一般情况下139端口开启都是由于NetBIOS这个网络协议在使用它,下面笔者将详细讲讲139端口的漏洞和防范之法!
下面先给大家介绍一下什么是NETBIOS:
Netbios(NETwork Basic Input/Output System)网络基本输入输出系统。是1983年IBM开发的一套网络标准,微软在这基础上继续开发。微软的客户机/服务器网络系统都是基于NetBIOS的。在利用Windows NT4.0 构建的网络系统中,对每一台主机的唯一标识信息是它的NetBIOS名。系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址,从而实现信息通讯。在这样的网络系统内部,利用NetBIOS名实现信息通讯是非常方便、快捷的。但是在Internet上,它就和一个后门程序差不多了。不少骇客就是通过这个漏洞入侵计算机的!
下面是骇客经常用的139端口的攻与防
第一步我们需要做的是确定一台存在139端口漏洞的主机。可以用扫描工具扫描得到!比如SUPERSCAN这个端口扫描工具。如下图所示:
我们只要按照上图的配置就可以了,在开始IP处填上您要扫的IP地址,停止处填上你要停止扫描IP的地址
第二步假设现在我们已经得到一台存在139端口漏洞的主机,我们要使用nbtstat -a IP这个命令得到用户的情况!如下图:
上图中的202.98.84.90就是我的IP地址,这个主机的名字是21,工作组是YB
第三步我们要做的是与对方计算机进行共享资源的连接
在这里我们需要用到两个NET命令,下面就是这两个命令的使用方法
NET VIEW?
作 用:显示域列表、计算机列表或指定计算机的共享资源列表。?
命令格式:net view [\\computername | /domain[:domainname]]?
参数介绍:?
键入不带参数的net view显示当前域的计算机列表。?
\\computername 指定要查看其共享资源的计算机。?
/domain[:domainname]指定要查看其可用计算机的域?
NET USE?
作用:连接计算机或断开计算机与共享资源的连接,或显示计算机的连接信息。?
命令格式:net use [devicename | *] [\\computername\sharename[\volume]]?
[password | *]] [/user:[domainname\]username] [[/delete] |?
[/persistent:{yes | no}]]?
参数介绍:?
键入不带参数的net use列出网络连接。?
devicename指定要连接到的资源名称或要断开的设备名称。?
\\computername\sharename服务器及共享资源的名称。?
password访问共享资源的密码。?
*提示键入密码。 /user指定进行连接的另外一个用户。?
domainname指定另一个域。?
username指定登录的用户名。?
/home将用户连接到其宿主目录?
/delete取消指定网络连接。?
/persistent控制永久网络连接的使用。?
如上图所示,我们已经看到对方共享了他的C,D,E三个盘
第四步我们要做的是使用NBTSTAT命令载入NBT快取,如下图所示:
D:\nbtstat ?R
D:\nbtstat ?c
上图中我用白色遮住的地方就是我已经得到的139端口漏洞的主机IP地址和用户名
第五步就该是我们进入他计算的时候了
我们要做的是点击开始---查找--计算机,将刚才找到的主机名字输入到上面,选择查找,就可以找到这台电脑了!双击就可以进入,其使用的方法和网上领居的一样。当初很多朋友就是使用这个方法+QQ密码暴力破解器窃取了不少朋友的QQ密码!
看了上面的这些,是不是觉得自己的电脑很危险?不用怕,下面我们就来解除这危险的139端口漏洞
防范139端口漏洞的攻击方法:
对于win9x :
在windows9x下如果你是个拨号用户。完全不需要登陆到nt局域网络环境的话。只需要在控制面板-网络-删除microsoft网络用户,使用microsoft友好登陆就可以了。但是如果你需要登陆到nt网络的话。那这一项就不能去处。因为nt网里需要使用netbios。
方法:
运行RegEdit.exe 查找串“vnetbios”,找到后再选择“查找下一个”,将找到象“blahblah\\VxD\\VNETBIOS\\”的串,删除“VNETBIOS”项即可。 操作一定要谨慎,误操作可能导致系统崩溃,另关掉139端口后将无法共享文件和打印功能。
对于winNT :
在windowsNT下你可以取消netbios与TCP/IP协议的绑定。控制面板-网络-Netbios接口-WINS客户(tcp/ip)-禁用。确定。重启。这样nt的计算机名和工作组名也隐藏了,不过会造成基于netbios的一些命令无法使用。如net等。
对于WIN2000 :
选中网络邻居――》右键――》本地连接――》INTERNET协议(TCP/IP)――》属性――》高级――》选项――》TCP/IP筛选――》在“只允许”中填入除了137,138,139只外的端口。如果你在局域网中,会影响局域网的使用。
当然还有最方便的方法:
选择一条天网的空规则,数据包方向选接收;对方IP地址选任何;协议TCP;本地端口139到139;对方端口0到0;标志位在SYN标志上打勾;动作拦截。
然后把这条规则勾上让它生效,保存即可。
