-
NETBIOS
鎖定
NETBIOS歷史
IBM在局域網中,為他們的大型主機開發了IBM系統網絡架構(SNA)。但這套系統過於複雜,不適用於個人計算機,IBM僱用了Sytek Inc,為他們開發新的IBM PC Network,以適用於個人計算機組成的局域網。
1985年,IBM開發令牌環(token ring)網絡,為了讓舊有使用NetBIOS API的軟件能在新的網絡架構上運作,創建了NetBIOS模擬器,這個模擬器被稱為NetBIOS延伸用户界面(NetBIOS Extended User Interface, NetBEUI),擴展了原有的 NetBIOS API。同時,也制定了NetBIOS Frames協議,讓NetBEUI能夠在token ring網絡上提供服務,特別是在IEEE 802.2LLC層。
1987年,出現將NetBIOS封裝為TCP與UDP數據包的技術,IETF隨後發佈RFC 1001與RFC 1002,將它制定為標準,這套標準被稱為NetBIOS over TCP/IP,簡稱為NBT。在PS/2計算機上市之後,IBM發佈了PC LAN支持程序,在其中包括了NetBIOS驅動程序。
NETBIOS簡介
NetBIOS 定義了一種軟件接口以及在應用程序和連接介質之間提供通信接口的標準方法。NetBIOS 是一種會話層協議,應用於各種 LAN (Ethernet、Token Ring 等)和 WAN 環境,諸如 TCP/IP、PPP 和 X.25 網絡。
NetBIOS 使得應用程序無需瞭解包括差錯恢復(會話模式)在內的網絡細節。NetBIOS 請求以網絡控制塊(NCB:Network Control Block)的形式提供,NCB 中包含了信息存放位置和目標名稱等信息。
NetBIOS 提供開放系統互聯(OSI)模型中的會話層和傳輸層服務,但不支持標準幀或數據格式的傳輸。NetBIOS 擴展用户接口(NetBEUI)支持標準幀格式,它為 NetBIOS 提供網絡層和傳輸層服務支持。
NetBIOS 支持兩種通信模式:會話(session)或數據報(datagram)。會話模式是指兩台計算機為“對話”建立一個連接,允許處理大量信息,並支持差錯監測和恢復功能。數據報模式面向“無連接”(信息獨立發送)操作,發送的信息較小,由應用程序提供差錯監測和恢復功能。此外數據報模式也支持將信息廣播到局域網中的每台計算機上。
- IP 廣播 - 當目標地址不在本地 cache 上時,廣播一個 包含目標計算機 NetBIOS 名稱的數據包。目標計算機返回其 IP 地址。
- lmhosts 文件 - 這是一個負責映射 IP 地址和 NetBIOS 計算機名稱的文件。
- NBNS - NetBIOS 命名服務器負責將 NetBIOS 名稱映射到 IP 地址上。該服務由 Linux 環境下的後台程序(nmbd daemon)執行。
NETBIOS內容
- 名稱服務,包括名稱登錄與名稱解析
- 數據報文服務
- 會話服務
NETBIOS潛在危害
當安裝TCP/IP協議時,NetBIOS 也被Windows作為默認設置載入,我們的計算機也具有了NetBIOS本身的開放性。某些別有用心的人就利用這個功能來攻擊服務器,使管理員不能放心使用文件和打印機共享。
NETBIOS漏洞攻擊
1.利用軟件查找共享資源
2. 用PQwak破解共享密碼
雙擊掃描到的共享文件夾,如果沒有密碼,便可直接打開。當然也可以在IE的地址欄直接輸入掃描到的帶上共享文件夾的IP地址,如“\\10.0.13.191”(或帶C$,D$等查看默認共享)。如果設有共享密碼,會要求輸入共享用户名和密碼,這時可利用破解網絡鄰居密碼的工具軟件,如PQwak,破解後即可進入相應文件夾。
NETBIOS關閉漏洞
1. 解開文件和打印機共享綁定
鼠標右擊桌面上[網絡鄰居]→[屬性] →[本地連接] →[屬性],去掉“Microsoft網絡的文件和打印機共享”前面的勾,解開文件和打印機共享綁定。這樣就會禁止所有從139和445端口來的請求,別人也就看不到本機的共享了。
2. 利用TCP/IP篩選
鼠標右擊桌面上[網絡鄰居] →[屬性]→[本地連接] →[屬性],打開“本地連接屬性”對話框。選擇[Internet協議(TCP/IP)]→[屬性]→[高級]→[選項], 在列表中單擊選中“TCP/IP篩選”選項。單擊[屬性]按鈕,選擇“只允許”,再單擊[添加]按鈕,填入除了139和445之外要用到的端口。這樣別人使用掃描器對139和445兩個端口進行掃描時,將不會有任何迴應。
3. 使用IPSec安全策略
選擇[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略,在本地機器],在這裏定義一條阻止任何IP地址從TCP139和TCP445端口訪問IP地址的IPSec安全策略規則,這樣別人使用掃描器掃描時,本機的139和445兩個端口也不會給予任何迴應。
4. 停止Server服務
選擇[我的電腦]→[控制面板]→[管理工具]→[服務],進入服務管理器,關閉Server服務。這樣雖然不會關閉端口,但可以中止本機對其他機器的服務,當然也就中止了對其他機器的共享。但是關閉了該服務會導致很多相關的服務無法啓動,如機器中如果有IIS服務,則不能採用這種方法。
5. 使用防火牆防範攻擊
在防火牆中也可以設置阻止其他機器使用本機共享。如在“天網個人防火牆”中,選擇一條空規則,設置數據包方向為“接收”,對方IP地址選“任何地址”,協議設定為“TCP”,本地端口設置為“139到139”,對方端口設置為“0到0”,設置標誌位為“SYN”,動作設置為“攔截”,最後單擊[確定]按鈕,並在“自定義IP規則”列表中勾選此規則即可啓動攔截139端口攻擊了。
NETBIOS防範方法
在windows9x下如果你是個撥號用户。完全不需要登陸到nt局域網絡環境的話。只需要在控制面板→網絡→刪除microsoft網絡用户,使用microsoft友好登陸就可以了。但是如果你需要登陸到nt網絡的話。那這一項就不能去處。因為nt網裏需要使用netbios。
在windowsNT下你可以取消netbios與TCP/IP協議的綁定。控制面板→網絡→Netbios接口→WINS客户(tcp/ip)→禁用。確定。重啓。這樣nt的計算機名和工作組名也隱藏了,不過會造成基於netbios的一些命令無法使用。如net等。
在windowsNT下你可以選中網絡鄰居→右鍵→本地連接→INTERNET協議(TCP/IP)→屬性→高級→選項→TCP/IP篩選→在“只允許”中填入除了137,138,139之外的端口。如果你在局域網中,會影響局域網的使用
在windowsXP下你可以在控制面板上點擊管理工具-本地安全策略,右擊"IP安全策略,在本地計算機"選擇"管理IP篩選器表和篩選器操作",點添加,在對話框裏填,隨便寫.只要你記得住.最好還是寫"禁用135/139端口"比較看的懂.點右邊的添加->下一步->源地址為"任何地址"->目的地址"我的地址"->協儀為TCP->在到此端口裏填135或139就可以.
還有一個辦法就是TCP/IP協議裏禁用NETBIOS。
