NetBIOS(Network Basic Input Output System,网络基本输入/输出系统)是一种应用程序接口(API),系统可以利用WINS服务、广播及Lmhost文件等多种模式,将NetBIOS 名解析为相应IP地址,实现信息通信。因此,在局域网内部使用NetBIOS协议可以方便地实现消息通信及资源的共享。因为它占用系统资源少、传输效率 高,尤为适于由20~200台计算机组成的小型局域网。所以微软的客户机/服务器网络系统都是基于NetBIOS的。
当安装TCP/IP协议时,NetBIOS也被Windows作为默认设置载入,此时计算机也具有了NetBIOS本身的开放性,139端口被打开。某些别有用心的人就利用这个功能来攻击服务器,使管理员不能放心使用文件和打印机共享。
使用NetBrute Scanner可以扫描到目标计算机上的共享资源,它主要包括如下3部分。
·lNetBrute:可用于扫描单台机器或多个IP地址的Windows文件/打印共享资源。虽然这已经是众所周知的漏洞,但作为一款继续更新中的经典工具,对于网络新手以及初级网管仍是增强内网安全性的得力助手。
·lPortScan:用于扫描目标机器的可用网络服务。帮助用户确定哪些TCP端口应该通过防火墙设置屏蔽掉,或哪些服务并不需要,应该关闭。
·lWebBrute:可以用来扫描网页目录,检查HTTP身份认证的安全性、测试用户密码。这对于新站在起步阶段,不至于因为初级错误导致网站被轻易入侵,仍然非常有用。
下面以使用NetBrute Scanner软件为例介绍扫描计算机中共享资源,其具体操作步骤如下。
STEP01:运行NetBrute Scanner
STEP02:选择要打开的文件
双击扫描到的共享文件夹,如果没有密码便可直接打开。当然,也可以在IE的地址栏中直接输入扫描到的共享文件夹 IP地址,如“\\192.168.1.88”(或带C$,D$等查看默认共享)。如果设有共享密码,则会要求输入共享用户名和密码,这时利用破解网络邻 居密码的工具软件(如Pqwak)破解之后,才可以进入相应文件夹。如果发现自己的计算机中有Netbios漏洞,要想预防入侵者利用该漏洞进行攻击,则 需关闭Netbios漏洞,其关闭的方法有很多种。
(1)解开文件和打印机共享绑定
STEP01:打开控制面板
STEP02:打开“网络和共享中心”窗口
STEP03:查看网络连接
STEP04:更改本地连接属性
这样,就可以禁止所有从139和445端口来的请求,别人也就看不到本机的共享了。
(2)使用IPSec安全策略阻止对端口139和445的访问
STEP01:打开“控制面板”窗口
STEP02:查看各种工具
STEP03:创建IP安全策略
(3)关闭Server服务
这样虽然不会关闭端口,但可以中止本机对其他机器的服务,当然也就中止了对其他机器的共享。但关闭了该服务将会导致很多相关的服务无法启动,如机器中如果有IIS服务,则不能采用这种方法。
STEP01:打开“控制面板”窗口
STEP02:查看各种工具
STEP03:关闭服务
(4)在防火墙中设置阻止其他机器使用本机共享
运行天网个人防火墙,打开“修改IP规则”对话框,具体步骤如下:
STEP01:修改IP规则
选择一条空规则之后,设置数据包方向为“接收”,对方IP地址选“任何地址”,协议设定为“TCP”,本地端口设置为“139到139”,对方端口设置为“0到0”,设置标志位为“SYN”,动作设置为“拦截”,单击“确定”按钮。
STEP02:应用规则
在“自定义IP规则”列表中勾选设定的规则,即可启动拦截139端口攻击。