NetBIOS協(xié)議基本上已經(jīng)被絕大多數(shù)系統(tǒng)默認(rèn)載入了。因?yàn)樗蚑CP/IP協(xié)議是綁定在一起的。那么如果不注意相關(guān)的設(shè)置，就會(huì)出現(xiàn)NetBIOS協(xié)議漏洞的問(wèn)題。那么這篇文章就主要分析一下NetBIOS協(xié)議漏洞的問(wèn)題。當(dāng)安裝TCP/IP協(xié) 議時(shí)，NetBIOS協(xié)議也被Windows作為默認(rèn)設(shè)置載入，我們的計(jì)算機(jī)也具有了NetBIOS本身的開(kāi)放性。某些別有用心的人就利用這個(gè)功能來(lái)攻擊服務(wù)器，使管理員不能放心使用文件和打印機(jī)共享。

利用NetBIOS協(xié)議漏洞進(jìn)行攻擊的端口分別為：

135端口開(kāi)放實(shí)際上是一個(gè)WINNT漏洞，開(kāi)放的135的端口情況容易引起自外部的“Snort”攻擊！?。?/p>

對(duì)于135端口開(kāi)放的問(wèn)題，可以在你的防火墻上，增加一條規(guī)則：拒絕所有的這類進(jìn)入的UDP包，目的端口是135，源端口是7，19，或者135，這樣可以保護(hù)內(nèi)部的系統(tǒng)，防止來(lái)自外部的攻擊。大多數(shù)防火墻或者包過(guò)濾器已經(jīng)設(shè)置了很多嚴(yán)格的規(guī)則，已覆蓋了這條過(guò)濾規(guī)則，但任需注意：有一些NT的應(yīng)用程序，它們依靠UDP135端口進(jìn)行合法的通訊，而打開(kāi)你135的端口與NT的RPC服務(wù)進(jìn)行通訊。如果真是這樣，你一定要在那些原始地址的系統(tǒng)上（需要135口通訊），實(shí)施上述的規(guī)則，指定來(lái)自這些系統(tǒng)的通訊可以通過(guò)防火墻，或者，可以被攻擊檢測(cè)系統(tǒng)所忽略，以便維持那些應(yīng)用程序的正常連接。為了保護(hù)你的信息安全，強(qiáng)烈建議你安裝微軟的最新補(bǔ)丁包。

上面我們說(shuō)到Netbios（NETwork Basic Input/Output System）網(wǎng)絡(luò)基本輸入輸出系統(tǒng)。是1983年IBM開(kāi)發(fā)的一套網(wǎng)絡(luò)標(biāo)準(zhǔn)，微軟在這基礎(chǔ)上繼續(xù)開(kāi)發(fā)。微軟的客戶機(jī)／服務(wù)器網(wǎng)絡(luò)系統(tǒng)都是基于NetBIOS的。在利用Windows NT4.0 構(gòu)建的網(wǎng)絡(luò)系統(tǒng)中，對(duì)每一臺(tái)主機(jī)的唯一標(biāo)識(shí)信息是它的NetBIOS名。系統(tǒng)可以利用WINS服務(wù)、廣播及Lmhost文件等多種模式通過(guò)139端口將NetBIOS名解析為相應(yīng)IP地址，從而實(shí)現(xiàn)信息通訊。在這樣的網(wǎng)絡(luò)系統(tǒng)內(nèi)部，利用NetBIOS名實(shí)現(xiàn)信息通訊是非常方便、快捷的。但是在Internet上，它就和一個(gè)后門程序差不多了。因此，我們很有必要堵上這個(gè)可怕的漏洞。

利用NetBIOS協(xié)議漏洞攻擊

1.利用軟件查找共享資源

利用NetBrute Scanner 軟件掃描一段IP地址（如10.0.13.1~10.0.13.254）內(nèi)的共享資源，就會(huì)掃描出默認(rèn)共享

2. 用PQwak破解共享密碼 雙擊掃描到的共享文件夾，如果沒(méi)有密碼，便可直接打開(kāi)。當(dāng)然也可以在IE的地址欄直接輸入掃描到的帶上共享文件夾的IP地址，如“\\10.0.13.191”（或帶C＄，D＄等查看默認(rèn)共享）。如果設(shè)有共享密碼，會(huì)要求輸入共享用戶名和密碼，這時(shí)可利用破解網(wǎng)絡(luò)鄰居密碼的工具軟件，如PQwak，破解后即可進(jìn)入相應(yīng)文件夾。

關(guān)閉NetBIOS協(xié)議漏洞

1. 解開(kāi)文件和打印機(jī)共享綁定

鼠標(biāo)右擊桌面上[網(wǎng)絡(luò)鄰居]→[屬性] →[本地連接] →[屬性]，去掉“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”前面的勾，解開(kāi)文件和打印機(jī)共享綁定。這樣就會(huì)禁止所有從139和445端口來(lái)的請(qǐng)求，別人也就看不到本機(jī)的共享了。

2. 利用TCP/IP篩選

鼠標(biāo)右擊桌面上[網(wǎng)絡(luò)鄰居] →[屬性]→[本地連接] →[屬性]，打開(kāi)“本地連接屬性”對(duì)話框。選擇[Internet協(xié)議(TCP/IP)]→[屬性]→[高級(jí)]→[選項(xiàng)]， 在列表中單擊選中“TCP/IP篩選”選項(xiàng)。單擊[屬性]按鈕，選擇“只允許”，再單擊[添加]按鈕(如圖2)，填入除了139和445之外要用到的端口。這樣別人使用掃描器對(duì)139和445兩個(gè)端口進(jìn)行掃描時(shí)，將不會(huì)有任何回應(yīng)。 #p#

3. 使用IPSec安全策略阻止對(duì)端口139和445的訪問(wèn)

選擇[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略，在本地機(jī)器]，在這里定義一條阻止任何IP地址從TCP139和TCP445端口訪問(wèn)IP地址的IPSec安全策略規(guī)則，這樣別人使用掃描器掃描時(shí)，本機(jī)的139和445兩個(gè)端口也不會(huì)給予任何回應(yīng)。

4. 停止Server服務(wù)

選擇[我的電腦]→[控制面板]→[管理工具]→[服務(wù)]，進(jìn)入服務(wù)管理器，關(guān)閉Server服務(wù)。這樣雖然不會(huì)關(guān)閉端口，但可以中止本機(jī)對(duì)其他機(jī)器的服務(wù)，當(dāng)然也就中止了對(duì)其他機(jī)器的共享。但是關(guān)閉了該服務(wù)會(huì)導(dǎo)致很多相關(guān)的服務(wù)無(wú)法啟動(dòng)，如機(jī)器中如果有IIS服務(wù)，則不能采用這種方法。

5. 使用防火墻防范攻擊

在防火墻中也可以設(shè)置阻止其他機(jī)器使用本機(jī)共享。如在“天網(wǎng)個(gè)人防火墻”中，選擇一條空規(guī)則，設(shè)置數(shù)據(jù)包方向?yàn)?ldquo;接收”，對(duì)方IP地址選“任何地址”，協(xié)議設(shè)定為“TCP”，本地端口設(shè)置為“139到139”，對(duì)方端口設(shè)置為“0到0”，設(shè)置標(biāo)志位為“SYN”，動(dòng)作設(shè)置為“攔截”，最后單擊[確定]按鈕，并在“自定義IP規(guī)則”列表中勾選此規(guī)則即可啟動(dòng)攔截139端口攻擊了。

非局域網(wǎng)用戶如何防范NetBIOS協(xié)議漏洞攻擊

在windows9x下如果你是個(gè)撥號(hào)用戶。完全不需要登陸到nt局域網(wǎng)絡(luò)環(huán)境的話。只需要在控制面板→網(wǎng)絡(luò)→刪除microsoft網(wǎng)絡(luò)用戶，使用microsoft友好登陸就可以了。但是如果你需要登陸到nt網(wǎng)絡(luò)的話。那這一項(xiàng)就不能去處。因?yàn)閚t網(wǎng)里需要使用netbios。

在windowsNT下你可以取消netbios與TCP/IP協(xié)議的綁定?？刂泼姘?rarr;網(wǎng)絡(luò)→Netbios接口→WINS客戶（tcp/ip）→禁用。確定。重啟。這樣nt的計(jì)算機(jī)名和工作組名也隱藏了，不過(guò)會(huì)造成基于netbios的一些命令無(wú)法使用。如net等。

在windowsNT下你可以選中網(wǎng)絡(luò)鄰居→右鍵→本地連接→INTERNET協(xié)議（TCP/IP）→屬性→高級(jí)→選項(xiàng)→TCP/IP篩選→在“只允許”中填入除了137，138，139只外的端口。如果你在局域網(wǎng)中，會(huì)影響局域網(wǎng)的使用

在windowsXP下你可以在控制面板上點(diǎn)擊管理工具-本地安全策略,右擊"IP安全策略,在本地計(jì)算機(jī)"選擇"管理IP篩選器表和篩選器操作",點(diǎn)添加,在對(duì)話框里填,隨便寫.只要你記得住.最好還是寫"禁用135/139端口"比較看的懂.點(diǎn)右邊的添加->下一步->源地址為"任何地址"->目的地址"我的地址"->協(xié)儀為TCP->在到此端口里填135或139就可以.

還有一個(gè)辦法就是TCP/IP協(xié)儀里禁用NetBIOS.