3.2.2　NetBIOS漏洞攻防

NetBIOS（Network Basic Input Output System，網絡基本輸入輸出系統）是一種應用程序接口（API），系統可以利用WINS服務、廣播及Lmhost文件等多種模式，將NetBIOS名解析為相應IP地址，實現通信。因此，在局域網內部使用NetBIOS協議可以方便地實現消息通信及資源的共享。因為它占用系統資源少、傳輸效率高，尤為適于由20到200臺計算機組成的小型局域網。所以微軟的客戶機/服務器網絡系統都是基于NetBIOS的。

當安裝TCP/IP時，NetBIOS也被Windows作為默認設置載入，此時計算機也具有了NetBIOS本身的開放性，139端口被打開。某些別有用心的人就利用這個功能來攻擊服務器，使管理員不能放心使用文件和打印機共享。

使用NetBrute Scanner可以掃描到目標計算機上的共享資源，它主要包括如下三部分：

·NetBrute：可用于掃描單臺機器或多個IP地址的Windows文件/打印共享資源。雖然這已經是眾所周知的漏洞，但作為一款繼續更新中的經典工具，對于網絡新手以及初級網管而言仍是增強內網安全性的得力助手。

·PortScan：用于掃描目標機器的可用網絡服務。幫助用戶確定哪些TCP端口應該通過防火墻設置屏蔽掉，或哪些服務并不需要，應該關閉。

·WebBrute：可以用來掃描網頁目錄，檢查HTTP身份認證的安全性、測試用戶密碼。

下面以使用NetBrute Scanner軟件為例，介紹掃描計算機中共享資源的具體操作步驟。

圖　3.2.2-1

步驟1：運行NetBrute Scanner，設置掃描的IP地址范圍，單擊“Scan”按鈕，雙擊掃描到的計算機IP地址，如圖3.2.2-1所示。

步驟2：雙擊掃描到的共享文件夾，如果沒有密碼便可直接打開。當然，也可以在IE的地址欄中直接輸入掃描到的共享文件夾IP地址，如“\\192.168.1.88”（或帶C＄、D＄等查看默認共享）。如果設有共享密碼，則會要求輸入共享用戶名和密碼，這時利用破解網絡鄰居密碼的工具軟件（如Pqwak）破解之后，才可以進入相應文件夾。

如果發現自己的計算機中有NetBIOS漏洞，要想預防入侵者利用該漏洞進行攻擊，則須關閉NetBIOS漏洞，其關閉的方法有很多種。

（1）解開文件和打印機共享綁定

步驟如下。

步驟1：右擊“開始”菜單按鈕，在彈出的快捷菜單中單擊“控制面板”命令，打開控制面板，然后單擊“網絡和共享中心”鏈接，如圖3.2.2-2所示。

圖　3.2.2-2

步驟2：在頁面左側單擊“更改適配器設置”鏈接，如圖3.2.2-3所示。

圖　3.2.2-3

步驟3：右擊“本地連接”，在彈出的快捷菜單中單擊“屬性”命令，在彈出的對話框中取消勾選“Microsoft網絡的文件和打印機共享”復選框，即可解開文件和打印機共享綁定，單擊“確定”按鈕，如圖3.2.2-4所示。

這樣，就可以禁止所有從139端口和445端口來的請求，別人也就看不到本機的共享了。

（2）使用IPSec安全策略阻止對端口139和445的訪問步驟如下。

步驟1：右擊“開始”，菜單按鈕，在彈出的快捷菜單中單擊“控制面板”命令，打開控制面板，然后單擊“管理工具”鏈接，如圖3.2.2-5所示。

圖　3.2.2-4

圖　3.2.2-5

步驟2：雙擊“本地安全策略”選項，如圖3.2.2-6所示。

步驟3：右擊“IP安全策略，在本地機器”子項，在彈出的快捷菜單中單擊“創建IP安全策略”命令。定義一條阻止任何IP地址從TCP 139和TCP 445端口訪問本IP地址的IPSec安全策略規則，這樣，即使在別人使用掃描器掃描時，本機的139和445兩個端口也不會給予任何回應，如圖3.2.2-7所示。

圖　3.2.2-6

圖　3.2.2-7

（3）關閉Server服務

這樣雖然不會關閉端口，但可以中止本機對其他機器的服務，當然也就中止了對其他機器的共享。因為關閉了該服務將會導致很多相關的服務無法啟動，所以機器中如果有IIS服務，則不能采用這種方法。步驟如下。

步驟1：右擊“開始”菜單按鈕，在彈出的快捷菜單中單擊“控制面板”命令，打開控制面板，然后單擊“管理工具”鏈接，如圖3.2.2-8所示。

步驟2：雙擊“服務”選項，如圖3.2.2-9所示。

步驟3：在“服務”頁面右側單擊“停止”鏈接，關閉Server服務，如圖3.2.2-10所示。

圖　3.2.2-8

圖　3.2.2-9

圖　3.2.2-10