NetBIOSย่อมาจากเครือข่ายพื้นฐานระบบอินพุตเอาต์พุต เป็นโปรโตคอลซอฟต์แวร์ที่ช่วยให้แอปพลิเคชันพีซีและเดสก์ท็อปบนเครือข่ายท้องถิ่น (LAN) สามารถสื่อสารกับฮาร์ดแวร์เครือข่ายและส่งข้อมูลผ่านเครือข่ายได้ แอปพลิเคชันซอฟต์แวร์ที่ทำงานบนเครือข่าย NetBIOS จะค้นหาและระบุตัวตนซึ่งกันและกันผ่านชื่อ NetBIOS ชื่อ NetBIOS มีความยาวสูงสุด 16 อักขระและโดยปกติจะแยกออกจากชื่อคอมพิวเตอร์ สองการใช้งานเริ่มต้นเซสชัน NetBIOS เมื่อหนึ่ง (ลูกค้า) จะส่งคำสั่งไปยัง“เรียกว่า” ลูกค้าอื่น (เซิร์ฟเวอร์) มากกว่าพอร์ต TCP 139
พอร์ต 139 ใช้ทำอะไร
อย่างไรก็ตาม NetBIOSบน WAN ของคุณหรือทางอินเทอร์เน็ตถือเป็นความเสี่ยงด้านความปลอดภัยอย่างมาก ข้อมูลทุกประเภทเช่นชื่อโดเมนกลุ่มงานและระบบของคุณตลอดจนข้อมูลบัญชีสามารถรับได้ผ่าน NetBIOS ดังนั้นจึงจำเป็นอย่างยิ่งที่จะต้องดูแล NetBIOS ของคุณบนเครือข่ายที่ต้องการและตรวจสอบให้แน่ใจว่าจะไม่มีวันออกจากเครือข่าย
ไฟร์วอลล์ตามมาตรการความปลอดภัยจะบล็อกพอร์ตนี้ก่อนเสมอหากคุณเปิดไว้ พอร์ต 139 ใช้สำหรับการแชร์ไฟล์และเครื่องพิมพ์แต่เป็นพอร์ตเดียวที่อันตรายที่สุดบนอินเทอร์เน็ต ที่เป็นเช่นนี้เนื่องจากทำให้ฮาร์ดดิสก์ของผู้ใช้สัมผัสกับแฮกเกอร์
เมื่อผู้โจมตีพบพอร์ต 139 ที่ใช้งานอยู่บนอุปกรณ์เขาสามารถเรียกใช้NBSTAT ซึ่งเป็นเครื่องมือวินิจฉัยสำหรับ NetBIOS ผ่าน TCP / IP ซึ่งออกแบบมาเพื่อช่วยแก้ปัญหาการแก้ปัญหาชื่อ NetBIOS นี่เป็นขั้นตอนแรกที่สำคัญของการโจมตีนั่นคือรอยเท้า
การใช้คำสั่ง NBSTAT ผู้โจมตีสามารถรับข้อมูลสำคัญบางส่วนหรือทั้งหมดที่เกี่ยวข้องกับ
- รายชื่อ NetBIOS ในเครื่อง
- ชื่อคอมพิวเตอร์
- รายชื่อที่แก้ไขโดย WINS
- ที่อยู่ IP
- เนื้อหาของตารางเซสชันพร้อมที่อยู่ IP ปลายทาง
ด้วยรายละเอียดข้างต้นผู้โจมตีมีข้อมูลสำคัญทั้งหมดเกี่ยวกับระบบปฏิบัติการบริการและแอปพลิเคชันหลักที่ทำงานบนระบบ นอกจากนี้เขายังมีที่อยู่ IP ส่วนตัวที่ LAN / WAN และวิศวกรด้านความปลอดภัยพยายามอย่างหนักที่จะซ่อนอยู่หลัง NAT นอกจากนี้ ID ผู้ใช้ยังรวมอยู่ในรายการที่ให้ไว้โดยการเรียกใช้ NBSTAT
ทำให้แฮกเกอร์สามารถเข้าถึงเนื้อหาของไดเร็กทอรีฮาร์ดดิสก์หรือไดรฟ์จากระยะไกลได้ง่ายขึ้น จากนั้นพวกเขาสามารถอัปโหลดและเรียกใช้โปรแกรมใด ๆ ที่พวกเขาเลือกอย่างเงียบ ๆ ผ่านเครื่องมือฟรีแวร์บางตัวโดยที่เจ้าของคอมพิวเตอร์ไม่ทราบ
หากคุณกำลังใช้เครื่องหลายเครื่องให้ปิดใช้งาน NetBIOS บนการ์ดเครือข่ายทุกเครื่องหรือการเชื่อมต่อแบบ Dial-Up ภายใต้คุณสมบัติ TCP / IP ซึ่งไม่ได้เป็นส่วนหนึ่งของเครือข่ายท้องถิ่นของคุณ
อ่าน : วิธีปิดใช้งาน NetBIOS ผ่าน TCP / IP
พอร์ต SMB คืออะไร
ในขณะที่พอร์ต 139 เป็นที่รู้จักในทางเทคนิคว่า 'NBT over IP' แต่พอร์ต 445 คือ 'SMB over IP' SMBย่อมาจาก ' Server Message Blocks ' เซิร์ฟเวอร์บล็อกข้อความในภาษาที่ทันสมัยนอกจากนี้ยังเป็นที่รู้จักกันทั่วไปของอินเทอร์เน็ต File System ระบบทำงานเป็นโปรโตคอลเครือข่ายแอปพลิเคชันที่ใช้เป็นหลักเพื่อเสนอการเข้าถึงไฟล์เครื่องพิมพ์พอร์ตอนุกรมและการสื่อสารประเภทอื่น ๆ ระหว่างโหนดบนเครือข่าย
การใช้งาน SMB ส่วนใหญ่เกี่ยวข้องกับคอมพิวเตอร์ที่ใช้Microsoft Windowsซึ่งรู้จักกันในชื่อ 'Microsoft Windows Network' ก่อนที่จะมีการเปิดตัว Active Directory ในภายหลัง สามารถทำงานบนเลเยอร์เครือข่ายเซสชัน (และล่าง) ได้หลายวิธี
ตัวอย่างเช่นใน Windows SMB สามารถทำงานผ่าน TCP / IP ได้โดยตรงโดยไม่ต้องใช้ NetBIOS ผ่าน TCP / IP นี้จะใช้ในขณะที่คุณชี้พอร์ต 445 บนระบบอื่น ๆ ที่คุณจะได้พบกับบริการและการประยุกต์ใช้พอร์ต 139 ซึ่งหมายความว่า SMB กำลังทำงานกับ NetBIOS ผ่าน TCP
แฮกเกอร์ที่เป็นอันตรายยอมรับว่าพอร์ต 445 มีช่องโหว่และมีความไม่ปลอดภัยมากมาย ตัวอย่างหนึ่งหนาวของพอร์ต 445 ในทางที่ผิดเป็นลักษณะที่ค่อนข้างเงียบของหนอน NetBIOS เวิร์มเหล่านี้ช้า แต่ในลักษณะที่กำหนดไว้อย่างดีจะสแกนอินเทอร์เน็ตเพื่อหาอินสแตนซ์ของพอร์ต 445 ใช้เครื่องมือเช่นPsExecเพื่อถ่ายโอนตัวเองไปยังคอมพิวเตอร์เหยื่อเครื่องใหม่จากนั้นเพิ่มความพยายามในการสแกนเป็นสองเท่า ด้วยวิธีการที่ไม่ค่อยเป็นที่รู้จักนัก " กองทัพบอท " ขนาดใหญ่ที่มีหนอน NetBIOS จำนวนนับหมื่นถูกประกอบเข้าด้วยกันและตอนนี้ก็อาศัยอยู่ในอินเทอร์เน็ต
อ่าน : วิธีการส่งต่อพอร์ต?
วิธีจัดการกับพอร์ต 445
เมื่อพิจารณาถึงอันตรายข้างต้นเราจึงสนใจที่จะไม่เปิดเผยพอร์ต 445 ต่ออินเทอร์เน็ต แต่เช่นเดียวกับ Windows Port 135 พอร์ต 445 ฝังอยู่ใน Windows อย่างลึกซึ้งและยากที่จะปิดได้อย่างปลอดภัย อย่างไรก็ตามการปิดดังกล่าวเป็นไปได้อย่างไรก็ตามบริการที่ต้องพึ่งพาอื่น ๆ เช่นDHCP (Dynamic Host Configuration Protocol) ซึ่งมักใช้เพื่อรับที่อยู่ IP โดยอัตโนมัติจากเซิร์ฟเวอร์ DHCP ที่ใช้โดย บริษัท และ ISP จำนวนมากจะหยุดทำงาน
เมื่อพิจารณาถึงเหตุผลด้านความปลอดภัยทั้งหมดที่อธิบายไว้ข้างต้น ISP หลายรายรู้สึกว่าจำเป็นต้องบล็อกพอร์ตนี้ในนามของผู้ใช้ สิ่งนี้จะเกิดขึ้นเฉพาะเมื่อไม่พบว่าพอร์ต 445 ได้รับการป้องกันโดยเราเตอร์ NAT หรือไฟร์วอลล์ส่วนบุคคล ในสถานการณ์เช่นนี้ ISP ของคุณอาจป้องกันไม่ให้ทราฟฟิกพอร์ต 445 เข้าถึงคุณ