Що таке порт SMB? Для чого використовуються порти 445 та порт 139?

NetBIOS розшифровується як Мережева основна система вводу-виводу . Це програмний протокол, який дозволяє програмам, ПК та робочим столам у локальній мережі (ЛВС) взаємодіяти з мережевим обладнанням та передавати дані по мережі. Програмні програми, що працюють у мережі NetBIOS, знаходять і ідентифікують один одного за допомогою своїх імен NetBIOS. Ім'я NetBIOS має довжину до 16 символів і, як правило, окремо від імені комп'ютера. Дві програми запускають сеанс NetBIOS, коли один (клієнт) надсилає команду "викликати" іншого клієнта (сервер) через порт TCP 139 .

Порт SMB 445 139

Для чого використовується порт 139

Однак NetBIOS у вашій глобальній мережі або в Інтернеті є величезним ризиком для безпеки. Через NetBIOS можна отримати будь-яку інформацію, таку як домен, імена робочих груп та систем, а також інформацію про обліковий запис. Отже, важливо підтримувати NetBIOS у бажаній мережі та переконатися, що вона ніколи не залишає вашу мережу.

Брандмауери як міра безпеки завжди блокують спочатку цей порт, якщо він відкритий. Порт 139 використовується для спільного використання файлів і принтерів, але виявляється, що це найнебезпечніший порт в Інтернеті. Це тому, що він залишає жорсткий диск користувача підданим хакерам.

Після того, як зловмисник знайшов на пристрої активний порт 139, він може запустити NBSTAT діагностичний засіб для NetBIOS через TCP / IP, в основному призначений для вирішення проблем з розпізнаванням імен NetBIOS. Це знаменує важливий перший крок атаки - відбиток слідів .

За допомогою команди NBSTAT зловмисник може отримати частину або всю важливу інформацію, пов’язану з

  1. Список локальних імен NetBIOS
  2. Назва комп'ютера
  3. Список імен, вирішених WINS
  4. IP-адреси
  5. Зміст таблиці сеансів із IP-адресами призначення

Маючи під рукою вищезазначені деталі, зловмисник має всю важливу інформацію про ОС, служби та основні програми, що працюють у системі. Окрім них, він також має приватні IP-адреси, які LAN / WAN та інженери безпеки намагалися приховати за NAT. Більше того, ідентифікатори користувачів також включені до списків, наданих запуском NBSTAT.

Це полегшує хакерам отримання віддаленого доступу до вмісту каталогів жорстких дисків або дисків. Потім вони можуть мовчки завантажувати та запускати будь-які програми на свій вибір за допомогою деяких безкоштовних інструментів, не маючи на увазі власника комп’ютера.

Якщо ви використовуєте багатонаціональну машину, вимкніть NetBIOS на кожній мережевій карті або комутованому підключенні за властивостями TCP / IP, що не є частиною вашої локальної мережі.

Читайте : Як вимкнути NetBIOS через TCP / IP.

Що таке порт SMB

Хоча порт 139 технічно відомий як "NBT через IP", порт 445 - "SMB через IP". SMB розшифровується як " Блоки повідомлень сервера ". Блок повідомлень сервера на сучасній мові також відомий як Common Internet File System . Система працює як мережевий протокол прикладного рівня, який в основному використовується для надання спільного доступу до файлів, принтерів, послідовних портів та інших видів зв'язку між вузлами мережі.

Найбільше використання SMB стосується комп'ютерів під управлінням Microsoft Windows , де вона була відома як "Мережа Microsoft Windows" до подальшого впровадження Active Directory. Він може працювати поверх мережевих шарів сеансу (і нижчих) різними способами.

Наприклад, у Windows SMB може працювати безпосередньо через TCP / IP без необхідності використання NetBIOS через TCP / IP. Як ви вказуєте, для цього буде використано порт 445. В інших системах ви знайдете служби та програми, що використовують порт 139. Це означає, що SMB працює з NetBIOS через TCP / IP .

Зловмисні хакери визнають, що порт 445 є вразливим і має багато невпевненостей. Одним із жахливих прикладів неправильного використання порту 445 є відносно тихий вигляд хробаків NetBIOS . Ці хробаки повільно, але чітко визначено, сканують Інтернет на екземпляри порту 445, використовують інструменти, такі як PsExec, щоб перенестись на новий комп’ютер жертви, а потім подвоїти свої зусилля щодо сканування. Завдяки цьому не надто відомому методу збираються масивні " бот-армії ", що містять десятки тисяч машин, скомпрометованих черв'яками NetBIOS, і зараз населяють Інтернет.

Читайте : Як переслати порти?

Як мати справу з портом 445

Враховуючи вищезазначені небезпеки, у наших інтересах не піддавати порт 445 Інтернету, але, як і порт Windows 135, порт 445 глибоко вбудований у Windows і його важко безпечно закрити. Тим не менш, його закриття можливо, однак інші залежні служби, такі як DHCP (Dynamic Host Configuration Protocol), який часто використовується для автоматичного отримання IP-адреси з серверів DHCP, що використовуються багатьма корпораціями та провайдерами, перестануть функціонувати.

Враховуючи всі вищезазначені причини безпеки, багато провайдерів вважають за необхідне заблокувати цей порт від імені своїх користувачів. Це трапляється лише тоді, коли порт 445 не виявляється захищеним маршрутизатором NAT або персональним брандмауером. У такій ситуації ваш провайдер, ймовірно, може перешкодити трафіку порту 445 дістатись до вас.

Порт SMB 445 139