一般情况下139端口开启都是由于NetBIOS这个网络协议在使用它,本文笔者将详细讲讲139端口的漏洞和防范之法!
被利用的139端口
下面我们来看看骇客们是怎样利用139端口来搞破坏的。
第一步:首先,攻击者会找到一台存在139端口漏洞的主机,当然他们的手段有很多,简单的就是用扫描工具(如SuperScan这种端口扫描工具)进行扫描,如图1所示。
图1
只要按照图1中的配置就可以了,在开始IP处填上要扫的IP地址,停止处填上停止扫描IP的地址,然后按“开始”键即可。
第二步:攻击者会使用“nbtstat -a [IP地址]”这个命令得到用户的情况(假设现在已经得到一台存在139端口漏洞的主机),如图2所示。
图2
图2中的192.168.0.1(假设地址)就是该主机的IP地址,这个主机的名字是21,工作组是YB。
第三步:攻击者要做的是与计算机进行共享资源的连接,如图3所示。
图3
图3中,我们可以有C、D、E三个共享盘。
第四步:攻击者要做的便是使用nbtstat这个命令了。键入nbtstat -r命令,查找一些有关的信息,然后再键入nbtstat
-c命令,便可查看具体的用户名和IP地址,如图4所示。
图4
注:图4中笔者用灰色遮住的地方就是已经得到的139端口漏洞的主机IP地址和用户名。
第五步:攻击者终于进入计算机了。要做的是点击“开始”→“查找”→“计算机”,将刚才找到的主机名字输入到上面,选择“查找”,便可以找到这台电脑了,双击就可以进入。
防范139端口漏洞
看了上面的这些,是不是觉得自己的电脑也很危险?不用怕,下面我们就来解除这种危险的139端口漏洞。
1.
Win9x用户:在Win9x下如果你是个拨号上网用户,就完全不需要登录到NT局域网络环境,只需要在“控制面板”→“网络”,删除“Microsoft网络用户”,使用“Microsoft友好登录”,另外也不要去设置“文件打印共享”就可以了。注:但是如果你需要登录到NT网络的话,那这一项就不能去除,因为NT网里需要使用NetBIOS。
2.
WinNT用户:在WinNT下你可以取消NetBIOS与TCP/IP协议的绑定,方法是:“控制面板”→“网络”→“NetBIOS接口”→“WINS客户(TCP/IP)”,选择“禁用”,确定后重启。注:这样连用户的计算机名和工作组名也隐藏了,不过会造成基于NetBIOS的一些命令无法使用。
3.
Win2000用户:先用鼠标右键单击“网络邻居”,选择“属性”,进入“网络和拨号连接”,再用鼠标右键单击“本地连接”,选择“属性”,进入“本地连接属性”。双击“Internet协议(TCP/IP)”后,点击“高级”,选择“选项”条中的“TCP/IP筛选”,在“只允许”中填入除了139之外要用到的端口。注:如果你在局域网中,这样会影响局域网的使用。
4.最方便的方法:自己定制防火墙规则,如《天网个人防火墙》,选择一条空规则,规定如下规则:数据包方向选“接收”、对方IP地址选“任何”、协议选“TCP”、本地端口选“139到139”、对方端口选“0到0”、标志位在“SYN标志”上打钩、动作选“拦截”。然后勾选这条规则让它生效,保存即可。