Mi az SMB port? Mire használják a 445. és a 139. portot?

A NetBIOS a Network Basic Input Output System rövidítést jelenti . Ez egy szoftverprotokoll, amely lehetővé teszi a helyi hálózaton (LAN) lévő alkalmazások, PC-k és asztali számítógépek számára, hogy kommunikáljanak a hálózati hardverrel és adatokat továbbítsanak a hálózaton keresztül. A NetBIOS hálózaton futó szoftveralkalmazások a NetBIOS nevükön keresztül keresik és azonosítják egymást. A NetBIOS név legfeljebb 16 karakter hosszú lehet, és általában elkülönül a számítógép nevétől. Két alkalmazás indít egy NetBIOS munkamenetet, amikor az egyik (az ügyfél) parancsot küld egy másik ügyfél (a szerver) „hívására” a 139. TCP porton keresztül .

SMB 445 139. port

Mire használható a 139-es port

A WAN-on vagy az interneten keresztüli NetBIOS azonban óriási biztonsági kockázatot jelent. Mindenféle információ, például a tartomány, a munkacsoport és a rendszer nevei, valamint a fiókadatok beszerezhetők a NetBIOS-on keresztül. Tehát elengedhetetlen a NetBIOS fenntartása az előnyben részesített hálózaton és annak biztosítása, hogy soha ne hagyja el a hálózatát.

A tűzfalak a biztonság mércéjeként mindig ezt a portot blokkolják, ha nyitva vannak. A 139-es portot fájlok és nyomtatók megosztására használják, de véletlenül ez az egyetlen legveszélyesebb port az interneten. Ez azért van így, mert a felhasználó merevlemezét hackerek teszik ki.

Miután a támadó megtalálta az aktív 139-es portot egy eszközön, futtathatja az NBSTAT diagnosztikai eszközt a NetBIOS számára a TCP / IP-n keresztül, elsősorban a NetBIOS névfeloldási problémák elhárításához. Ez a támadás fontos első lépését jelenti - lábnyom .

Az NBSTAT parancs használatával a támadó megszerezheti a kritikus információk egy részét vagy egészét

  1. A helyi NetBIOS nevek listája
  2. Számítógép név
  3. A WINS által megoldott nevek listája
  4. IP-címek
  5. A munkamenet-tábla tartalma a cél IP-címekkel

A fenti részletek birtokában a támadó minden fontos információval rendelkezik a rendszeren futó operációs rendszerről, szolgáltatásokról és főbb alkalmazásokról. Ezek mellett saját IP-címei is vannak, amelyeket a LAN / WAN és a biztonsági mérnökök keményen megpróbáltak elrejteni a NAT mögé. Ezenkívül a felhasználói azonosítók is szerepelnek az NBSTAT futtatásával kapott listákban.

Ez megkönnyíti a hackerek számára a távoli hozzáférést a merevlemez könyvtárak vagy meghajtók tartalmához. Ezután némán feltölthetik és futtathatják az általuk választott programokat néhány freeware eszközön keresztül, anélkül, hogy a számítógép tulajdonosának tudomása lenne róla.

Ha több hálózatos gépet használ, tiltsa le a NetBIOS-t minden hálózati kártyán, vagy a TCP / IP tulajdonságok alatt a Telefonos kapcsolatot, amely nem része a helyi hálózatnak.

Olvassa el : Hogyan lehet letiltani a NetBIOS-ot TCP / IP-n keresztül.

Mi az SMB port

Míg a 139-es port technikailag „NBT over IP” néven ismert, addig a 445-ös port „SMB over IP”. Az SMB jelentése „ Server Message Blocks ”. A modern nyelvű szerverüzenet-blokk Common Internet File System néven is ismert . A rendszer alkalmazásrétegű hálózati protokollként működik, amelyet elsősorban a fájlokhoz, nyomtatókhoz, soros portokhoz és más típusú kommunikációhoz kínálnak a hálózat csomópontjai között.

Az SMB legtöbb használata a Microsoft Windows rendszert futtató számítógépekre vonatkozik , ahol az Active Directory későbbi bevezetése előtt „Microsoft Windows Network” néven ismerték. A Session (és az alsó) hálózati rétegek tetején többféle módon is futhat.

Például Windows rendszeren az SMB közvetlenül futtatható TCP / IP-n keresztül, anélkül, hogy NetBIOS-t kellene használni TCP / IP-n keresztül. Ez, amint rámutat, a 445. portot fogja használni. Más rendszereken a 139. portot használó szolgáltatásokat és alkalmazásokat talál. Ez azt jelenti, hogy az SMB a NetBIOS-szal fut TCP / IP-n keresztül .

A rosszindulatú hackerek elismerik, hogy a 445-ös port sérülékeny és sok bizonytalansággal küzd. A 445-ös porttal való visszaélések egyik hűtő példája a NetBIOS férgek viszonylag csendes megjelenése . Ezek a férgek lassan, de jól definiált módon keresik az internetet a 445-ös port példányai után, olyan eszközökkel használják a PsExec-et, hogy átvigyék magukat az új áldozati számítógépre, majd megkettőzzék a beolvasási erőfeszítéseiket. Ezzel a nem túl ismert módszerrel gyűlnek össze a tömeges „ bot-hadseregek ”, amelyek több tízezer NetBIOS féreg által veszélyeztetett gépet tartalmaznak, és most az internetet használják.

Olvassa el : Hogyan továbbítsuk a portokat?

Hogyan kell kezelni a 445-ös portot

Figyelembe véve a fenti veszélyeket, érdekünk, hogy ne tegyük ki a 445-ös portot az internetnek, de a Windows 135-ös porthoz hasonlóan a 445-ös port is mélyen be van ágyazva a Windows-ba, és nehéz biztonságosan bezárni. Ennek ellenére a bezárása lehetséges, azonban más függő szolgáltatások, például a DHCP (Dynamic Host Configuration Protocol), amelyet gyakran használnak arra, hogy automatikusan IP-címet szerezzenek a sok vállalat és internetszolgáltató által használt DHCP-kiszolgálóktól, leállnak.

Figyelembe véve a fent leírt összes biztonsági okot, sok internetszolgáltató szükségesnek érzi, hogy a felhasználók nevében blokkolja ezt a portot. Ez csak akkor történik, ha a 445-ös portot nem találja védettnek a NAT útválasztó vagy a személyes tűzfal. Ilyen helyzetben az internetszolgáltató valószínűleg megakadályozhatja a 445-ös port forgalmának elérését.

SMB 445 139. port