51阅读吧 - 为您打造专业优质的文章分享平台!
您的当前位置: 51阅读吧 >

445端口|关于SMB 445端口

NO.1 关于SMB 445端口

通过windows xp调试发现,这个端口是netbt启用关于SMB服务的时候开启的。[www.51jianli.com)

DeviceNetbiosSmb

这个设备对象就是NetBT驱动创建的(注意不是netbios驱动)

端口的获取是通过注册表 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParametersSmb下的SessionPort键项获取的,如果没有的话,默认就是445。所以想改端口号的话,可以改这个,但是这样的话,远程客户端可能就访问不了。另外,除了SessionPort还有 DatagramPort,

下面是获取到端口后,绑定地址过程的堆栈

ChildEBP RetAddr
f8ac0fc0 b2d969ad tcpip!TdiOpenAddress
f8ac1014 b2d69aaa tcpip!TCPCreate+0x20a
f8ac1050 804eedf9 tcpip!TCPDispatch+0x10b
f8ac1060 805783bc nt!IopfCallDriver+0x31
f8ac1140 805b465e nt!IopParseDevice+0xa58
f8ac11c8 805b0b3f nt!ObpLookupObjectName+0x56a
f8ac121c 8056b133 nt!ObOpenObjectByName+0xeb
f8ac1298 8056baaa nt!IopCreateFile+0x407
f8ac12f4 8056e17c nt!IoCreateFile+0x8e
f8ac1334 8053d808 nt!NtCreateFile+0x30
f8ac1334 804fe569 nt!KiFastCallEntry+0xf8
f8ac13d8 b2d41bbc nt!ZwCreateFile+0x11
f8ac1484 b2d44785 netbt!NbtTdiOpenAddress+0x227
f8ac14b4 b2d45547 netbt!NbtCreateAddressObjects+0xc3
f8ac14f0 b2d49173 netbt!NbtCreateSmbDevice+0xc8
f8ac1570 80576550 netbt!DriverEntry+0x215
f8ac1640 80689770 nt!IopLoadDriver+0x66c
f8ac169c 80686ad9 nt!IopInitializeSystemDrivers+0x16c
f8ac183c 80684edd nt!IoInitSystem+0x7a3
f8ac1dac 805c5a28 nt!Phase1Initialization+0x9b5
f8ac1ddc 80541fa2 nt!PspSystemThreadStartup+0x34
00000000 00000000 nt!KiThreadStartup+0x16
kd> ?dwo(dwo(esp+8)+8)
Evaluate expression: 48385 = 0000bd01
kd> ?0n445
Evaluate expression: 445 = 000001bd

这是由驱动在内核线程中直接创建的,所以445端口对应的进程我们经常可以看到的是System,关于如何通过445端口进行rpc over NampPipe/smb,smb over netbios/tcpip,

另开文章再作分析

NO.2 TCP135、139、445端口有什么用TCP135、139、4

TCP135、139、445端口有什么用

TCP135、139、445端口,还有UDP135、139、445端口有什么用?关闭对我们平时的正常操作、上网会有什么影响吗?


135端口 :135端口主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务。

端口说明:135端口主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务,通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码;使用DCOM可以通过网络直接进行通信,能够跨包括HTTP协议在内的多种网络传输。

端口漏洞:相信去年很多Windows 2000和Windows XP用户都中了“冲击波”病毒,该病毒就是利用RPC漏洞来攻击计算机的。RPC本身在处理通过TCP/IP的消息交换部分有一个漏洞,该漏洞是由于错误地处理格式不正确的消息造成的。该漏洞会影响到RPC与DCOM之间的一个接口,该接口侦听的端口就是135。

操作建议:为了避免“冲击波”病毒的攻击,建议关闭该端口。

139端口 :139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。

端口说明:139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。在Windows中要在局域网中进行文件的共享,必须使用该服务。比如在Windows 98中,可以打开“控制面板”,双击“网络”图标,在“配置”选项卡中单击“文件及打印共享”按钮选中相应的设置就可以安装启用该服务;在Windows 2000/XP中,可以打开“控制面板”,双击“网络连接”图标,打开本地连接属性;接着,在属性窗口的“常规”选项卡中选择“Internet协议(TCP/IP)”,单击“属性”按钮;然后在打开的窗口中,单击“高级”按钮;在“高级TCP/IP设置”窗口中选择“WINS”选项卡,在“NetBIOS设置”区域中启用TCP/IP上的NetBIOS。

端口漏洞:开启139端口虽然可以提供共享服务,但是常常被攻击者所利用进行攻击,比如使用流光、SuperScan等端口扫描工具,可以扫描目标计算机的139端口,如果发现有漏洞,可以试图获取用户名和密码,这是非常危险的。

操作建议:如果不需要提供文件和打印机共享,建议关闭该端口。

445端口:445端口是一个毁誉参半的端口,有了它我们可以在局域网中轻松访问各种共享文件夹或共享打印机,但也正是因为有了它,黑客们才有了可乘之机,他们能通过该端口偷偷共享你的硬盘,甚至会在悄无声息中将你的硬盘格式化掉!我们所能做的就是想办法不让黑客有机可乘,封堵住445端口漏洞

NO.3 在 Windows 下关闭135/139/445端口的图文方法

135端口主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务。 

端口说明:135端口主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务,通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码;使用DCOM可以通过网络直接进行通信,能够跨包括HTTP协议在内的多种网络传输。 

端口漏洞:相信去年很多Windows 2000和Windows XP用户都中了“冲击波”病毒,该病毒就是利用RPC漏洞来攻击计算机的。RPC本身在处理通过TCP/IP的消息交换部分有一个漏洞,该漏洞是由于错误地处理格式不正确的消息造成的。该漏洞会影响到RPC与DCOM之间的一个接口,该接口侦听的端口就是135。 

操作建议:为了避免“冲击波”病毒的攻击,建议关闭该端口。 

关闭135端口
一、单击“开始”——“运行”,输入“dcomcnfg”,单击“确定”,打开组件服务。



二、在弹出的“组件服务”对话框中,选择“计算机”选项。



三、在“计算机”选项右边,右键单击“我的电脑”,选择“属性”。



四、在出现的“我的电脑属性”对话框“默认属性”选项卡中,去掉“在此计算机上启用分布式COM”前的勾。 


五、选择“默认协议”选项卡,选中“面向连接的TCP/IP”,单击“删除”按钮。



六、单击“确定”按钮,设置完成,重新启动后即可关闭135端口。
 
139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。 
端口说明:139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。在Windows中要在局域网中进行文件的共享,必须使用该服务。比如在Windows 98中,可以打开“控制面板”,双击“网络”图标,在“配置”选项卡中单击“文件及打印共享”按钮选中相应的设置就可以安装启用该服务;在Windows 2000/XP中,可以打开“控制面板”,双击“网络连接”图标,打开本地连接属性;接着,在属性窗口的“常规”选项卡中选择“Internet协议(TCP/IP)”,单击“属性”按钮;然后在打开的窗口中,单击“高级”按钮;在“高级TCP/IP设置”窗口中选择“WINS”选项卡,在“NetBIOS设置”区域中启用TCP/IP上的NetBIOS。 

端口漏洞:开启139端口虽然可以提供共享服务,但是常常被攻击者所利用进行攻击,比如使用流光、SuperScan等端口扫描工具,可以扫描目标计算机的139端口,如果发现有漏洞,可以试图获取用户名和密码,这是非常危险的。 

操作建议:如果不需要提供文件和打印机共享,建议关闭该端口。 
关闭139端口
一、右键单击桌面右下角“本地连接”图标,选择“状态”。



二、在弹出的“本地连接状态”对话框中,单击“属性”按钮。



三、在出现的“本地连接属性”对话框中,选择“Internet协议(TCP/IP)”,双击打开。


四、在出现的“Internet协议(TCP/IP)属性”对话框中,单击“高级”按钮。



五、在出现的“高级TCP/IP设置”对话框中,选择“WINS”选项卡。



六、在“WINS”选项卡,“NetBIOS设置”下,选择“禁用TCP/IP上的” NetBIOS。



七、单击“确定”,重新启动后即可关闭139端口。
 
445端口是一个毁誉参半的端口,有了它我们可以在局域网中轻松访问各种共享文件夹或共享打印机,但也正是因为有了它,黑客们才有了可乘之机,他们能通过该端口偷偷共享你的硬盘,甚至会在悄无声息中将你的硬盘格式化掉!我们所能做的就是想办法不让黑客有机可乘,封堵住445端口漏洞。
 
关闭445端口
 
一、单击“开始”——“运行”,输入“regedit”,单击“确定”按钮,打开注册表。
 

 
二、找到注册表项“HKEY_LOCAL_MACHINESystemControlsetServicesNetBTParameters”。
 

 

三、选择“Parameters”项,右键单击,选择“新建”——“DWORD值”。
 

 

四、将DWORD值命名为“SMBDeviceEnabled”。
 

 
五、右键单击“SMBDeviceEnabled”值,选择“修改”。
 

 
六、在出现的“编辑DWORD值”对话框中,在“数值数据”下,输入“0”,单击“确定”按钮,完成设置。
 

NO.4 139和445端口

139和445端口

连接于微软网络上的电脑之间使用137和138端口取得IP地址。(www.51jianli.com]然后进行文件共享和打印机共享等实际通信。通信过程是通过SMB(服务器信息块)协议实现的。这里使用的是139和445端口。

SMB与CIFS的区别。Windows 2000以前版本的Windows使用NetBIOS协议解决各计算机名的问题。通过向WINS服务器发送通信对象的NetBIOS名,取得IP地址。而Windows以后的版本所采用的CIFS则利用DNS解决计算机的命名问题。根据DNS服务器中的名字列表信息,寻找需要通信的对象。如果顺利地得到对象的IP地址,就可以访问共享资源。

在SMB通信中,首先使用上述的计算机名解释功能,取得通信对象的IP地址,然后向通信对象发出开始通信的请求。如果对方充许进行通信,就会确立会话层(Session)。并使用它向对方发送用户名和密码信息,进行认证。如果认证成功,就可以访问对方的共享文件。在这些一连串的通信中使用的就是139端口。

Windows 2000和XP除此之外还使用445端口。文件共享功能本身与139端口相同,但该端口使用的是与SMB不同的协议。这就是在Windows 2000中最新使用的CIFS(通用因特网文件系统)协议。

CIFS和SMB解决计算机名的方法不同。SMB使用NetBIOS名的广播和WINS解决计算机名,而CIFS则使用DNS。

因此,在文件服务器和打印服务器使用Windows的公司内部网络环境中,就无法关闭139和445端口。很多情况下,文件共享和打印机共享在普通的业务中是不可缺少的功能。而客户端如果自身不公开文件,就可以关闭这两个端口。

假如是仅2000版本以后的Windows构成的网络,就可以关闭139端口。这是因为如前所述,该网络只用445端口就能够进行文件共享。由于在解决计算机名过程中使用DNS,所以也可以关闭137和138端口。不过,在目前情况下,基本上所有的网络系统都还在混合使用2000以前的Windows版本。在混合网络环境中由于必须使用139端口通过SMB协议进行通信,因此就无法关闭139端口。另外,浏览时还需要137~139端口。

公开服务器绝对应该关闭这些端口

在因特网上公开的服务器要另当别论。公开服务器打开139和445端口是一件非常危险的事情。就像本文开头所说的那样,如果有Guest帐号,而且没有设置任何密码时,就能够被人通过因特网轻松地盗看文件。如果给该帐号设置了写入权限,甚至可以轻松地篡改文件。也就是说在对外部公开的服务器中不应该打开这些端口。通过因特网使用文件服务器就等同自杀行为,因此一定要关闭139和445端口。对于利用ADSL永久性接入因特网的客户端机器可以说也是如此。

要关闭139端口,与137和138端口一样,可以选择“将NetBIOS over TCP/IP设置为无效”。而要想关闭445端口则必须进行其他工作。利用注册表编辑器在

445端口入侵 139和445端口

“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters”中追加名为“SMBDeviceEnabled”的DWORD值,并将其设置为0,然后重新起动机器。(www.51jianli.com)

.NET中安全策略改变了吗?

就像在此之前所讲的那样,直接在默认设置条件下使用现有的Windows将会出现各种各样的危险。这是因为Windows是为了让初学者不需进行复杂设置就可以使用而开发的。

比如Windows 2000 Server,在安装该系统时,会自动安装IIS。而且只需起动个人电脑,IIS服务就会启动。虽然下该服务的复选框是有效的。与

而Linux则在很多方面都采取的是完全不同的思路。比如,程中必须让用户设置防火墙。由于防火墙有“高”、“中”、“低”三种等级,因此所拦截的信息包也各不相同。如果选择“高”将关闭如果选择“中”,尽管会打开和68三个。

安装应用程序时的作法也不同。和“桌面”三种类型。因此即使选择“服务器”,如果用户不选择构筑兼容务器“Samba”和会直接起动。如果用户明确地启动必要的服务后,就不会打开。

如果只考虑方便性,自动起动各种服务。往还是在用户不知晓的情况下起动的。自己的客户端个人电脑免受危险,那么最好不要随便安装和设置。

美国微软也提出了“值得依赖的计算”(定于2003年初开始上市的“不同的是,将不再标准安装

不过,如果只要使用测试版,的。另外,从Windows XP是无效的。要想在默认设置下实现与设置为有效,然后用户再根据自己的需要,选择起动的服务。

火眼金睛看透“异样”网络端口走近网络端口 [2004-05-24]

无论你的服务器中安装的是Windows NT 4.0 Server2000一样,在起动电脑时,53(DNS)、1024以上的端口,但在一般人熟知的端口中打开的只有RedHat Linux 7.3Apache”等,就不会进行安装。另外,即便安装以后,也不没有设置利用过滤软件过滤信息包,要更好一些。这是因为即便不进行复杂的设置,系统也能够就甚至极有可能起动用户不希望起动的服务,可以这样说,如果希望安全地运行服务器,Trustworthy ComputingWindows .NET Server”实现服务。即便增加了IIS组件,135、137、138、139Linux相同等级的高安全性, Windows 2000 Server,还是IIS,但在默认条件服务也会自动起动。 RedHat Linux 7.3在安装过(DHCP)以外的全部端口,53、67“工作站”、“服务器”Windows的文件服相应端口而且这些服务往或者希望保护 )的计划,并计划利用。与Windows 2000起动时该服务也不会自动运行。 端口在默认条件下就是打开)”的使用在默认条件下也可以说最稳妥的方法是将ICFWindows Server 2003,它们无

可以选择是否安装IIS67和68在安装时可选择Web服务器“Windows但这样一来,“默认安全”IISOS和445开始导入的“因特网连接防火墙(ICF

445端口入侵 139和445端口

一例外会在默认安装下开通135端口、137端口、138端口、139端口和445端口。[www.51jianli.com]这些端口可以说都是一把“双刃剑”,它们既能为你提供便利,也会反过来,被其他人非法利用,成为你心中永远的痛。为此,我们很有必要熟悉这些端口,弄清它们的作用,找出它们的“命门”,以避免误伤了自己。

135端口

在许多“网管”眼里,135端口是最让人捉摸不透的端口,因为他们中的大多数都无法明确地了解到135端口的真正作用,也不清楚该端口到底会有哪些潜在的危险。直到一种名为“IEen”的专业远程控制工具出现,

IEen工具能够借助的IE浏览器。例如,在浏览器中执行的任何操作,包括浏览页面内容、输入帐号密码、输入搜索关键字等,都会被被IEen工具清楚地获得。除了可以对远程工作站上的工具通过135端口几乎可以对所有的借助制,例如IEen工具也能轻松进入到正在运行操作。

怎么样?135正地通过135端口入侵其他系统,还必须提前知道对方计算机的码等。只要你严格保密好这些信息,你的计算机被

为什么IEen工具能利用术,可以直接对其他工作站的信时,会自动调用目标主机中的当前有哪些端口可以被用来通信。据传输通道使用。在这一通信过程中,端口的映射功能。说简单一点,

137端口

137端口的主要作用是在局域网中提供计算机的名字或NetBIOS协议后,该端口会自动处于开放状态。

要是非法入侵者知道目标主机的就可能获得目标主机的相关名称信息。信息,目标主机本次开机、服务器或主域控制器来使用。

138端口

137、138端口都属于而138端口的主要作用就是提供人们才清楚135端口究竟会有什么样的潜在安全威胁。135端口轻松连接到Internet上的其他工作站,并远程控制该工作站IEen工具监控到。甚至在网上银行中输入的各种密码信息,都能IE浏览器进行操作、控制外,DCOM开发技术设计出来的应用程序进行远程控Excel的计算机中,直接对ExcelIP地址、系统登录名和密IEen工具攻击的可能性几乎不存在。135端口攻击其他计算机呢?原来该工具采用了一种DCOM程序进行远程控制。DCOM技术与对方计算机进行通RPC服务,而RPC服务将自动询问目标主机中的如此一来,目标主机就会提供一个可用的服务端口作为数135端口的作用其实就是为RPC通信提供一种服务135端口就是RPC通信中的桥梁。 IP地址查询服务,一般安装了 IP地址,并向该地址的137端口发送一个连接请求时,例如目标主机的计算机名称,注册该目标主机的用户关机时间等。此外非法入侵者还能知道目标主机是否是作为文件 UDP端口,它们在局域网中相互传输文件信息时,就会发生作用。NetBIOS环境下的计算机名浏览功能。

IEen DCOM技135端口, 进行各种编辑端口对外开放是不是很危险呀?当然,这种危险毕竟是理论上的,要想真

445端口入侵 139和445端口

非法入侵者要是与目标主机的138端口建立连接请求的话,就能轻松获得目标主机所处的局域网网络名称以及目标主机的计算机名称。(www.51jianli.com]有了计算机名称,其对应的IP地址也就能轻松获得。如此一来,就为黑客进一步攻击系统带来了便利。

139端口

139端口是一种TCP端口,该端口在你通过网上邻居访问局域网中的共享文件或共享打印机时就能发挥作用。

139端口一旦被Internet上的某个攻击者利用的话,因为黑客要是与目标主机的139端口建立连接的话,站中的全部共享信息,甚至可以对目标主机中的共享文件夹进行各种编辑、攻击者还知道目标主机的IP地址和登录帐号的话,还能轻而易举地查看到目标主机中的隐藏共享信息。

445端口

445端口也是一种TCP端口,该端口在统中发挥的作用与139端口是完全相同的。享服务。不过该端口是基于CIFS协议(通用因特网文件系统协议)工作的,而基于SMB协议(服务器协议族)对外提供共享服务。同样地,攻击者与连接,也能获得指定局域网内的各种共享信息。

关闭2000/XP的135/137/138/139/445端口详解

本地安全设置→IP安全策略,在本地机器→创建入:IP安全策略)→下一步→∨激活默认响应规则→下一步→(默认响应规则身份验证方式)●2000默认值(Kerberos V5协议)→下一步→∨编辑属性→完成 (IP安全策略)右键→属性→添加→下一步→(安全规则向导)→下一步→(隧道终结点)●此规则不指定隧道→下一步→(网络类型)●所有网络连接→下一步→(身份验证方法)●值(Kerberos V5协议)→下一步→安全规则向导(端口→确定

筛选器向导(IP通信源)源地址:我的IP下一步→(IP协议类型)选择协议类型:TCP口:135→下一步→IP筛选器列表(名称:关闭 安全规则向导(IP筛选器列表)关闭135→下一步→(筛选器操作常规选项)●阻止→下一步→筛选器操作向导→完成 安全规则向导(筛选器操作)●拒绝→下一步→(安全规则向导)完成 用同样的方法添加其他需要拒绝的端口→关闭 (IP安全策略)右键→指派(激活操作)

就能成为一个危害极大的安全漏洞。就很有可能浏览到指定网段内所有工作Windows 2000 Server它也是提供局域网中文件或打印机共 IP安全策略→(IP安全策略向导)

IP筛选器列表)添加→确定→(名称)输入:关闭IP通信目标)目标地址:任何IP协议端口)输入:从此端口:端口)关闭

删除操作,倘若Windows Server 2003系139端口是445端口建立请求IP安全策略名称(输Windows Windows 2000默认135IP地址→135,到此端)输入:拒绝或具体地说,

地址→下一步→(→下一步→(135端口→下一步→添加→筛选器操作向导(名称:

上一篇:2015年终晚会主持词|2015新年晚会主持词 上一篇:smile中英歌词|Demons中英歌词
与该文相关的文章

温馨提示:如果您对51阅读吧有任何建议,请通过网站联系邮箱向我们反馈,感谢各位的建议与支持!