話匣子
端口
和
請看表
您一定看得出這些信息的重要性
該表列出的就是能夠由
端口得到的主要信息
只需向Windows的
端口發送一個詢問連接狀態的信息包
就可以得到表中所示的信息
因為返回的信息包中包括這些信息
就這麼簡單!
具體而言
就是說通過
端口除了該機的計算機名和注冊用戶名以外
還可以得到該機是否為主域控制器和主浏覽器
是否作為文件服務器使用
IIS和Samba是否正在運行以及Lotus Notes是否正在運行等信息
據公司的Michiharu Arimoto介紹
除了計算機名以外
還可以准確地了解IIS
主域控制器
主域浏覽器以及文件服務器等相關信息
雖說不是百分之百
但有時還能夠得到其他信息
也就是說
只要您想獲得這些信息
只需向這台個人電腦的
端口發送一個請求即可
只要知道IP地址
就可以輕松做到這一點
不只是公司內部網絡
還可以通過因特網得到這樣的信息
對於攻擊者來說
這簡直太方便了
可以很容易地了解目標電腦的作用及網絡的結構
隨意地洩漏這樣的信息
就好象是很友好地告訴攻擊者應該如何來攻擊自己的電腦
比如
如果知道IIS服務正在運行
就可以輕松地了解這台電腦上已經起動的服務
攻擊者根本不必特意地通過端口掃描來尋找可以下手入侵的端口
另外
如果捕捉到正在利用
端口進行通信的信息包
還有可能得到目標主機的起動和關閉時間
這是因為Windows起動或關閉時會由
端口發送特定的信息包
如果掌握了目標主機的起動時間
就可以非常輕松地使用上一次所講的IE
en等軟件通過
端口操作對方的DCOM
使用
端口
管理計算機名
端口為什麼會把這種信息包洩漏到網絡上呢?這是因為
在Windows網絡通信協議
NetBIOS over TCP/IP(NBT)
的計算機名管理功能中使用的是
端口
計算機名管理是指Windows網絡中的電腦通過用於相互識別的名字
NetBIOS名
獲取實際的IP地址的功能
可以用兩種方法使用
端口
一種方法是
位於同一組中的電腦之間利用廣播功能進行計算機名管理
電腦在起動時或者連接網絡時
會向位於同組中的所有電腦詢問有沒有正在使用與自己相同的NetBIOS名的電腦
每台收到詢問的電腦如果使用了與自己相同的NetBIOS名
就會發送通知信息包
這些通信是利用
端口進行的
另一種方法是利用WINS(Windows因特網名稱服務)管理計算機名
被稱為WINS服務器的電腦有一個IP地址和NetBIOS名的對照表
WINS客戶端在系統起動時或連接網絡時會將自己的NetBIOS名與IP地址發送給WINS服務器
與其他計算機通信時
會向WINS服務器發送NetBIOS名
詢問IP地址
這種方法也使用
端口
如上所述
為了得到通信對象的IP地址
端口就要交換很多信息包
在這些信息包中
包括有如表
所示的很多信息
利用廣播管理計算機名時
會向所有電腦發送這些信息
如果使用NBT
就會在用戶沒有查覺的情況下
由電腦本身就會向外部散布自己的詳細信息
端口用於浏覽
而
端口也和
端口一樣會向外部發送自己的信息
盡管信息量沒有
端口那麼多
但其特點是會被別人得到Windows的版本信息
比如
會洩漏Windows版本是Windows
Server
端口提供NetBIOS的浏覽功能
該功能用於顯示連接於網絡中的電腦一覽表
比如
在Windows
中由
網絡鄰居
中選擇
整個網絡
後
就會完整地顯示連接於網絡中的電腦
該功能使用的是與上面所講的計算機名管理不同的運行機制
在浏覽功能中
被稱為主浏覽器的電腦管理著連接於網絡中的電腦一覽表的浏覽列表
每台電腦在起動時或連接網絡時利用
端口廣播自己的NetBIOS名
收到NetBIOS名的主浏覽器會將這台電腦追加到浏覽列表中
需要顯示一覽表時
就廣播一覽表顯示請求
收到請求的主游覽器會發送浏覽列表
關閉電腦時
機器會通知主浏覽器
以便讓主浏覽器將自己的NetBIOS名從列表中刪除掉
這些信息的交換使用的是
端口
由於這裡也會進行廣播
因此就會將自己的電腦信息發送給同組中的所有電腦
公開服務器應關閉NetBIOS
NetBIOS服務使用了
和
端口的向外部發送自己信息的功能
一般情況下
這是一種在連接在因特網上的公開服務器不需要的服務
因為NetBIOS主要用於Windows網絡中
因此
公開服務器應該停止這種服務
而對於在公司內部網絡環境中構築Windows網絡的電腦來說
NetBIOS則是必要的服務
如要停止NetBIOS
反過來就必須放棄Windows網絡的方便性
圖
●停止NBT服務的方法
選擇
將NetBIOS over TCP/IP設置為無效
不過
如果是Windows
以上的版本
不使用NetBIOS也能夠管理計算機名(詳情後述)
因此如果是全部由Windows
以上的個人電腦構築而成的網絡
就可以停止NBT
雖說如此
此時方便性就會降低
比如
無法顯示用於尋找文件共享對象的信息
要想停止NetBIOS服務
首先由控制面板中選擇目前正在使用的網絡連接
在屬性窗口中查看
Internet協議(TCP/IP)
的屬性
在
常規
頁標中單擊
高級
按鈕
在
WINS
頁標中選擇
禁用TCP/IP上的NetBIOS(S)
即可(圖
)
這樣
就可以關閉
以及後面將要講到的
端口
在此需要注意一點
NetBEUI協議如果為有效
NetBIOS服務將會繼續起作用
在Windows
中
NetBIOS是在默認條件下安裝的
在更高的Windows版本中
如果選擇也可以安裝
所以不僅要停止NBT
還應該確認NetBEUI是否在起作用
如果使用NetBEUI
即便關閉
端口
也仍有可能向外部洩漏表
所示的信息
(待續)
From:http://tw.wingwit.com/Article/os/xtgl/201311/8768.html