稍微懂點(diǎn)電腦知識(shí)的朋友都知道，NetBIOS 是計(jì)算機(jī)局域網(wǎng)領(lǐng)域流行的一種傳輸方式，但你是否還知道，對(duì)于連接互聯(lián)網(wǎng)的機(jī)器來講，NetBIOS是一大隱患。

漏洞描述

NetBIOS(Network Basic Input Output System，網(wǎng)絡(luò)基本輸入輸出系統(tǒng))，是一種應(yīng)用程序接口(API)，系統(tǒng)可以利用WINS服務(wù)、廣播及Lmhost文件等多種模式將NetBIOS名解析為相應(yīng)IP地址，實(shí)現(xiàn)信息通訊，所以在局域網(wǎng)內(nèi)部使用NetBIOS協(xié)議可以方便地實(shí)現(xiàn)消息通信及資源的共享。因?yàn)樗加孟到y(tǒng)資源少、傳輸效率高，尤為適于由 20 到 200 臺(tái)計(jì)算機(jī)組成的小型局域網(wǎng)。 所以微軟的客戶機(jī)/服務(wù)器網(wǎng)絡(luò)系統(tǒng)都是基于NetBIOS的。

當(dāng)安裝TCP/IP協(xié) 議時(shí)，NetBIOS 也被Windows作為默認(rèn)設(shè)置載入，我們的計(jì)算機(jī)也具有了NetBIOS本身的開放性，139端口被打開。某些別有用心的人就利用這個(gè)功能來攻擊服務(wù)器，使管理員不能放心使用文件和打印機(jī)共享。

利用NetBIOS漏洞攻擊

1.利用軟件查找共享資源

利用NetBrute Scanner 軟件掃描一段IP地址（如10.0.13.1~10.0.13.254）內(nèi)的共享資源，就會(huì)掃描出默認(rèn)共享（如圖1）。

2. 用PQwak破解共享密碼

雙擊掃描到的共享文件夾，如果沒有密碼，便可直接打開。當(dāng)然也可以在IE的地址欄直接輸入掃描到的帶上共享文件夾的IP地址，如“\\10.0.13.191”（或帶C＄，D＄等查看默認(rèn)共享）。如果設(shè)有共享密碼，會(huì)要求輸入共享用戶名和密碼，這時(shí)可利用破解網(wǎng)絡(luò)鄰居密碼的工具軟件，如PQwak，破解后即可進(jìn)入相應(yīng)文件夾。

關(guān)閉NetBIOS漏洞

發(fā)現(xiàn)機(jī)器被人改動(dòng)，作為管理員的我氣壞了。經(jīng)過仔細(xì)研究，終于找出了關(guān)閉NetBIOS協(xié)議解決辦法。

1. 解開文件和打印機(jī)共享綁定

鼠標(biāo)右擊桌面上[網(wǎng)絡(luò)鄰居]→[屬性] →[本地連接] →[屬性]，去掉“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”前面的勾，解開文件和打印機(jī)共享綁定。這樣就會(huì)禁止所有從139和445端口來的請(qǐng)求，別人也就看不到本機(jī)的共享了。

2. 利用TCP/IP篩選

鼠標(biāo)右擊桌面上[網(wǎng)絡(luò)鄰居] →[屬性]→[本地連接] →[屬性]，打開“本地連接屬性”對(duì)話框。選擇[Internet協(xié)議(TCP/IP)]→[屬性]→[高級(jí)]→[選項(xiàng)]， 在列表中單擊選中“TCP/IP篩選”選項(xiàng)。單擊[屬性]按鈕，選擇“只允許”，再單擊[添加]按鈕(如圖2)，填入除了139和445之外要用到的端口。這樣別人使用掃描器對(duì)139和445兩個(gè)端口進(jìn)行掃描時(shí)，將不會(huì)有任何回應(yīng)。

3. 使用IPSec安全策略阻止對(duì)端口139和445的訪問

選擇[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略，在本地機(jī)器]，在這里定義一條阻止任何IP地址從TCP139和TCP445端口訪問IP地址的IPSec安全策略規(guī)則，這樣別人使用掃描器掃描時(shí)，本機(jī)的139和445兩個(gè)端口也不會(huì)給予任何回應(yīng)。

4. 停止Server服務(wù)

選擇[我的電腦]→[控制面板]→[管理工具]→[服務(wù)]，進(jìn)入服務(wù)管理器，關(guān)閉Server服務(wù)。這樣雖然不會(huì)關(guān)閉端口，但可以中止本機(jī)對(duì)其他機(jī)器的服務(wù)，當(dāng)然也就中止了對(duì)其他機(jī)器的共享。但是關(guān)閉了該服務(wù)會(huì)導(dǎo)致很多相關(guān)的服務(wù)無法啟動(dòng)，如機(jī)器中如果有IIS服務(wù)，則不能采用這種方法。

5. 使用防火墻防范攻擊

在防火墻中也可以設(shè)置阻止其他機(jī)器使用本機(jī)共享。如在“天網(wǎng)個(gè)人防火墻”中，選擇一條空規(guī)則，設(shè)置數(shù)據(jù)包方向?yàn)椤敖邮铡?，?duì)方IP地址選“任何地址”，協(xié)議設(shè)定為“TCP”，本地端口設(shè)置為“139到139”，對(duì)方端口設(shè)置為“0到0”，設(shè)置標(biāo)志位為“SYN”，動(dòng)作設(shè)置為“攔截”，最后單擊[確定]按鈕，并在“自定義IP規(guī)則”列表中勾選此規(guī)則即可啟動(dòng)攔截139端口攻擊了(如圖3)。

以上五種方法你可以根據(jù)自身的具體情況選擇。關(guān)閉了共享，雖然無法使用共享來管理機(jī)器，但是為避免別有用心者來竊取我機(jī)器的文件或是作修改，這點(diǎn)損失還是值得的。