NetBIOS 端口开放问题

NetBIOS 端口开放问题
NetBIOS 端口开放问题
天网安全在线推出全国首个在线安全检测系统–”天网医生”，它可以初步检测计算机存在的一些安全隐患，并且根据检测结果判断你系统的级别，引导你进一步解决你系统中可能存在的安全隐患。

不过有时，如果你安装并开启了有效的防火墙或进行了有效安全设置，天网会通常会出现一些令普通用户难以理解的结果，如下：
135端口开放！（NT,2000）
或 139端口开放！
关于天网端口扫描检测的说明：
在您电脑上，如果出现了一些标准的、容易受攻击的网络服务端口，端口扫描器会尝试建立标准的TCP/IP（网络）连接。

当端口扫描器完成扫描后，那些端口是敞开着的，和从端口扫描器传送了什么连接请求都将一目了然。

检测系统在几个知名的服务端口进行，每个端口的扫描结果会分为开放、关闭和隐藏三种状态。

主要是为了提醒联网的用户，在互联网上会有各种各样的端口扫描器在扫描接入互联网的各种系统的网络端口，以寻找系统的安全漏洞。

1、如何理解并关闭135端口
135端口开放实际上是一个WINNT漏洞,开放的135的端口情况容易引起自外部的”Snork”攻击！！！
对于135端口开放的问题，可以在你的防火墙上，增加一条规则：拒绝所有的这类进入的UDP包，目的端口是135，源端口是7，19，或者135，这样可以保护内部的系统，防止来自外部的攻击。

大多数防火墙或者包过滤器已经设置了很多严格的规则，已覆盖了这条过滤规则，但任需注意：有一些NT的应用程序，它们依靠UDP135端口进行合法的通讯，而打开你135的端口与NT的RPC服务进行通讯。

如果真是这样，你一定要在那些原始地址的系统上(需要135口通讯)，实施上述的规则，指定来自这些系统的通讯可以通过防火墙，或者，可以被攻击检测系统所忽略，以便维持那些应用程序的正常连接。

！！！为了保护你的信息安全，强烈建议你安装微软的最新NT补丁包。

！！！
2、如何理解并关闭139端口（NetBIOS提供服务的tcp端口）
Netbios（NETwork Basic Input/Output
System）网络基本输入输出系统。

是1983年IBM开发的一套网络标准，微软在这基础上继续开发。

微软的客户机／服务器网络系统都是基于NetBIOS的。

在利用Windows
NT4.0
构建的网络系统中，对每一台主机的唯一标识信息是它的NetBIOS名。

系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应
IP地址，从而实现信息通讯。

在这样的网络系统内部，利用NetBIOS名实现信息通讯是非常方便、快捷的。

但是在Internet上,它就和一个后门程序差不多了。

因此，我们很有必要堵上这个可怕的漏洞。

对于win9x ：
在windows9x下如果你是个拨号用户。

完全不需要登陆到nt局域网络环境的话。

只需要在控制面板-网络-删除microsoft网络用户，使用microsoft友好登陆就可以了。

但是如果你需要登陆到nt网络的话。

那这一项就不能去处。

因为nt网里需要使用netbios。

方法1：
1．检查NetBEUI是否出现在配置栏中。

打开控制面版，双击“网络”选项，打开“网络”对话框。

在“配置”标签页中检查己安装的网络组件中是否有NetBEUI。

如果没有，点击列表下边的添加按钮，选中“网络协议”对话框，在制造商列表中选择微软，在网络协议列表中选择NetBEUI。

点击确定，根据提示插入安装盘，安装NetBEUI。

2．回到“网络”对话框，选中“拨号网络适配器”，点击列表右下方“属性”按钮。

在打开的“属性”对话框中选择“绑定”标签页，将除“TCP/IP->网络适配器”之外的其它项目前复选框中的对勾都取消！
3．回到“网络”对话框，选中“TCP/IP->拨号网络适配器”点击列表右下方“属性”按钮，不要怕弹出的警告对话框，点击“确定”。

在“TCP/IP属性”对话框中选择“绑定”标签页，将列表中所有项目前复选框中的对勾都取消！点击“确定”，这时Windows会警告你“尚未选择绑定的驱动器。

现在是否选择驱动器？”点击“否”。

之后，系统会提示重新启动计算机，确认。

4．证实己取消绑定。

重新进入“TCP/IP->拨号网络适配器”的“TCP/IP属性”对话框，选定“NetBIOS”标签页，看到“通过TCP/IP启用NetBIOS”项被清除了吧！连点两次“取消”退出“网络”对话框（不要点“确认”，免得出现什么意外）。

方法2：
运行RegEdit.exe
查找串“vnetbios”,找到后再选择“查找下一个”，将找到象
“blahblah\\VxD\\VNETBIOS\\”的串，删除“VNETBIOS”项即可。

操作一定要谨慎，误操作可能导致系统崩溃，另关掉139端口后将无法共享文件和打印功能。

对于winNT ：
在windowsNT下你可以取消netbios与TCP/IP协议的绑定。

控制面板-网络-Netbios接口-WINS客户（tcp/ip)-禁用。

确定。

重启。

这样nt的计算机名和工作组名也隐藏了，不过会造成基于netbios的一些命令无法使用。

如net等。

对于WIN2000 ：
选中网络邻居——》右键——》本地连接——》INTERNET协议（TCP/IP）——》属性——》高级——》选项——》TCP/IP筛选——》在“只允许”中填入除了137，138，139只外的端口。

如果你在局域网中，会影响局域网的使用当然还有最方便的方法：
选择一条天网的空规则，数据包方向选接收；对方IP地址选任何；协议TCP；本地端口139到139；对方端口0到0；标志位在SYN标志上打勾；动作拦截。

然后把这条规则勾上让它生效，保存即可。

最后谈谈这个后门的端口，137，138是udp端口。

当通过网络邻居传输文件的时候就是通过这个2个端口.139端口是netbios提供服务的tcp端口。

在windows9x下可以完全关闭这几个端口。

完全禁止了netbios服务。

方式是在控制面板-网络-只保留tcp/ip协议和拨号网络适配器。

但是这样windows会提示你网络不完整。

但是还可以继续使用。

在tcp/ip协议里的netbios一项不要选择绑定到tcp/ip协议。

这时候你的netbios服务完全停止了。

你的机器也没有137，138和139端口了。

这样追捕也搞不清你到底是9x还是unix了。

windowsNT 下可以封锁这些端口。

封锁不必要的TCP和UDP端口可以通过在网络控制面板的IP地址对话框中进行配置来完成。

点击高级按钮激活高级IP地址对话框，然后点击Enable Secury 对话框，然后点击配置按钮激活TCP/IP安全对话框，
那里列出了那些TCP和UDP端口被允许了。

但是好像不能识别拨号网络适配器。

以上的方法都是给不需要连接入局域网的计算机的配置方法。

如果你是一台拨号上网的单机那么完全可以禁止netbios服务。

但是如果你需要接入局域网的话。

那你只能注意加密你的共享资源了。

否则全互联网的人都可以通过这个windows的“后门”到你的计算机里了：）
微软03年3月27日宣布Windows NT
4.0/2000/XP存在新的安全漏洞。

如果有人向TCP/UDP的135端口发送做了手脚的数据，RPC服务及依赖于RPC服务的服务就有可能关闭。

对策是安装补丁程序，或者利用防火墙等工具关闭135端口。

此次公布的安全漏洞的严重等级为正数第二级的“重要”级。

不过，即使恶意使用该安全漏洞，也不会执行任意代码。

此次的安全漏洞是在Windows NT 4.0/2000/XP默认设置条件下运行的“RPC Endpoint Mapper”中发现的。

RPC
Endpoint Mapper是指为RPC客户端的特定RPC服务分配特定端口的服务。

RPC Endpoint
Mapper在135端口受理客户端请求。

Windows NT 4.0的RPC Endpoint
Mapper以前也发现过同样的漏洞。

尽管当时公布了补丁程序，而对于此次的安全漏洞则没有公布Windows NT
4.0所需的补丁程序。

据日本微软提供的信息称“由于Windows NT 4.0架构上的限制，无法提供补丁程序”。

因此，对Windows NT
4.0只能利用防火墙等工具关闭135端口，以避免来自外部的攻击。

当然，
关闭135端口是网络安全的常识。

不仅此次的安全漏洞，对于其它漏洞而言也应关闭该端口。

Windows 2000/XP的补丁程序已经公布。

可以由微软安全信息的页面上下载，或者由Windows Update安装。

在默认设置条件下直接运行Windows，很多端口就会处于开放状态。

由于多种服务会自动起动，因此不需进行复杂的设置就能够使用各种服务。

但如果置之不理，就可能成为攻击者的攻击对象。

安全对策的基础是严格区分必要和不需要的服务，然后关闭不需要的服务。

为此就必须了解Windows在默认设置中处于开放状态的具有代表性的端口的作用及其危险性，并进行适当的设置。

通过因特网，服务器硬盘中的内容全部都可以看见。

而且还能够非常轻松地篡改和删除其中的数据。

也许读者会想：哪里有有设置如此笨拙的服务器？！很多人觉得只要不进行极端的设置、故意对外公开硬盘中的内容，就不会出现这种情况。

但实际上，在Windows中，即便管理员并非明确地起动某种服务、或者开放某个端口，也有可能发生这种情况。

netusem:\xxx.xxx.xxx.xxxc$
●如果使用net命令，就能够分配到共享资源。

“C$”是C盘的共享名
在默认设置下，Windows会开放提供文件共享服务的TCP的139号端口。

因此，在默认条件下起动文件共享服务后，系统就进入等待状态。

由此，机器就会始终处于被攻击者访问共享资源的危险境地。

而共享资源则可以利用net命令轻松地进行分配。

尽管C盘如果没有管理员权限就无法共享，但如果不经意地将Guest帐号设置为有效以后，就能够访问C盘，这样一来就非常轻松地破坏硬盘。

而且，今后也有可能发现其它利用文件共享服务发动攻击的严重安全漏洞。

安全对策的基本原则是关闭不需要的服务。

如果不起动服务，即便外部发来连接请求，机器也不会作出响应。

要做到这一步，电脑管理员就必须充分了解哪些服务是必须的，以及目前实际上起动了哪些服务。

但是，在Windows中，在默认条件下会起动很多服务，而且很多时候各服务的作用也不容易搞清楚。

而很多管理员不仅认识不到端口开放的危险性，而且在不了解服务的作用和必要性的情况下就会直接连接因特网.
应该注意的5个端口
那么，实际上在Windows默认条件下所开放的端口有哪些呢？在安装了Windows系统后，对在默认条件下开放的端口进行了一次调查。

调查中使用了免费端口扫描工具“Nmap”（/nmap/）。

在几乎所有的Windows中所开放的端口包括135、137、138和139。

此外，在2000、XP和.NETServer中445端口也是开放的。

Windows在默认条件下开放的众所周知的端口就是这5个
这些到底是不是真正必要的服务呢？要想下结论，就必须充分了解这些端口各自的作用。

虽说在默认条件下是开放的，但如果保持这种默认设置不变，就会在无意识的情况下受到非法访问。

因此，应该尽可能关闭不需要的服务。

无论如何也不能停止的服务必须使用过滤软件，确保能够防止外部访问.
下面对几乎所有的Windows在默认条件下开放的最具代表性的5个端口即135、137、138、139和445等各自的作用作一详细介绍。

了解它们的作用后，就能够推测出开放端口后可能存在哪些危险，从而就可以方便地制定相应的对策。

利用工具验证到的135端口的危险性
虽说大家都说非常危险，但即难以了解其用途，又无法实际感受到其危险性的代表性端口就是135号。

但是2002年7月能够让人认识到其危险性的工具亮相了，这就是“IE‘en”。

该工具是由提供安全相关技术信息和工具类软件的“”公司（
）在网上公开提供的。

其目的是以简单明了的形式验证135端口的危险性，呼吁用户加强安全设置。

不过，由于该工具的威力非常大，因此日本趋势科技已经将该工具的特征代码追加到了病毒定义库文件中。

如果在安装了该公司的病毒扫描软件的电脑中安装IE‘en，就有可能将其视为病毒。

可以看到SSL的内容
IE‘en是一种远程操作IE浏览器的工具。

不仅可以从连接到网络上的其他电脑上正在运行的IE浏览器中取得信息，而且还可以对浏览器本身进行操作。

具体而言，就是可以得到正在运行的IE浏览器的窗口一览表、各窗口所显示的Web站点的URL及Cookie，以及在检索站点中输入的检索关键词等信息。

该工具所展示的最恐怖的情况是，在非加密状态下可以看到本应受到SSL保护的数据。

所以可以由此获取加密前或者还原后的数据。

如果使用IE‘en，甚至能够直接看到比如在网络银行等输入的银行现金卡密码等信息。

IE‘en使用的是WindowsNT4.0/2000/XP标准集成的分布式对象技术DCOM（分布式组件对象模块）。

使用DCOM可以远程操作其他电脑中的DCOM应用程序。

该技术使用的是用于调用其他电脑所具有的函数的RPC （RemoteProcedureCall，远程过程调用）功能。

而这个RPC使用的就是135端口。

利用RPC功能进行通信时，就会向对方电脑的135端口询问可以使用哪个端口进行通信。

这样，对方的电脑就会告知可以使用的端口号。

实际的通信将使用这个端口来进行。

135端口起的是动态地决定实际的RPC通信所使用的端口的端口映射作用。

如果是利用DCOM技术开发的应用程序，都可以像IE浏览器那样进行操作。

比如，连接正在利用Excel工作的其他电脑，获取单元格中输入的值，或者对这个值本身进行编辑并非不可能的事情。

不过，要想利用该方法操纵他人的电脑，就必须知道该机的IP地址和注册名以及密码。

因此，通过因特网而受到第三者的攻击的可能性非常低。

而危险性最高的是公司内部环境。

尤其是客户端更为危险。

这是因为在大多情况下不仅可以轻而易举地得到他人的IP地址和注册名，而且密码的管理也不是很严格。

学校以及网吧等多台电脑采用相同设置的场合也需加以注意。

在公司内部环境中务必将DCOM设置为无效回避这种危险的最好办法是关闭RPC服务。

在“控制面板”的“管理工具”中选择“服务”，在“服务”窗口中打开“RemoteProcedureCall”属性。

在属性窗口中将启动类型设置为“已禁用”，自下次起动开始RPC就将不再启动（要想将其设置为有效，在注册表编辑器中将“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs”的“Start”的值由0×04变成0×02后，重新起动机器即可）。

不过，进行这种设置后，将会给Windows的运行带来很大的影响。

比如WindowsXPProfessional，从登录到显示桌面画面，就要等待相当长的时间。

这是因为Windows的很多服务都依赖于RPC，而这些服务在将RPC设置为无效后将无法正常起动。

由于这样做
弊端非常大，因此一般来说，不能关闭RPC服务。

那么接下来要考虑的对策是信息包过滤。

但是这同样也会给Windows
的运行带来各种影响。

比如，如果在客户端关闭135端口，就无法使用Outlook 连接ExchangeServer。

因为管理分布式处理的MSDTC、负责应用程序之间的信息交换的MSMQ以及动态地向连接网络的电脑分配地址的DHCP等服务也都使用这个端口。

精通Windows网络的高桥基信表示：“在Windows服务中，有很多服务需要使用RPC。

另外，Windows网络并不是设想在客户端与服务器之间存在防火墙的状态而组建的。

因此公司内部网络环境中使用过滤功能时，应该在充分验证后加以实施”。

也就是说，在公司内部环境中不仅是客户端，即便是服务器也无法关闭135端口。

服务器方面，为了使活动目录和主域实现同步，就要使用135端口。

但是却有办法只将DCOM设置为无效。

这就是利用WindowsNT/2000/XP标准集成的“dcomcnfg.exe”工具。

从DOS命令中运行该工具以后，打开分布式COM 配置属性窗口，选择“默认属性”页标，取消“在这台计算机上启用分布式COM”选项即可（图3）。

在公司内部不使用DCOM，并且不想让其他计算机操作自己电脑COM的时候，就应该采用这种设置。

如果是客户端，也有办法禁止远程登录电脑。

依次选择“控制面板”、“管理工具”和“本地安全策略”，打开本地安全设置窗口，选择本地策略中的用户权利指派，然后利用该项下的“拒绝从网络访问这台计算机”，指定拒绝访问的对象。

如果想拒绝所有的访问，最好指定为“Everyone”。

公开服务器应该关闭135端口
公开于因特网上的服务器基本上不使用RPC。

如前所述，尽管危险性比公司内部环境低，但只要不运行使用DCOM的特定应用程序（只要不是必须的服务），就应该关闭135端口。

比如只是作为Web服务器、邮件或DNS服务器来使用的话，即便关闭135端口，也不会出现任何问题。

不过需要通过因特网来使用DCOM应用程序时，就不能关闭该端口。

但需要采取严格管理密码的措施。

“话匣子”端口137和138
具体而言，就是说通过137端口除了该机的计算机名和注册用户名以外，还可以得到该机是否为主域控制器和主浏览器、是否作为文件服务器使用、IIS和Samba是否正在运行以及LotusNotes是否正在运行等信息。

据公司的MichiharuArimoto介绍：“除了计算机名以外，还可以准确地了解IIS、主域控制器、主域浏览器以及文件服务器等相关信息。

虽说不是百分之百，但有时还能够得到其他信息”。

也就是说，只要您想获得这些信息，只需向这台个人电脑的137端口发送一个请求即可。

只要知道IP地址，就可以轻松做到这一点。

不只是公司内部网络，还可以通过因特网得到这样的信息。

对于攻击者来说，这简直太方便了，可以很容易地了解目标电脑的作用及网络的结构。

随意地泄漏这样的信息，就好象是很友好地告诉攻击者应该如何来攻击自己的电脑。

比如，如果知道IIS服务正在运行，就可以轻松地了解这台电脑上已经起动的服务。

攻击者根本不必特意地通过端口扫描来寻找可以下手入侵的端口。

另外，如果捕捉到正在利用137端口进行通信的信息包，还有可能得到
目标主机的起动和关闭时间。

这是因为Windows起动或关闭时会由137端口发送特定的信息包。

如果掌握了目标主机的起动时间，就可以非常轻松地使用上一次所讲的IE‘en等软件通过135端口操作对方的DCOM。

使用137端口，管理计算机名
137端口为什么会把这种信息包泄漏到网络上呢？这是因为，在Windows网络通信协议–“NetBIOSoverTCP/IP（NBT）”的计算机名管理功能中使用的是137端口。

计算机名管理是指Windows网络中的电脑通过用于相互识别的名字–NetBIOS名，获取实际的IP地址的功能。

可以用两种方法使用137端口。

一种方法是，位于同一组中的电脑之间利用广播功能进行计算机名管理。

电脑在起动时或者连接网络时，会向位于同组中的所有电脑询问有没有正在使用与自己相同的NetBIOS名的电脑。

每台收到询问的电脑如果使用了与自己相同的NetBIOS名，就会发送通知信息包。

这些通信是利用137端口进行的。

另一种方法是利用WINS（Windows因特网名称服务）管理计算机名。

被称为WINS服务器的电脑有一个IP地址和NetBIOS名的对照表。

WINS客户端在系统起动时或连接网络时会将自己的NetBIOS名与IP地址发送给WINS服务器。

与其他计算机通信时，会向WINS服务器发送NetBIOS名，询问IP地址。

这种方法也使用137端口。

如上所述，为了得到通信对象的IP地址，137端口就要交换很多信息包。

在这些信息包中，包括有如表3所示的很多信息。

利用广播管理计算机名时，会向所有电脑发送这些信息。

如果使用NBT，就会在用户没有查觉的情况下，由电脑本身就会向外部散布自己的详细信息。

138端口用于浏览
而138端口也和137端口一样会向外部发送自己的信息。

尽管信息量没有137端口那么多，但其特点是会被别人得到Windows的版本信息。

比如，会泄漏Windows版本是Windows2000Server。

138端口提供NetBIOS的浏览功能。

该功能用于显示连接于网络中的电脑一览表。

比如，在Windows2000中由“网络邻居”中选择“整个网络”后，就会完整地显示连接于网络中的电脑。

该功能使用的是与上面所讲的计算机名管理不同的运行机制。

在浏览功能中，被称为主浏览器的电脑管理着连接于网络中的电脑一览表的浏览列表。

每台电脑在起动时或连接网络时利用138端口广播自己的NetBIOS名。

收到NetBIOS名的主浏览器会将这台电脑追加到浏览列表中。

需要显示一览表时，就广播一览表显示请求。

收到请求的主游览器会发送浏览列表。

关闭电脑时，机器会通知主浏览器，以便让主浏览器将自己的NetBIOS名从列表中删除掉。

这些信息的交换使用的是138端口。

由于这里也会进行广播，因此就会将自己的电脑信息发送给同组中的所有电脑。

公开服务器应关闭NetBIOS
NetBIOS服务使用了137和138端口的向外部发送自己信息的功能。

一般情况下，这是一种在连接在因特网上的公开服务器不需要的服务。

因为NetBIOS主要用于Windows网络中。

因此，公开服务器应该停止这种服务。

而对于在公司内部网络环境中构筑Windows网络的电脑来说，NetBIOS 则是必要的服务。

如要停止NetBIOS，反过来就必须放弃Windows网络的方便性。

不过，如果是Windows2000以上的版本，不使用NetBIOS也能够管理计算机
名（详情后述）。

因此如果是全部由Windows2000以上的个人电脑构筑而成的网络，就可以停止NBT。

虽说如此，此时方便性就会降低，比如，无法显示用于寻找文件共享对象的信息。

要想停止NetBIOS服务，首先由控制面板中选择目前正在使用的网络连接，在属性窗口中查看“Internet协议（TCP/IP）”的属性。

在“常规”页标中单击“高级”按钮，在“WINS”页标中选择“禁用TCP/IP上的NetBIOS（S）”即可。

这样，就可以关闭137、138以及后面将要讲到的139端口。

在此需要注意一点。

NetBEUI协议如果为有效，NetBIOS服务将会继续起作用。

在Windows95中，NetBIOS是在默认条件下安装的。

在更高的Windows 版本中，如果选择也可以安装。

所以不仅要停止NBT，还应该确认NetBEUI是否在起作用。

如果使用NetBEUI，即便关闭137端口，也仍有可能向外部泄漏表3所示的信息
139和445端口是危险的代名词
连接于微软网络上的电脑之间使用137和138端口取得IP地址。

然后进行文件共享和打印机共享等实际通信。

通信过程是通过SMB（服务器信息块）协议实现的。

这里使用的是139和445端口。

Windows2000以前版本的Windows使用NetBIOS协议解决各计算机名的问题。

通过向WINS服务器发送通信对象的NetBIOS名，取得IP地址。

而Windows 以后的版本所采用的CIFS则利用DNS解决计算机的命名问题。

根据DNS服务器中的名字列表信息，寻找需要通信的对象。

如果顺利地得到对象的IP地址，就可以访问共享资源
在SMB通信中，首先使用上述的计算机名解释功能，取得通信对象的IP地址，然后向通信对象发出开始通信的请求。

如果对方充许进行通信，就会确立会话层（Session）。

并使用它向对方发送用户名和密码信息，进行认证。

如果认证成功，就可以访问对方的共享文件。

在这些一连串的通信中使用的就是139
端口。

Windows2000和XP除此之外还使用445端口。

文件共享功能本身与139端口相同，但该端口使用的是与SMB不同的协议。

这就是在Windows2000中最新使用的CIFS（通用因特网文件系统）协议。

CIFS和SMB解决计算机名的方法不同。

SMB使用NetBIOS名的广播和WINS 解决计算机名，而CIFS则使用DNS
因此，在文件服务器和打印服务器使用Windows的公司内部网络环境中，就无法关闭139和445端口。

很多情况下，文件共享和打印机共享在普通的业务中是不可缺少的功能。

而客户端如果自身不公开文件，就可以关闭这两个端口。

假如是仅2000版本以后的Windows构成的网络，就可以关闭139端口。

这是因为如前所述，该网络只用445端口就能够进行文件共享。

由于在解决计算机名过程中使用DNS，所以也可以关闭137和138端口。

不过，在目前情况下，基本上所有的网络系统都还在混合使用2000以前的Windows版本。

在混合网络环境中由于必须使用139端口通过SMB协议进行通信，因此就无法关闭139端口。

另外，浏览时还需要137～139端口。

公开服务器绝对应该关闭这些端口
在因特网上公开的服务器要另当别论。

公开服务器打开139和445端口是一件非常危险的事情。

就像本文开头所说的那样，如果有Guest帐号，而且没有设置任何密码时，就能够被人通过因特网轻松地盗看文件。

如果给该帐号设置了写。