3.2.2　NetBIOS漏洞攻防

NetBIOS（Network Basic Input Output System，网络基本输入输出系统）是一种应用程序接口（API），系统可以利用WINS服务、广播及Lmhost文件等多种模式，将NetBIOS名解析为相应IP地址，实现通信。因此，在局域网内部使用NetBIOS协议可以方便地实现消息通信及资源的共享。因为它占用系统资源少、传输效率高，尤为适于由20到200台计算机组成的小型局域网。所以微软的客户机/服务器网络系统都是基于NetBIOS的。

当安装TCP/IP时，NetBIOS也被Windows作为默认设置载入，此时计算机也具有了NetBIOS本身的开放性，139端口被打开。某些别有用心的人就利用这个功能来攻击服务器，使管理员不能放心使用文件和打印机共享。

使用NetBrute Scanner可以扫描到目标计算机上的共享资源，它主要包括如下三部分：

·NetBrute：可用于扫描单台机器或多个IP地址的Windows文件/打印共享资源。虽然这已经是众所周知的漏洞，但作为一款继续更新中的经典工具，对于网络新手以及初级网管而言仍是增强内网安全性的得力助手。

·PortScan：用于扫描目标机器的可用网络服务。帮助用户确定哪些TCP端口应该通过防火墙设置屏蔽掉，或哪些服务并不需要，应该关闭。

·WebBrute：可以用来扫描网页目录，检查HTTP身份认证的安全性、测试用户密码。

下面以使用NetBrute Scanner软件为例，介绍扫描计算机中共享资源的具体操作步骤。

图　3.2.2-1

步骤1：运行NetBrute Scanner，设置扫描的IP地址范围，单击“Scan”按钮，双击扫描到的计算机IP地址，如图3.2.2-1所示。

步骤2：双击扫描到的共享文件夹，如果没有密码便可直接打开。当然，也可以在IE的地址栏中直接输入扫描到的共享文件夹IP地址，如“\\192.168.1.88”（或带C＄、D＄等查看默认共享）。如果设有共享密码，则会要求输入共享用户名和密码，这时利用破解网络邻居密码的工具软件（如Pqwak）破解之后，才可以进入相应文件夹。

如果发现自己的计算机中有NetBIOS漏洞，要想预防入侵者利用该漏洞进行攻击，则须关闭NetBIOS漏洞，其关闭的方法有很多种。

（1）解开文件和打印机共享绑定

步骤如下。

步骤1：右击“开始”菜单按钮，在弹出的快捷菜单中单击“控制面板”命令，打开控制面板，然后单击“网络和共享中心”链接，如图3.2.2-2所示。

图　3.2.2-2

步骤2：在页面左侧单击“更改适配器设置”链接，如图3.2.2-3所示。

图　3.2.2-3

步骤3：右击“本地连接”，在弹出的快捷菜单中单击“属性”命令，在弹出的对话框中取消勾选“Microsoft网络的文件和打印机共享”复选框，即可解开文件和打印机共享绑定，单击“确定”按钮，如图3.2.2-4所示。

这样，就可以禁止所有从139端口和445端口来的请求，别人也就看不到本机的共享了。

（2）使用IPSec安全策略阻止对端口139和445的访问步骤如下。

步骤1：右击“开始”，菜单按钮，在弹出的快捷菜单中单击“控制面板”命令，打开控制面板，然后单击“管理工具”链接，如图3.2.2-5所示。

图　3.2.2-4

图　3.2.2-5

步骤2：双击“本地安全策略”选项，如图3.2.2-6所示。

步骤3：右击“IP安全策略，在本地机器”子项，在弹出的快捷菜单中单击“创建IP安全策略”命令。定义一条阻止任何IP地址从TCP 139和TCP 445端口访问本IP地址的IPSec安全策略规则，这样，即使在别人使用扫描器扫描时，本机的139和445两个端口也不会给予任何回应，如图3.2.2-7所示。

图　3.2.2-6

图　3.2.2-7

（3）关闭Server服务

这样虽然不会关闭端口，但可以中止本机对其他机器的服务，当然也就中止了对其他机器的共享。因为关闭了该服务将会导致很多相关的服务无法启动，所以机器中如果有IIS服务，则不能采用这种方法。步骤如下。

步骤1：右击“开始”菜单按钮，在弹出的快捷菜单中单击“控制面板”命令，打开控制面板，然后单击“管理工具”链接，如图3.2.2-8所示。

步骤2：双击“服务”选项，如图3.2.2-9所示。

步骤3：在“服务”页面右侧单击“停止”链接，关闭Server服务，如图3.2.2-10所示。

图　3.2.2-8

图　3.2.2-9

图　3.2.2-10