通過139端口入侵是網絡攻擊中常見的一種攻擊手段,一般情況下139端口開啓是由於NetBIOS網絡協議的使用。NetBIOS即網絡基本輸入輸出系統,系統可以利用WINS服務、廣播及Lmhost文件等多種模式將NetBIOS名解析爲相應IP地址,從而實現信息通訊。在局域網內部使用NetBIOS協議可以非常方便地實現消息通信,但是如果在Internet上,NetBIOS就相當於一個後門程序,很多攻擊者都是通過NetBIOS漏洞發起攻擊。下面就來介紹一下通過139端口入侵和防範的方法。
139攻擊
通過139端口入侵,攻擊者首先需要查找網絡上存在139端口漏洞的主機地址,在查找此類主機過程中,可以使用一些掃描工具,比如SuperScan就是典型的端口掃描工具之一。在SuperScan開始IP地址中輸入需要掃描的起始地址,然後在停止中填寫好掃描結束的IP地址,然後單擊[開始]按鈕即可開始掃描。掃描結束後,在列表中可以查看目標主機打開的端口,每一個端口後面都有關於這個端口的簡短說明(如圖1)。
![]()
圖1
如果已經查獲一臺存在139端口漏洞的主機,這時就可以在命令行方式下使用“nbtstat -a [IP地址]”這個命令獲得用戶的信息情況,並獲得攻擊主機名稱和工作組。接下來攻擊者需要做的就是實現與攻擊目標資源共享。使用Net View和Net user命令顯示計算機列表和共享資源,並使用nbtstat -r和nbtstat -c命令查看具體的用戶名和IP地址。
單擊Windows桌面[開始]按鈕,然後執行“查找/計算機”命令,填寫剛纔查找到的主機名稱,就可以找到這臺電腦了。雙擊主機名稱即可打開指定的計算機。
防範139攻擊
對於139端口攻擊的防範針對不同系統的設置也有所不同,下面就來分別描述。
針對使用Windows 9x系統撥號上網用戶,可以不必登錄到NT局域網絡環境,打開控制面板,然後雙擊“網絡”圖標,在“主網絡登錄”中選擇“Microsoft友好登錄”,不必選擇“Windows網絡用戶”方式。此外,也不必設置“文件打印共享”(如圖2)。
![]()
圖2
對於Windows NT用戶,可以取消NetBIOS與TCP/IP協議的綁定,打開“控制面板”,然後雙擊“網絡”圖標,在“NetBIOS接口”中選擇“WINS客戶(TCP/IP)”爲“禁用”,並重新啓動計算機即可。
![]()
圖3
Windows 2000用戶可以使用鼠標右鍵單擊“網絡鄰居”圖標,然後選擇“屬性”命令,打開“網絡和撥號連接”對話框,用鼠標右鍵單擊“本地連接”圖標,然後執行“屬性”命令,打開“本地連接屬性”對話框(如圖3)。雙擊“Internet協議(TCP/IP)”,在打開的對話框中單擊[高級]按鈕(如圖4)。打開“高級TCP/IP設置”對話框,選擇“選項”選項卡,在列表中單擊選中“TCP/IP篩選”選項(如圖5)。
![]()
圖4
![]()
圖5
單擊[屬性]按鈕,在“只允許”單擊[添加]按鈕,填入除了139之外要用到的端口(如圖6)。
![]()
圖6
使用防火牆防範攻擊
對於個人上網用戶可以使用“天網防火牆”定製防火牆規則。啓動“天網個人防火牆”,選擇一條空規則,設置數據包方向爲“接收”,對方IP地址選“任何地址”,協議設定爲“TCP”,本地端口設置爲“139到139”,對方端口設置爲“0到0”,設置標誌位爲“SYN”,動作設置爲“攔截”,最後單擊[確定]按鈕,並在“自定義IP規則”列表中勾選此規則即可啓動攔截139端口攻擊了(如圖7)。
![]()
圖7
瞭解139端口是爲了更好地防禦,你做到了嗎?
139攻擊
通過139端口入侵,攻擊者首先需要查找網絡上存在139端口漏洞的主機地址,在查找此類主機過程中,可以使用一些掃描工具,比如SuperScan就是典型的端口掃描工具之一。在SuperScan開始IP地址中輸入需要掃描的起始地址,然後在停止中填寫好掃描結束的IP地址,然後單擊[開始]按鈕即可開始掃描。掃描結束後,在列表中可以查看目標主機打開的端口,每一個端口後面都有關於這個端口的簡短說明(如圖1)。
圖1
如果已經查獲一臺存在139端口漏洞的主機,這時就可以在命令行方式下使用“nbtstat -a [IP地址]”這個命令獲得用戶的信息情況,並獲得攻擊主機名稱和工作組。接下來攻擊者需要做的就是實現與攻擊目標資源共享。使用Net View和Net user命令顯示計算機列表和共享資源,並使用nbtstat -r和nbtstat -c命令查看具體的用戶名和IP地址。
單擊Windows桌面[開始]按鈕,然後執行“查找/計算機”命令,填寫剛纔查找到的主機名稱,就可以找到這臺電腦了。雙擊主機名稱即可打開指定的計算機。
防範139攻擊
對於139端口攻擊的防範針對不同系統的設置也有所不同,下面就來分別描述。
針對使用Windows 9x系統撥號上網用戶,可以不必登錄到NT局域網絡環境,打開控制面板,然後雙擊“網絡”圖標,在“主網絡登錄”中選擇“Microsoft友好登錄”,不必選擇“Windows網絡用戶”方式。此外,也不必設置“文件打印共享”(如圖2)。
圖2
對於Windows NT用戶,可以取消NetBIOS與TCP/IP協議的綁定,打開“控制面板”,然後雙擊“網絡”圖標,在“NetBIOS接口”中選擇“WINS客戶(TCP/IP)”爲“禁用”,並重新啓動計算機即可。
圖3
Windows 2000用戶可以使用鼠標右鍵單擊“網絡鄰居”圖標,然後選擇“屬性”命令,打開“網絡和撥號連接”對話框,用鼠標右鍵單擊“本地連接”圖標,然後執行“屬性”命令,打開“本地連接屬性”對話框(如圖3)。雙擊“Internet協議(TCP/IP)”,在打開的對話框中單擊[高級]按鈕(如圖4)。打開“高級TCP/IP設置”對話框,選擇“選項”選項卡,在列表中單擊選中“TCP/IP篩選”選項(如圖5)。
圖4
圖5
單擊[屬性]按鈕,在“只允許”單擊[添加]按鈕,填入除了139之外要用到的端口(如圖6)。
圖6
使用防火牆防範攻擊
對於個人上網用戶可以使用“天網防火牆”定製防火牆規則。啓動“天網個人防火牆”,選擇一條空規則,設置數據包方向爲“接收”,對方IP地址選“任何地址”,協議設定爲“TCP”,本地端口設置爲“139到139”,對方端口設置爲“0到0”,設置標誌位爲“SYN”,動作設置爲“攔截”,最後單擊[確定]按鈕,並在“自定義IP規則”列表中勾選此規則即可啓動攔截139端口攻擊了(如圖7)。
圖7
瞭解139端口是爲了更好地防禦,你做到了嗎?
