1、 防范 NetBIOS 漏洞攻击的五种方法 稍微懂点电脑知识的朋友都知道,NetBIOS 是计算机局域网领域流行的一种传输方式,但你是否还知道,对于连接互联网的机器来讲,NetBIOS 是一大隐患。 漏洞描述NetBIOS(Network Basic Input Output System ,网络基本输入输出系统) ,是一种应用程序接口(API),系统可以利用 WINS 服务、广播及 Lmhost 文件等多种模式将 NetBIOS 名解析为相应 IP地址,实现信息通讯,所以在局域网内部使用 NetBIOS 协议可以方便地实现消息通信及资源的共享。因为它占用系统资源少、传输效率高,尤为适于由 2
2、0 到 200 台计算机组成的小型局域网。所以微软的客户机/服务器网络系统都是基于 NetBIOS 的。当安装 TCP/IP 协议时,NetBIOS 也被 Windows 作为默认设置载入,我们的计算机也具有了NetBIOS 本身的开放性,139 端口被打开。某些别有用心的人就利用这个功能来攻击服务器,使管理员不能放心使用文件和打印机共享。利用 NetBIOS 漏洞攻击1.利用软件查找共享资源利用 NetBrute Scanner 软件扫描一段 IP 地址( 如 10.0.13.110.0.13.254)内的共享资源,就会扫描出默认共享(如图 1)。2.用 PQwak 破解共享密码双击扫描到的
3、共享文件夹,如果没有密码,便可直接打开。当然也可以在 IE 的地址栏直接输入扫描到的带上共享文件夹的 IP 地址,如“10.0.13.191”(或带 C,D等查看默认共享)。如果设有共享密码,会要求输入共享用户名和密码,这时可利用破解网络邻居密码的工具软件,如PQwak,破解后即可进入相应文件夹。关闭 NetBIOS 漏洞发现机器被人改动,作为管理员的我气坏了。经过仔细研究,终于找出了关闭 NetBIOS 协议解决办法。1.解开文件和打印机共享绑定鼠标右击桌面上网络邻居属性本地连接属性,去掉“Microsoft 网络的文件和打印机共享”前面的勾,解开文件和打印机共享绑定。这样就会禁止所有从 1
4、39 和 445 端口来的请求,别人也就看不到本机的共享了。2.利用 TCP/IP 筛选鼠标右击桌面上网络邻居属性本地连接属性,打开“本地连接属性”对话框。选择Internet 协议(TCP/IP)属性高级选项,在列表中单击选中“TCP/IP 筛选”选项。单击属性按钮,选择“ 只允许”,再单击 添加按钮( 如图 2),填入除了 139 和 445 之外要用到的端口。这样别人使用扫描器对 139 和 445 两个端口进行扫描时,将不会有任何回应。3.使用 IPSec 安全策略阻止对端口 139 和 445 的访问选择我的电脑 控制面板管理工具本地安全策略IP 安全策略,在本地机器 ,在这里定义一
5、条阻止任何 IP 地址从 TCP139 和 TCP445 端口访问 IP 地址的 IPSec 安全策略规则,这样别人使用扫描器扫描时,本机的 139 和 445 两个端口也不会给予任何回应。4.停止 Server 服务 选择我的电脑 控制面板管理工具服务,进入服务管理器,关闭 Server 服务。这样虽然不会关闭端口,但可以中止本机对其他机器的服务,当然也就中止了对其他机器的共享。但是关闭了该服务会导致很多相关的服务无法启动,如机器中如果有 IIS 服务,则不能采用这种方法。5.使用防火墙防范攻击在防火墙中也可以设置阻止其他机器使用本机共享。如在“天网个人防火墙”中,选择一条空规则,设置数据包方向为“接收” ,对方 IP 地址选“任何地址”,协议设定为“TCP”,本地端口设置为“139 到 139”,对方端口设置为“0 到 0”,设置标志位为“SYN”,动作设置为“拦截”,最后单击确定按钮,并在“ 自定义 IP 规则”列表中勾选此规则即可启动拦截 139 端口攻击了(如图 3)。以上五种方法你可以根据自身的具体情况选择。关闭了共享,虽然无法使用共享来管理机器,但是为避免别有用心者来窃取我机器的文件或是作修改,这点损失还是值得的。
