Chặn tin nhắn máy chủ bằng ngôn ngữ hiện đại còn được gọi là Hệ thống tệp Internet phổ biến. Hệ thống hoạt động như một giao thức mạng lớp ứng dụng chủ yếu được sử dụng để cung cấp quyền truy cập chia sẻ vào các tệp, máy in, cổng nối tiếp và các loại giao tiếp khác giữa các nút trên mạng.
Hầu hết việc sử dụng SMB liên quan đến máy tính đang chạy Microsoft Windows, nơi nó được gọi là ‘Microsoft Windows Network’ trước khi giới thiệu tiếp theo của Active Directory. Nó có thể chạy trên các lớp mạng Session (và thấp hơn) theo nhiều cách.
Ví dụ, trên Windows, SMB có thể chạy trực tiếp qua TCP / IP mà không cần NetBIOS qua TCP / IP. Điều này sẽ sử dụng, như bạn chỉ ra, cổng 445. Trên các hệ thống khác, bạn sẽ tìm thấy các dịch vụ và ứng dụng bằng cổng 139. Điều này có nghĩa là SMB đang chạy với NetBIOS qua TCP / IP.
Tin tặc ác ý thừa nhận, rằng Cổng 445 là dễ bị tổn thương và có nhiều bất an. Một ví dụ làm lạnh về sự lạm dụng Port 445 là sự xuất hiện tương đối im lặng của Sâu NetBIOS. Những sâu này chậm nhưng theo một cách được xác định rõ là quét Internet cho các cá thể của cổng 445, sử dụng các công cụ như PsExec để chuyển mình vào máy tính nạn nhân mới, sau đó tăng gấp đôi nỗ lực quét của họ. Đó là thông qua phương pháp này không được nhiều người biết đến,Bot Armies“, Chứa hàng chục nghìn máy tính bị nhiễm độc NetBIOS, được lắp ráp và hiện đang sống trên Internet.
Cách xử lý Cổng 445
Xem xét các nguy cơ trên, chúng tôi không muốn để lộ Cổng 445 với Internet nhưng giống như Cổng Windows 135, Cổng 445 được nhúng sâu trong Windows và khó đóng cửa an toàn. Điều đó nói rằng, việc đóng cửa của nó là có thể, tuy nhiên, các dịch vụ phụ thuộc khác như DHCP (Giao thức cấu hình máy chủ động) thường được sử dụng để tự động lấy địa chỉ IP từ các máy chủ DHCP được nhiều công ty và ISP sử dụng, sẽ ngừng hoạt động.
Xem xét toàn bộ những nguyên do bảo mật thông tin được miêu tả ở trên, nhiều ISP cảm thấy thiết yếu để chặn Cổng này thay mặt đại diện cho người dùng của họ. Điều này xảy ra chỉ khi cổng 445 không được bảo vệ bởi bộ định tuyến NAT hoặc tường lửa cá thể. Trong trường hợp như vậy, ISP của bạn hoàn toàn có thể ngăn ngừa lưu lượng truy vấn đến cổng 445 từ bạn .
Tweet
Share
Link
Plus
Send
Send
Pin
