NetBIOS連接阜開放問題

[psac]

天網安全在線推出全國首個在線安全檢測系統--"天網醫生"，它可以初步檢測電腦存在的一些安全隱患，並且根據檢測結果判斷你系統的級別，引導你進一步解決你系統中可能存在的安全隱患。不過有時，如果你安裝並開啟了有效的防火牆或進行了有效安全性設定，天網會通常會出現一些令普通用戶難以理解的結果，如下：

135連接阜開放！（NT,2000）
穢139連接阜開放！

關於天網連接阜掃瞄檢測的說明：
在您電腦上，如果出現了一些標準的、容易受攻擊的網路服務連接阜，連接阜掃瞄器會嘗試建立標準的TCP/IP（網路）連接。當連接阜掃瞄器完成掃瞄後，那些連接阜是敞開著的，和從連接阜掃瞄器傳送了什麼連接請求都將一目瞭然。
檢測系統在幾個知名的服務連接阜進行，每個連接阜的掃瞄結果會分為開放、關閉和隱藏三種狀態。主要是為了提醒糧s網的用戶，在網際網路上會有各種各樣的連接阜掃瞄器在掃瞄接入網際網路的各種系統的網路連接阜，以尋找系統的安全漏洞。


1、 如何理解並關閉135連接阜

135連接阜開放實際上是一個WINNT漏洞,開放的135的連接阜情況容易引起自外部的"Snork"攻擊！！！

對於135連接阜開放的問題，可以在你的防火牆上，增加一條規則：拒絕所有的這類進入的UDP包，目的連接阜是135，源連接阜是7，19，或者135，這樣可以保護內部的系統，防止來自外部的攻擊。

大多數防火牆或者包過濾器已經設定了很多嚴格的規則，已覆蓋了這條過濾規則，但任需注意：有一些NT的應用程式，它們依靠UDP135連接阜進行合法的通訊，而開啟你135的連接阜與NT的RPC服務進行通訊。

如果真是這樣，你一定要在那些原始位址的系統上(需要135口通訊)，實施上述的規則，指定來自這些系統的通訊可以通過防火牆，或者，可以被攻擊檢測系統所忽略，以便維持那些應用程式的正常連接。

！！！為了保護你的資訊安全，強烈建議你安裝微軟的最新NT修正檔包。！！！

2、如何理解並關閉139連接阜（NetBIOS提供服務的tcp連接阜）

Netbios（NETwork Basic Input/Output System）網路基本輸入輸出系統。是1983年IBM開發的一套網路標準，微軟在這基礎上繼續開發。微軟的客戶端機伺服器網路系統都是關於NetBIOS的。


在利用Windows NT4.0 構建的網路系統中，對每一台主機的唯一標識資訊是它的NetBIOS名。系統可以利用WINS服務、廣播及Lmhost文件等多種模式將NetBIOS名解析為相應IP位址，從而實現資訊通訊。

在這樣的網路系統內部，利用NetBIOS名實現資訊通訊是非常方便、快捷的。但是在Internet上,它就和一個後門程序差不多了。因此，我們很有必要堵上這個可怕的漏洞。

對於win9x ：

礎bwindows9x下如果你是個撥號用戶。完全不需要登入到nt區域網路絡環境的話。只需要在控制台-網路-刪除microsoft網路用戶，使用microsoft友好登入就可以了。但是如果你需要登入到nt網路的話。那這一項就不能去處。因為nt網裡需要使用netbios。

方法1：
1．檢查NetBEUI是否出現在配置欄中。開啟控制面版，雙按「網路」選項，開啟「網路」對話視窗。在「配置」標籤頁中檢查己安裝的網路元件中是否有NetBEUI。

如果沒有，點擊列表下邊的增加按鈕，選「網路傳輸協定」對話視窗，在製造商列表中選項微軟，在網路傳輸協定列表中選項NetBEUI。點擊確定，根據提示插入安裝碟，安裝NetBEUI。

2．回到「網路」對話視窗，選「撥號網路橋接器」，點擊列表右下方「內容」按鈕。

在開啟的「內容」對話視窗中選項「綁定」標籤頁，將除「TCP/IP->網路橋接器」之外的其它項目前複選框中的對勾都取消！

3．回到「網路」對話視窗，選「TCP/IP->撥號網路橋接器」點擊列表右下方「內容」按鈕，不要怕彈出的警告對話視窗，點擊「確定」。

在「TCP/IP內容」對話視窗中選項「綁定」標籤頁，將列表中所有項目前複選框中的對勾都取消！點擊「確定」，這時Windows會警告你「尚未選項綁定的驅動器。現在是否選項驅動器？」點擊「否」。

之後，系統會提示重新啟動電腦，驗證。

4．證實己取消綁定。重新進入「TCP/IP->撥號網路橋接器」的「TCP/IP內容」對話視窗，選定「NetBIOS」標籤頁，看到「通過TCP/IP啟用NetBIOS」項被清除了吧！連點兩次「取消」退出「網路」對話視窗（不要點「驗證」，免得出現什麼意外）。

方法2：
執行RegEdit.exe 搜尋串「vnetbios」,找到後再選項「搜尋下一個」，將找到象「blahblah\\VxD\\VNETBIOS\\」的串，刪除「VNETBIOS」項即可。 操作一定要謹慎，誤操作可能導致系統崩潰，另關掉139連接阜後將無法共享文件和列印功能。


對於winNT ：

在windowsNT下你可以取消netbios與TCP/IP傳輸協定的綁定。控制台-網路-Netbios接頭-WINS客戶（tcp/ip)-禁用。確定。重啟。這樣nt的電腦名稱和工作組名也隱藏了，不過會造成關於netbios的一些指令無法使用。如net等。


對於WIN2000 ：

選網路鄰居——》右鍵——》本機連接——》INTERNET傳輸協定（TCP/IP）——》內容——》進階——》選項——》TCP/IP篩選——》在「只允許」中填入除了137，138，139只外的連接阜。如果你在區域網路中，會影響區域網路的使用

當然還有最方便的方法：
選項一條天網的空規則，資料包方向選接收；對方IP位址選任何；傳輸協定TCP；本機連接阜139到139；對方連接阜0到0；標誌位在SYN標誌上打勾；動作攔截。
然後把這條規則勾上讓它生效，儲存即可。


最後談談這個後門的連接阜，137，138是udp連接阜。當通過網路鄰居傳輸文件的時候就是通過這個2個連接阜.139連接阜是netbios提供服務的tcp連接阜。在windows9x下可以完全關閉這幾個連接阜。


完全禁止了netbios服務。方式是在控制台-網路-只保留tcp/ip傳輸協定和撥號網路橋接器。


但是這樣windows會提示你網路不完整。但是還可以繼續使用。

在tcp/ip傳輸協定裡的netbios一項不要選項綁定到tcp/ip傳輸協定。

這時候你的netbios服務完全停止了。你的機器也沒有137，138和139連接阜了。

這樣追捕也搞不清你到底是9x還是unix了。windowsNT下可以封鎖這些連接阜。

封鎖不必要的TCP和UDP連接阜可以通過在網路控制台的IP位址對話視窗中進行配置來完成。

點擊進階按鈕啟動進階IP位址對話視窗， 然後點擊Enable Secury 對話視窗，然後點擊配置按鈕啟動TCP/IP安全對話視窗， 那裡列出了那些TCP和UDP連接阜被允許了。
但是好像不能識別撥號網路橋接器。

以上的方法都是給不需要連接入區域網路的電腦的配置方法。如果你是一台撥號上網的單機那麼完全可以禁止netbios服務。


但是如果你需要接入區域網路的話。那你只能注意加密你的共享資源了。否則全網際網路的人都可以通過這個windows的「後門」到你的電腦裡了