(NetBIOS:Network Basic Input Output System)
NETBIOS協議是由IBM公司開發,主要用於數十臺計算機的小型局域網。該協議是一種在局域網上的程序可以使用的應用程序編程接口(API),爲程序提供了請求低級服務的統一的命令集,作用是爲了給局域網提供網絡以及其他特殊功能,系統可以利用WINS服務、廣播及Lmhost文件等多種模式將NetBIOS名解析爲相應IP地址,實現信息通訊,所以在局域網內部使用NetBIOS協議可以方便地實現消息通信及資源的共享。因爲它佔用系統資源少、傳輸效率高,所以幾乎所有的局域網都是在NetBIOS協議的基礎上工作的。
NetBIOS 支持兩種通信模式:會話(session)或數據報(datagram)。會話模式是指兩臺計算機爲“對話”建立一個連接,允許處理大量信息,並支持差錯監測和恢復功能。數據報模式面向“無連接”(信息獨立發送)操作,發送的信息較小,由應用程序提供差錯監測和恢復功能。此外數據報模式也支持將信息廣播到局域網中的每臺計算機上。
將 NetBIOS 名稱映射到 IP 地址上有三種方法:
1. IP 廣播 - 當目標地址不在本地 cache 上時,廣播一個 包含目標計算機 NetBIOS 名稱的數據包。目標計算機返回其 IP 地址。
2. lmhosts 文件 - 這是一個負責映射 IP 地址和 NetBIOS 計算機名稱的文件。
3. NBNS - NetBIOS 命名服務器負責 將 NetBIOS 名稱映射到 IP 地址上。該服務由 Linux 環境下的後臺程序(nmbd daemon)執行。
因NETBIOS給用戶帶來的潛在危害
利用NETBIOS漏洞端口進行攻擊
當NetBIOS運行時,你的後門打開了:因爲NetBIOS不光允許局域網內的用戶訪問你的硬盤資源,Internet上的黑客也能!
微軟的客戶機/服務器網絡系統都是基於NetBIOS的。在利用Windows NT4.0 構建的網絡系統中,對每一臺主機的唯一標識信息是它的NetBIOS名。系統可以利用WINS服務、廣播及Lmhost文件等多種模式通過139端口將NetBIOS名解析爲相應IP地址,從而實現信息通訊。在這樣的網絡系統內部,利用NetBIOS名實現信息通訊是非常方便、快捷的。但是在Internet上,它就和一個後門程序差不多了。因此,我們很有必要堵上這個可怕的漏洞。
——利用NetBIOS漏洞攻擊
1.利用軟件查找共享資源
利用NetBrute Scanner 軟件掃描一段IP地址(如10.0.13.1~10.0.13.254)內的共享資源,就會掃描出默認共享2. 用PQwak破解共享密碼
雙擊掃描到的共享文件夾,如果沒有密碼,便可直接打開。當然也可以在IE的地址欄直接輸入掃描到的帶上共享文件夾的IP地址,如“\\10.0.13.191”(或帶C$,D$等查看默認共享)。如果設有共享密碼,會要求輸入共享用戶名和密碼,這時可利用破解網絡鄰居密碼的工具軟件,如PQwak,破解後即可進入相應文件夾。——關閉NetBIOS漏洞
如前所述,在安裝TCP/IP協議時,NetBIOS被毫無必要地(對於我們這些一般用戶而言)一起裝上了(或者說NetBIOS被捆綁在TCP/IP上)。我們要做的就是將NetBIOS從TCP/IP上解下來!
1. 解開文件和打印機共享綁定
鼠標右擊桌面上[網絡鄰居]→[屬性] →[本地連接] →[屬性],去掉“Microsoft網絡的文件和打印機共享”前面的勾,解開文件和打印機共享綁定。這樣就會禁止所有從139和445端口來的請求,別人也就看不到本機的共享了。2. 利用TCP/IP篩選
鼠標右擊桌面上[網絡鄰居] →[屬性]→[本地連接] →[屬性],打開“本地連接屬性”對話框。選擇[Internet協議(TCP/IP)]→[屬性]→[高級]→[選項], 在列表中單擊選中“TCP/IP篩選”選項。單擊[屬性]按鈕,選擇“只允許”,再單擊[添加]按鈕(如圖2),填入除了139和445之外要用到的端口。這樣別人使用掃描器對139和445兩個端口進行掃描時,將不會有任何迴應。3. 使用IPSec安全策略
3. 使用IPSec安全策略阻止對端口139和445的訪問 選擇[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略,在本地機器],在這裏定義一條阻止任何IP地址從TCP139和TCP445端口訪問IP地址的IPSec安全策略規則,這樣別人使用掃描器掃描時,本機的139和445兩個端口也不會給予任何迴應。4. 停止Server服務
選擇[我的電腦]→[控制面板]→[管理工具]→[服務],進入服務管理器,關閉Server服務。這樣雖然不會關閉端口,但可以中止本機對其他機器的服務,當然也就中止了對其他機器的共享。但是關閉了該服務會導致很多相關的服務無法啓動,如機器中如果有IIS服務,則不能採用這種方法。5. 使用防火牆防範攻擊
在防火牆中也可以設置阻止其他機器使用本機共享。如在“天網個人防火牆”中,選擇一條空規則,設置數據包方向爲“接收”,對方IP地址選“任何地址”,協議設定爲“TCP”,本地端口設置爲“139到139”,對方端口設置爲“0到0”,設置標誌位爲“SYN”,動作設置爲“攔截”,最後單擊[確定]按鈕,並在“自定義IP規則”列表中勾選此規則即可啓動攔截139端口攻擊了。非局域網用戶如何防範NETBIOS漏洞攻擊
在windows9x下如果你是個撥號用戶。完全不需要登陸到nt局域網絡環境的話。只需要在控制面板→網絡→刪除microsoft網絡用戶,使用microsoft友好登陸就可以了。但是如果你需要登陸到nt網絡的話。那這一項就不能去處。因爲nt網裏需要使用netbios。
在windowsNT下你可以取消netbios與TCP/IP協議的綁定。控制面板→網絡→Netbios接口→WINS客戶(tcp/ip)→禁用。確定。重啓。這樣nt的計算機名和工作組名也隱藏了,不過會造成基於netbios的一些命令無法使用。如net等。
在windowsNT下你可以選中網絡鄰居→右鍵→本地連接→INTERNET協議(TCP/IP)→屬性→高級→選項→TCP/IP篩選→在“只允許”中填入除了137,138,139只外的端口。如果你在局域網中,會影響局域網的使用
在windowsXP下你可以在控制面板上點擊管理工具-本地安全策略,右擊"IP安全策略,在本地計算機"選擇"管理IP篩選器表和篩選器操作",點添加,在對話框裏填,隨便寫.只要你記得住.最好還是寫"禁用135/139端口"比較看的懂.點右邊的添加->下一步->源地址爲"任何地址"->目的地址"我的地址"->協儀爲TCP->在到此端口裏填135或139就可以.
還有一個辦法就是TCP/IP協儀裏禁用NETBIOS.