Cổng SMB là gì? Cổng 445 và Cổng 139 dùng để làm gì?

NetBIOS là viết tắt của Network Basic Input Output System . Nó là một giao thức phần mềm cho phép các ứng dụng, PC và Desktop trên mạng cục bộ (LAN) giao tiếp với phần cứng mạng và truyền dữ liệu qua mạng. Các ứng dụng phần mềm chạy trên mạng NetBIOS định vị và nhận dạng nhau thông qua tên NetBIOS của chúng. Tên NetBIOS dài tối đa 16 ký tự và thông thường, tách biệt với tên máy tính. Hai ứng dụng bắt đầu một phiên NetBIOS khi một (máy khách) gửi lệnh để “gọi” một máy khách khác (máy chủ) qua Cổng TCP 139 .

Cổng SMB 445 139

Cổng 139 được sử dụng để làm gì

Tuy nhiên, NetBIOS trên mạng WAN của bạn hoặc qua Internet là một rủi ro bảo mật rất lớn. Tất cả các loại thông tin, chẳng hạn như tên miền, nhóm làm việc và hệ thống của bạn, cũng như thông tin tài khoản có thể được lấy qua NetBIOS. Vì vậy, điều cần thiết là duy trì NetBIOS của bạn trên mạng ưa thích và đảm bảo nó không bao giờ rời khỏi mạng của bạn.

Tường lửa, như một biện pháp an toàn luôn chặn cổng này trước, nếu bạn đã mở nó. Cổng 139 được sử dụng để Chia sẻ Tệp và Máy in nhưng lại là Cổng nguy hiểm nhất trên Internet. Điều này là như vậy bởi vì nó khiến đĩa cứng của người dùng tiếp xúc với tin tặc.

Khi kẻ tấn công đã định vị được Cổng 139 đang hoạt động trên thiết bị, kẻ đó có thể chạy NBSTAT một công cụ chẩn đoán cho NetBIOS qua TCP / IP, được thiết kế chủ yếu để giúp khắc phục sự cố phân giải tên NetBIOS. Điều này đánh dấu một bước quan trọng đầu tiên của một cuộc tấn công - Ghi dấu chân .

Sử dụng lệnh NBSTAT, kẻ tấn công có thể lấy được một số hoặc tất cả các thông tin quan trọng liên quan đến

  1. Danh sách các tên NetBIOS cục bộ
  2. Tên máy tính
  3. Danh sách những cái tên được giải quyết bởi WINS
  4. Các địa chỉ IP
  5. Nội dung của bảng phiên với các địa chỉ IP đích

Với các chi tiết trên, kẻ tấn công có tất cả thông tin quan trọng về hệ điều hành, dịch vụ và ứng dụng chính đang chạy trên hệ thống. Bên cạnh những thứ này, anh ta còn có các địa chỉ IP riêng mà mạng LAN / WAN và các kỹ sư bảo mật đã cố gắng che giấu đằng sau NAT. Hơn nữa, User ID cũng được bao gồm trong danh sách được cung cấp bằng cách chạy NBSTAT.

Điều này làm cho tin tặc dễ dàng truy cập từ xa vào nội dung của các thư mục hoặc ổ đĩa cứng. Sau đó, họ có thể âm thầm tải lên và chạy bất kỳ chương trình nào họ chọn thông qua một số công cụ phần mềm miễn phí mà chủ sở hữu máy tính không hề hay biết.

Nếu bạn đang sử dụng máy nhiều cổng, hãy tắt NetBIOS trên mọi cạc mạng hoặc Kết nối Quay số trong thuộc tính TCP / IP, không phải là một phần của mạng cục bộ của bạn.

Đọc : Cách tắt NetBIOS qua TCP / IP.

Cổng SMB là gì

Trong khi Cổng 139 được biết về mặt kỹ thuật là 'NBT qua IP', thì Cổng 445 là 'SMB qua IP'. SMB là viết tắt của ' Server Message Blocks '. Server Message Block trong ngôn ngữ hiện đại còn được gọi là Hệ thống tệp Internet chung . Hệ thống hoạt động như một giao thức mạng tầng ứng dụng chủ yếu được sử dụng để cung cấp quyền truy cập được chia sẻ vào tệp, máy in, cổng nối tiếp và các loại giao tiếp khác giữa các nút trên mạng.

Hầu hết việc sử dụng SMB liên quan đến máy tính chạy Microsoft Windows , nơi nó được gọi là 'Mạng Microsoft Windows' trước khi giới thiệu Active Directory tiếp theo. Nó có thể chạy trên đầu các lớp mạng Session (và thấp hơn) theo nhiều cách.

Ví dụ: trên Windows, SMB có thể chạy trực tiếp qua TCP / IP mà không cần NetBIOS qua TCP / IP. Như bạn đã chỉ ra, điều này sẽ sử dụng cổng 445. Trên các hệ thống khác, bạn sẽ tìm thấy các dịch vụ và ứng dụng sử dụng cổng 139. Điều này có nghĩa là SMB đang chạy với NetBIOS qua TCP / IP .

Các hacker độc hại thừa nhận rằng Cổng 445 dễ bị tấn công và có nhiều điểm không an toàn. Một ví dụ ớn lạnh về việc lạm dụng Cổng 445 là sự xuất hiện tương đối im lặng của sâu NetBIOS . Những con sâu này quét Internet một cách chậm rãi nhưng theo cách thức rõ ràng để tìm các trường hợp của cổng 445, sử dụng các công cụ như PsExec để tự chuyển chúng vào máy tính nạn nhân mới, sau đó nhân đôi nỗ lực quét của chúng. Thông qua phương pháp ít được biết đến này, “ Đội quân Bot ” khổng lồ , chứa hàng chục nghìn máy bị xâm nhập sâu NetBIOS, được lắp ráp và hiện đang tồn tại trên Internet.

Đọc : Làm thế nào để chuyển tiếp các Cổng?

Cách xử lý với Cổng 445

Xem xét các nguy cơ ở trên, chúng tôi quan tâm đến việc không để Cổng 445 lên Internet nhưng giống như Cổng 135 của Windows, Cổng 445 được gắn sâu trong Windows và khó đóng lại một cách an toàn. Điều đó nói rằng, việc đóng cửa là có thể xảy ra, tuy nhiên, các dịch vụ phụ thuộc khác như DHCP (Giao thức cấu hình máy chủ động) thường được sử dụng để tự động lấy địa chỉ IP từ máy chủ DHCP được sử dụng bởi nhiều công ty và ISP, sẽ ngừng hoạt động.

Xem xét tất cả các lý do bảo mật được mô tả ở trên, nhiều ISP cảm thấy cần phải chặn Cổng này thay mặt cho người dùng của họ. Điều này chỉ xảy ra khi không tìm thấy cổng 445 được bảo vệ bởi bộ định tuyến NAT hoặc tường lửa cá nhân. Trong tình huống như vậy, ISP của bạn có thể ngăn không cho lưu lượng truy cập cổng 445 đến với bạn.

Cổng SMB 445 139