Nguy hiểm rình rập trên Port 445 của Windows 2000/XP/2003

Nguy hiểm rình rập trên Port 445 của Windows 2000/XP/2003.Trong số các port mới được sử dụng trên các hệ thống Windows 2000, Windows XP và Windows Server 2003, thì port 445 TCP dùng cho dịch vụ SMB truyền qua TCP. Giao thức SMB (Server Message Block) được sử dụng cho các mục đích chia sẽ File trên các hệ thống Windows NT/2000/XP/2003. Trên các hệ thống Windows NT cũ nó vận hành ở lớp cao của giao thức NetBT (viết tắt: NetBIOS over TCP/IP), sử dụng các port thông dụng như port: 137, 138 (UDP) và 139 (TCP).Trên các...
Nội dung trích xuất từ tài liệu:
Nguy hiểm rình rập trên Port 445 của Windows 2000/XP/2003Nguy hiểm rình rập trên Port 445 của Windows 2000/XP/2003Trong số các port mới được sử dụng trên các hệ thống Windows 2000,Windows XP và Windows Server 2003, thì port 445 TCP dùng cho dịchvụ SMB truyền qua TCP.Giao thức SMB (Server Message Block) được sử dụng cho các mục đíchchia sẽ File trên các hệ thống Windows NT/2000/XP/2003. Trên các hệthống Windows NT cũ nó vận hành ở lớp cao của giao thức NetBT (viếttắt: NetBIOS over TCP/IP), sử dụng các port thông dụng như port: 137,138 (UDP) và 139 (TCP).Trên các hệ thống sau này: Windows 2000/XP/2003, Microsoft hỗ trợ khảnăng vận hành trực tiếp SMB qua TCP/IP, không cần phải thông qua các lớphỗ trợ của NetBT. Vì điều này chúng ta có được kết quả giao dịch chia sẽFile thực hiện qua TCP port 445.Chia sẽ File qua Mạng qua giao thức NetBIOS là một nhu cầu rất cơ bản , tuynhiên đó lại là những mối nguy hiểm tiềm tàng khi hệ thống của bạn kết nốivào LAN, WAN hay Internet. Tất cả những thông tin về Domain, Workgroupvà cả tên Computer của bạn có thể được nhận dạng dễ dàng qua NetBIOS vàPort này cũng là trung tâm nơi tần số tấn công xuất hiện cao nhất (theo báocáo của SANS.Org, thông tin chi tiết:http://isc.sans.org/port_details.php?port=445).Điều quan tâm thực sự của các Network Admin ở đây là chỉ nên cho phép cácgiao dịch chia sẽ File được thực hiện trong phạm vi Mạng nội bộ -LAN.Nếu bạn đang sử dụng một Router làm Internet gateway, cần đảm bảo rằngkhông cho phép các truy cập từ trong Mạng ra ngoài - outbound traffic và cáctruy cập từ Ngoài vào trong Mạng nội bộ - inbound traffic, qua các TCP portstừ 135-139.Nếu bạn đang sử dụng một Firewall, dúng chức năng port block, tiến hànhchặn các truy cập qua qua cùng TCP ports từ 135-139.Nếu bạn đang sử dụng Computer gắn nhiều NIC card -multi-homed machine(ví dụ Computer gắn trên 1 Network card), hãy tiến hành disable hoạt độngcủa NetBIOS trên mỗi Network card, hoặc modem quay số kết nối Internet -Dial-Up Connection Tiến hành disable bằng cách can thiệp vào TCP/IPproperties của những Network card nào không thuộc Mạng nội bộ -LAN.Tiến hành disable NetBIOS qua TCP/IP như thế nào?Trên Windows 2000/XP/2003 tiến hành disable NetBIOS over TCP/IPnhư sauRight-click vào biểu tượng My Network Places tại Desktop sau đó chọnProperties. Tiếp tục Right-click vào biểu tượng Network Card mà bạnquan tâm (Local Area Connection), chọn Properties.Kế tiếp, click vào Internet Protocol (TCP/IP) và Properties.Bây giờ click vào Advanced, và chọn WINS tab.Tại đây bạn có thể enable hoặc disable NetBIOS over TCP/IP.Những thay đổi có hiệu lực ngay, không cần phải khởi động lại hệ thống.Lúc này nhật ký ghi nhận các sự kiện trên Computer của bạn (events log)sẽ ghi nhận một event (nên nhớ rằng không nên disable dịch vụ có tên là:TCP/IP NetBIOS Helper Service , vì nếu tắt đi events log sẽ không ghinhận được sự kiện này. Có thể kiểm tra dịch vụ này có đang chạy haykhông, bằng cách nhập lệnh Services.msc tại Run để mở bảng quản lý cácdịch vụ trên hệ thống, nếu thanh trạng thái status thông báo Started làdịch vụ đã vận hành). Xem hình để xác định dịch vụ đang chạy trên hệthống.Chú ý: Các Computer đang chạy các hệ điều hành cũ trước Windows2000 sẽ không thể định vị, tìm kiếm hoặc thiết lập các kết nối chia sẽ Filevà in ấn đến các hệ thống Computer Windows 2000/XP/2003 khiNetBIOS đã bị disable.Làm thế nào để disable port 445?Bạn có thể dễ dàng disable port 445 trên Computer của mình. Thực hiệntheo các hướng dẫn sau: Mở chương trình biên tập Registry -Registry Editor 1. Tại Run dùng lệnh Regedit.exe. 2. Tìm đến khóa sau trong Registry: 3.HKLMSystemCurrentControlSetServicesNetBTParameters Tại cửa sổ Window bên phải chọn một tùy chọn có tên là3. TransportBindName. Double click vào tùy chọn, sau đó xóa giá trị mặc định -default4. value, và do vậy khung chứa giá trị được để trống -blank value. Đóng Registry editor. 5. Khởi động lại Computer. 6.Sau khi khởi động và log-on vào Computer, tại Run, điền lệnh cmd vàđưa vào lệnh sau:netstat -anNhận thấy rằng Computer không còn lắng nghe ở port 445.So với trước khi tiến hành Disable port 445, hình bên dướiCách sử dụng port trên Client/ServerKhi nào Windows 2000/XP/2003 sử dụng port 445, và khi nào nó dùng139?Để giải thích đơn giản tôi dùng hai thuật ngữ client để chỉ Computertruy xuất các nguồn tài nguyên mạng như ổ đĩa và các file đượ chia sẽ, kếđến là server Computer với nguồn tài nguyên có sẵn chia sẽ cho Client.Và để đơn giản cho việc hình dung, các bạn ghi nhớ cụm từ NetBIOSover TCP/IP , đơn giản chỉ là NetBT.Nếu client có NetBT được enable, nó sẽ luôn thử kết nối đến server tại cảhai port 139 và 445 đồng thời. Nếu nhận được phản hồi từ port 445, nósẽ gửi một phản hồi RST đ ...