Какво е SMB порт? За какво се използват Port 445 и Port 139?

NetBIOS е съкращение от Network Basic Input Output System . Това е софтуерен протокол, който позволява на приложения, компютри и настолни компютри в локална мрежа (LAN) да комуникират с мрежовия хардуер и да предават данни през мрежата. Софтуерните приложения, които се изпълняват в мрежа на NetBIOS, се намират и идентифицират помежду си чрез техните NetBIOS имена. Името на NetBIOS е с дължина до 16 знака и обикновено е отделно от името на компютъра. Две приложения стартират NetBIOS сесия, когато едно (клиентът) изпраща команда за „повикване“ на друг клиент (сървъра) през TCP порт 139 .

SMB порт 445 139

За какво се използва Порт 139

NetBIOS на вашия WAN или през Интернет обаче е огромен риск за сигурността. Всякаква информация, като имена на вашия домейн, работна група и система, както и информация за акаунта могат да бъдат получени чрез NetBIOS. Така че е от съществено значение да поддържате вашия NetBIOS в предпочитана мрежа и да гарантирате, че той никога няма да напусне вашата мрежа.

Защитните стени, като мярка за безопасност, винаги първо блокират този порт, ако сте го отворили. Портът 139 се използва за споделяне на файлове и принтери, но се оказва единственият най-опасен порт в Интернет. Това е така, защото оставя твърдия диск на потребител изложен на хакери.

След като атакуващият намери активен порт 139 на устройство, той може да стартира NBSTAT диагностичен инструмент за NetBIOS през TCP / IP, предназначен основно за отстраняване на проблеми с разрешаването на имената на NetBIOS. Това бележи важна първа стъпка от атака - отпечатък .

Използвайки командата NBSTAT, нападателят може да получи част или цялата критична информация, свързана с

  1. Списък на локалните имена на NetBIOS
  2. Име на компютъра
  3. Списък с имена, разрешени от WINS
  4. IP адреси
  5. Съдържание на таблицата на сесиите с IP адресите на местоназначението

С горните подробности под ръка, нападателят разполага с цялата важна информация за операционната система, услугите и основните приложения, работещи в системата. Освен тях той има и частни IP адреси, които LAN / WAN и инженерите по сигурността са се опитали да скрият зад NAT. Освен това потребителските идентификатори също са включени в списъците, предоставени при стартиране на NBSTAT.

Това улеснява хакерите да получат отдалечен достъп до съдържанието на директориите или устройствата на твърдия диск. След това те могат да качват безшумно и да изпълняват всякакви програми по свой избор чрез някои безплатни инструменти, без собственикът на компютъра да е наясно.

Ако използвате многодомашна машина, деактивирайте NetBIOS на всяка мрежова карта или Dial-Up връзка под свойствата TCP / IP, която не е част от вашата локална мрежа.

Прочетете : Как да деактивирам NetBIOS през TCP / IP.

Какво е SMB порт

Докато Порт 139 е известен технически като „NBT през IP“, Порт 445 е „SMB през IP“. SMB означава „ Блокове за сървърни съобщения “. Блокът за съобщения на сървъра на съвременен език е известен още като Common Internet File System . Системата работи като мрежов протокол на приложен слой, предимно използван за предлагане на споделен достъп до файлове, принтери, серийни портове и други видове комуникации между възлите в мрежата.

По-голямата част от използването на SMB включва компютри, работещи под Microsoft Windows , където преди последващото въвеждане на Active Directory той е бил известен като „Microsoft Windows Network“. Той може да работи върху мрежовите слоеве Session (и по-ниски) по множество начини.

Например в Windows SMB може да работи директно през TCP / IP, без да е необходим NetBIOS през TCP / IP. Това ще използва, както посочвате, порт 445. На други системи ще намерите услуги и приложения, използващи порт 139. Това означава, че SMB работи с NetBIOS през TCP / IP .

Злонамерените хакери признават, че Port 445 е уязвим и има много несигурности. Един смразяващ пример за злоупотреба с Port 445 е относително безшумният външен вид на червеите NetBIOS . Тези червеи бавно, но по добре дефиниран начин сканират интернет за екземпляри от порт 445, използват инструменти като PsExec, за да се прехвърлят в новия компютър на жертвата, след което удвояват усилията си за сканиране. Чрез този не много известен метод се сглобяват масивни „ бот армии “, съдържащи десетки хиляди компрометирани от червеи машини на NetBIOS, които сега обитават интернет.

Прочетете : Как да препращате портове?

Как да се справим с порт 445

Имайки предвид горните опасности, в наш интерес е да не излагаме Port 445 на Интернет, но подобно на Windows Port 135, Port 445 е дълбоко вграден в Windows и е трудно да се затвори безопасно. Въпреки това, затварянето му е възможно, но други зависими услуги като DHCP (Dynamic Host Configuration Protocol), който често се използва за автоматично получаване на IP адрес от DHCP сървърите, използвани от много корпорации и доставчици на интернет услуги, ще спрат да функционират.

Имайки предвид всички причини за сигурност, описани по-горе, много доставчици на интернет услуги смятат за необходимо да блокират този порт от името на своите потребители. Това се случва само когато не се установи, че порт 445 е защитен от NAT рутер или лична защитна стена. В такава ситуация вашият интернет доставчик вероятно може да попречи на трафика на порт 445 да достигне до вас.

SMB порт 445 139