Mikä on SMB-portti? Mihin portteja 445 ja 139 käytetään?

NetBIOS on lyhenne sanoista Network Basic Input Output System . Se on ohjelmistoprotokolla, jonka avulla lähiverkon (LAN) sovellukset, tietokoneet ja työpöydät voivat kommunikoida verkkolaitteiden kanssa ja siirtää tietoja verkon kautta. NetBIOS-verkossa toimivat ohjelmistosovellukset etsivät ja tunnistavat toisensa NetBIOS-nimensä kautta. NetBIOS-nimi on enintään 16 merkkiä pitkä ja yleensä erillään tietokoneen nimestä. Kaksi sovellusta aloittaa NetBIOS-istunnon, kun yksi (asiakas) lähettää komennon "soittaa" toiselle asiakkaalle (palvelimelle) TCP-portin 139 kautta .

SMB-portti 445139

Mihin porttia 139 käytetään

NetBIOS WAN-verkossa tai Internetissä on kuitenkin valtava turvallisuusriski. NetBIOS: n kautta voi saada kaikenlaisia ​​tietoja, kuten toimialueesi, työryhmäsi ja järjestelmänimesi sekä tilitietoja. Joten on välttämätöntä ylläpitää NetBIOS-verkkoasi ensisijaisessa verkossa ja varmistaa, että se ei koskaan poistu verkostasi.

Palomuurit estävät turvallisuussyistä aina tämän portin ensin, jos se on avattu. Porttia 139 käytetään tiedostojen ja tulostimien jakamiseen, mutta se sattuu olemaan vaarallisin yksittäinen portti Internetissä. Tämä johtuu siitä, että se jättää käyttäjän kiintolevyn alttiiksi hakkereille.

Kun hyökkääjä on löytänyt aktiivisen portin 139 laitteesta, hän voi suorittaa NBSTAT- diagnostiikkatyökalun NetBIOS: lle TCP / IP: n kautta, joka on ensisijaisesti suunniteltu auttamaan NetBIOS-nimien tarkistusongelmien vianmäärityksessä. Tämä on tärkeä ensimmäinen askel hyökkäyksessä - jalanjälki .

NBSTAT-komennon avulla hyökkääjä voi saada osan tai kaikki tärkeistä tiedoista

  1. Luettelo paikallisista NetBIOS-nimistä
  2. Tietokoneen nimi
  3. Luettelo WINSin ratkaisemista nimistä
  4. IP-osoitteet
  5. Istuntotaulukon sisältö ja kohde-IP-osoitteet

Yllä olevien tietojen ollessa käsillä hyökkääjällä on kaikki tärkeät tiedot järjestelmän käyttöjärjestelmästä, palveluista ja tärkeimmistä sovelluksista. Näiden lisäksi hänellä on myös yksityisiä IP-osoitteita, joita LAN / WAN ja turvallisuusinsinöörit ovat yrittäneet piilottaa NAT: n taakse. Lisäksi käyttäjätunnukset sisältyvät myös NBSTAT: n suorittamisen tarjoamiin luetteloihin.

Tämä helpottaa hakkereiden pääsyä etäkäyttöön kiintolevyjen hakemistojen tai asemien sisältöön. Sitten he voivat hiljaa ladata ja käyttää valitsemiaan ohjelmia joidenkin ilmaisohjelmien avulla ilman, että tietokoneen omistaja on koskaan tietoinen siitä.

Jos käytät monikoneista laitetta, poista NetBIOS käytöstä jokaisessa verkkokortissa tai puhelinverkkoyhteys TCP / IP-ominaisuuksien alla, joka ei ole osa paikallista verkkoasi.

Lue : NetBIOSin poistaminen käytöstä TCP / IP: n kautta.

Mikä on SMB-portti

Vaikka portti 139 tunnetaan teknisesti nimellä 'NBT over IP', portti 445 on 'SMB over IP'. SMB on lyhenne sanoista ' Server Message Blocks '. Palvelinviestilohko nykyaikaisella kielellä tunnetaan myös nimellä Common Internet File System . Järjestelmä toimii sovelluskerroksen verkkoprotokollana, jota käytetään ensisijaisesti jakamaan pääsy tiedostoihin, tulostimiin, sarjaportteihin ja muuntyyppiseen viestintään verkon solmujen välillä.

Suurin osa SMB: n käytöstä liittyy tietokoneisiin, joissa on Microsoft Windows , jossa se tunnettiin nimellä Microsoft Windows Network ennen Active Directoryn myöhempää käyttöönottoa. Se voi toimia istunnon (ja alemman) verkkokerrosten päällä useilla tavoilla.

Esimerkiksi Windowsissa SMB voi ajaa suoraan TCP / IP: n kautta tarvitsematta NetBIOSia TCP / IP: n kautta. Tämä käyttää, kuten huomautat, porttia 445. Muista järjestelmistä löydät palveluja ja sovelluksia, jotka käyttävät porttia 139. Tämä tarkoittaa, että SMB toimii NetBIOS: n kanssa TCP / IP: n kautta .

Haitalliset hakkerit myöntävät, että portti 445 on haavoittuva ja siinä on paljon epävarmuutta. Yksi viileä esimerkki Port 445: n väärinkäytöstä on NetBIOS-matojen suhteellisen hiljainen ulkonäkö . Nämä madot etsivät hitaasti, mutta hyvin määritellyllä tavalla Internetistä portin 445 esiintymiä , siirtävät PsExecin kaltaisia ​​työkaluja itsensä uuteen uhritietokoneeseen ja kaksinkertaistavat sitten skannaustoimintansa. Tämän ei-kovin tunnetun menetelmän avulla kootaan massiiviset " Bot-armeijat ", jotka sisältävät kymmeniä tuhansia NetBIOS-mato-koneita, ja jotka nyt asuvat Internetissä.

Lue : Kuinka portit välitetään edelleen?

Kuinka käsitellä porttia 445

Edellä mainitut vaarat huomioon ottaen on meidän edun mukaista olla altistamatta porttia 445 Internetille, mutta kuten Windows-portti 135, portti 445 on upotettu syvälle Windowsiin ja sitä on vaikea sulkea turvallisesti. Siitä huolimatta sen sulkeminen on mahdollista, mutta muut riippuvat palvelut, kuten DHCP (Dynamic Host Configuration Protocol), jota käytetään usein IP-osoitteen hankkimiseen automaattisesti useiden yritysten ja Internet-palveluntarjoajien käyttämistä DHCP-palvelimista, lakkaavat toimimasta.

Kun otetaan huomioon kaikki yllä kuvatut turvallisuussyyt, monet Internet-palveluntarjoajat pitävät tarpeellisena estää tämä portti käyttäjien puolesta. Tämä tapahtuu vain silloin, kun porttia 445 ei havaita suojaavan NAT-reititin tai henkilökohtainen palomuuri. Tällaisessa tilanteessa Internet-palveluntarjoajasi saattaa estää portin 445 liikennettä tavoittamasta sinua.

SMB-portti 445139