端口描述:端口137主要用於“NetBIOS名稱服務”,屬於UDP端口。用戶只需要向局域網或互聯網上的壹臺計算機的端口137發送請求,就可以獲得計算機名、註冊用戶名、是否安裝了主域控制器、IIS是否在運行。
端口漏洞:由於是UDP端口,攻擊者很容易通過發送請求獲取目標計算機的信息,有些信息可以直接用來分析漏洞,比如IIS服務。此外,通過捕獲正在通過端口137通信的數據包,可以獲得目標計算機的啟動和關閉時間,以便使用特殊工具進行攻擊。為什麽端口137會將此數據包泄漏到網絡中?這是因為端口137用於Windows網絡通信協議的計算機名稱管理功能-“TCP/IP上的NetBIOS(NBT)”。
計算機名稱管理是指Windows網絡中的計算機通過用於相互識別的名稱——NetBIOS名稱來獲取實際IP地址的功能。您可以通過兩種方式使用137端口。
壹種方法是通過使用廣播功能來管理同壹組中的計算機之間的計算機名稱。當計算機啟動或連接到網絡時,它會詢問同壹組中的所有計算機是否有任何計算機使用與自己相同的NetBIOS名稱。如果每臺收到查詢的計算機使用與自己相同的NetBIOS名稱,它將發送壹個通知數據包。這些通信通過使用端口137來執行。
另壹種方法是使用WINS(Windows Internet名稱服務)來管理計算機名稱。名為WINS服務器的計算機有壹個IP地址和NetBIOS名稱的查找表。當系統啟動或連接到網絡時,WINS客戶端會將其NetBIOS名稱和IP地址發送到WINS服務器。當與其他計算機通信時,它會將NetBIOS名稱發送到WINS服務器並詢問IP地址。此方法也使用端口137。
如上所述,為了獲得通信對象的IP地址,端口137必須交換許多數據包。在這些數據包中,有大量的信息。當使用廣播管理計算機名時,此信息將被發送到所有計算機。如果使用NBT,計算機本身會在用戶不知情的情況下將其詳細信息傳播到外部。通過設置天網防火墻的“自定義IP規則”,可以限制端口445的潛在威脅。首先雙擊打開天網防火墻主界面,然後點擊界面右側的“自定義IP規則”按鈕,在彈出的規則菜單中點擊“添加新規則”,在彈出的添加新規則窗口中點擊“TCP”選項卡選項。在選項中的本地端口輸入壹個從445到0的數字,所有其他端口都用0填充。如果滿足條件,選擇“攔截”,然後勾選“報警”和“記錄”選項,最後在“名稱”和“描述”中填寫上述癥狀和體征作為描述,點擊確定完成操作。在金山網鏢中,我們需要在工具中點擊“編輯IP規則”,還要在彈出的窗口中點擊添加IP規則。具體設置方法和天網壹樣。不過,金山Netdart默認添加了445端口的保護。
當電腦沒有安裝防火墻時,我們可以通過註冊表手動關閉,在開始菜單輸入“regedit”打開註冊表編輯器,然後依次點擊“HKEY-本地-機器\系統\當前控制集\服務\ netbt \參數”分支,新建壹個雙字節值,命名為“SMBDeviceEnabled”。最後雙擊“SMBDeviceEnabled”選項,在彈出的數值設置界面將其值設置為“0”。關閉註冊表編輯界面,重啟系統,445服務端口將被完全關閉。