NetBIOS bermaksud Sistem Output Input Asas Rangkaian . Ini adalah protokol perisian yang memungkinkan aplikasi, PC, dan Desktop pada jaringan kawasan setempat (LAN) berkomunikasi dengan perkakasan rangkaian dan mengirimkan data ke seluruh rangkaian. Aplikasi perisian yang dijalankan di rangkaian NetBIOS mencari dan mengenal pasti satu sama lain melalui nama NetBIOS mereka. Nama NetBIOS panjangnya hingga 16 aksara dan biasanya, terpisah dari nama komputer. Dua aplikasi memulakan sesi NetBIOS ketika satu (klien) mengirimkan perintah untuk "memanggil" klien lain (pelayan) melalui TCP Port 139 .
Untuk apa Port 139 digunakan
NetBIOS di WAN anda atau melalui Internet, bagaimanapun, adalah risiko keselamatan yang sangat besar. Segala macam maklumat, seperti domain, kumpulan kerja dan nama sistem anda, serta maklumat akaun dapat diperoleh melalui NetBIOS. Oleh itu, adalah mustahak untuk mengekalkan NetBIOS anda di rangkaian pilihan dan memastikannya tidak pernah meninggalkan rangkaian anda.
Firewall, sebagai langkah keselamatan selalu menyekat port ini terlebih dahulu, jika anda membukanya. Port 139 digunakan untuk Perkongsian Fail dan Pencetak tetapi merupakan Port yang paling berbahaya di Internet. Ini berlaku kerana membiarkan cakera keras pengguna terdedah kepada penggodam.
Setelah penyerang telah meletakkan Port 139 yang aktif pada peranti, dia dapat menjalankan NBSTAT alat diagnostik untuk NetBIOS melalui TCP / IP, yang terutama dirancang untuk membantu menyelesaikan masalah penyelesaian nama NetBIOS. Ini menandakan langkah penting pertama serangan - Jejak Kaki .
Dengan menggunakan perintah NBSTAT, penyerang dapat memperoleh beberapa atau semua maklumat penting yang berkaitan dengan
- Senarai nama NetBIOS tempatan
- Nama komputer
- Senarai nama yang diselesaikan oleh WINS
- Alamat IP
- Kandungan jadual sesi dengan alamat IP destinasi
Dengan perincian di atas, penyerang mempunyai semua maklumat penting mengenai OS, perkhidmatan, dan aplikasi utama yang berjalan di sistem. Selain itu, dia juga mempunyai alamat IP persendirian yang cuba disembunyikan oleh jurutera keselamatan LAN / WAN dan keselamatan. Selain itu, ID Pengguna juga termasuk dalam senarai yang disediakan dengan menjalankan NBSTAT.
Ini memudahkan peretas mendapatkan akses jauh ke kandungan direktori atau pemacu cakera keras. Mereka kemudian, boleh memuat naik dan menjalankan program pilihan mereka secara senyap-senyap melalui beberapa alat perisian percuma tanpa diketahui oleh pemilik komputer.
Sekiranya anda menggunakan mesin multi-homed, nonaktifkan NetBIOS pada setiap kad rangkaian, atau Sambungan Dial-Up di bawah sifat TCP / IP, itu bukan sebahagian daripada rangkaian tempatan anda.
Baca : Cara mematikan NetBIOS melalui TCP / IP.
Apa itu SMB Port
Walaupun Port 139 dikenali secara teknikal sebagai 'NBT over IP', Port 445 adalah 'SMB over IP'. SMB bermaksud ' Blok Mesej Pelayan '. Blok Mesej Pelayan dalam bahasa moden juga dikenali sebagai Sistem Fail Internet Umum . Sistem ini berfungsi sebagai protokol rangkaian lapisan aplikasi yang terutama digunakan untuk menawarkan akses bersama ke fail, pencetak, port bersiri, dan jenis komunikasi lain antara node pada rangkaian.
Sebilangan besar penggunaan SMB melibatkan komputer yang menjalankan Microsoft Windows , di mana ia dikenali sebagai 'Microsoft Windows Network' sebelum pengenalan Active Directory berikutnya. Ia boleh berjalan di atas lapisan rangkaian Sesi (dan lebih rendah) dengan pelbagai cara.
Sebagai contoh, pada Windows, SMB dapat berjalan langsung melalui TCP / IP tanpa memerlukan NetBIOS melalui TCP / IP. Ini akan menggunakan, seperti yang anda nyatakan, port 445. Pada sistem lain, anda akan menemui perkhidmatan dan aplikasi menggunakan port 139. Ini bermaksud SMB berjalan dengan NetBIOS melalui TCP / IP .
Penggodam jahat mengakui, bahawa Port 445 terdedah dan mempunyai banyak rasa tidak selamat. Salah satu contoh penyalahgunaan Port 445 adalah penampilan cacing NetBIOS yang agak senyap . Cacing ini perlahan-lahan tetapi dengan cara yang jelas mengimbas Internet untuk contoh port 445, menggunakan alat seperti PsExec untuk memindahkan diri mereka ke komputer mangsa yang baru, kemudian menggandakan usaha pengimbasan mereka. Melalui kaedah yang tidak begitu terkenal ini, " Bot Armies " yang besar, yang mengandungi berpuluh-puluh ribu mesin NetBIOS yang dikompromikan oleh cacing, dipasang dan kini menghuni Internet.
Baca : Bagaimana untuk meneruskan Pelabuhan?
Bagaimana menangani Pelabuhan 445
Mengingat bahaya di atas, adalah kepentingan kami untuk tidak memaparkan Port 445 ke Internet tetapi seperti Windows Port 135, Port 445 sangat tertanam di Windows dan sukar ditutup dengan selamat. Yang mengatakan, penutupannya adalah mungkin, namun, perkhidmatan lain yang bergantung seperti DHCP (Dynamic Host Configuration Protocol) yang sering digunakan untuk mendapatkan alamat IP secara automatik dari pelayan DHCP yang digunakan oleh banyak syarikat dan ISP, akan berhenti berfungsi.
Mengingat semua alasan keselamatan yang dijelaskan di atas, banyak ISP merasa perlu menyekat Port ini bagi pihak penggunanya. Ini berlaku hanya apabila port 445 tidak dilindungi oleh router NAT atau firewall peribadi. Dalam keadaan seperti itu, ISP anda mungkin menghalang trafik port 445 sampai ke anda.