关于 NetBIOS 端口开放问题

来源：ChinaITLab 搜集整理作者：出处：巧巧读书 2006-08-08 进入讨论组

关键词：139端口 ip地址 os tcp/ip unix

　　如何理解并关闭135端口
　　　　135端口开放实际上是一个WINNT漏洞,开放的135的端口情况容易引起自外部的"Snork"攻击！！！

　　　　对于135端口开放的问题，可以在你的防火墙上，增加一条规则：拒绝所有的这类进入的UDP包，目的端口是135，源端口是7，19，或者135，这样可以保护内部的系统，防止来自外部的攻击。大多数防火墙或者包过滤器已经设置了很多严格的规则，已覆盖了这条过滤规则，但任需注意：有一些NT的应用程序，它们依靠UDP135端口进行合法的通讯，而打开你135的端口与NT的RPC服务进行通讯。如果真是这样，你一定要在那些原始地址的系统上(需要135口通讯)，实施上述的规则，指定来自这些系统的通讯可以通过防火墙，或者，可以被攻击检测系统所忽略，以便维持那些应用程序的正常连接。
　　　　为了保护你的信息安全，强烈建议你安装微软的最新NT补丁包。
　　　　如何理解并关闭139端口（NetBIOS提供服务的tcp端口）
　　　　Netbios（NETwork Basic Input/Output System）网络基本输入输出系统。是1983年IBM开发的一套网络标准，微软在这基础上继续开发。微软的客户机／服务器网络系统都是基于NetBIOS的。在利用Windows NT4.0 构建的网络系统中，对每一台主机的唯一标识信息是它的NetBIOS名。系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址，从而实现信息通讯。在这样的网络系统内部，利用NetBIOS名实现信息通讯是非常方便、快捷的。但是在Internet上,它就和一个后门程序差不多了。因此，我们很有必要堵上这个可怕的漏洞。
　　　　　对于win9x
　　　　　　　在windows9x下如果你是个拨号用户。完全不需要登陆到nt局域网络环境的话。只需要在控制面板-网络-删除microsoft网络用户，使用microsoft友好登陆就可以了。但是如果你需要登陆到nt网络的话。那这一项就不能去处。因为nt网里需要使用netbios。
　　　　　·方法1：
　　　　　　　　1．检查NetBEUI是否出现在配置栏中。打开控制面版，双击“网络”选项，打开“网络”对话框。在“配置”标签页中检查己安装的网络组件中是否有NetBEUI。如果没有，点击列表下边的添加按钮，选中“网络协议”对话框，在制造商列表中选择微软，在网络协议列表中选择NetBEUI。点击确定，根据提示插入安装盘，安装NetBEUI。
　　　　　　　　2．回到“网络”对话框，选中“拨号网络适配器”，点击列表右下方“属性”按钮。在打开的“属性”对话框中选择“绑定”标签页，将除“TCP/IP->网络适配器”之外的其它项目前复选框中的对勾都取消！
　　　　　　　　3．回到“网络”对话框，选中“TCP/IP->拨号网络适配器”点击列表右下方“属性”按钮，不要怕弹出的警告对话框，点击“确定”。在“TCP/IP属性”对话框中选择“绑定”标签页，将列表中所有项目前复选框中的对勾都取消！点击“确定”，这时Windows会警告你“尚未选择绑定的驱动器。现在是否选择驱动器？”点击“否”。之后，系统会提示重新启动计算机，确认。
　　　　　　　　4．证实己取消绑定。重新进入“TCP/IP->拨号网络适配器”的“TCP/IP属性”对话框，选定“NetBIOS”标签页，看到“通过TCP/IP启用NetBIOS”项被清除了吧！连点两次“取消”退出“网络”对话框（不要点“确认”，免得出现什么意外）。
　　　　　·方法2：
　　　　　　　运行RegEdit.exe 查找串“vnetbios”,找到后再选择“查找下一个”，将找到象“blahblah\\VxD\\VNETBIOS\\”的串，删除“VNETBIOS”项即可。操作一定要谨慎，误操作可能导致系统崩溃，另关掉139端口后将无法共享文件和打印功能。
　　　　　　　对于winNT ：
　　　　　　　在windowsNT下你可以取消netbios与TCP/IP协议的绑定。控制面板-网络-Netbios接口-WINS客户（tcp/ip)-禁用。确定。重启。这样nt的计算机名和工作组名也隐藏了，不过会造成基于netbios的一些命令无法使用。如net等。
　　　　　对于WIN2000
　　　　　　　选中网络邻居——》右键——》本地连接——》INTERNET协议（TCP/IP）——》属性——》高级——》选项——》TCP/IP筛选——》在“只允许”中填入除了137，138，139只外的端口。如果你在局域网中，会影响局域网的使用
　　　　　　　当然还有最方便的方法：
　　　　　　　选择一条天网的空规则，数据包方向选接收；对方IP地址选任何；协议TCP；本地端口139到139；对方端口0到0；标志位在SYN标志上打勾；动作拦截。
　　　　　　　然后把这条规则勾上让它生效，保存即可。
　　　　最后谈谈这个后门的端口，137，138是udp端口。当通过网络邻居传输文件的时候就是通过这个2个端口.139端口是netbios提供服务的tcp端口。在windows9x下可以完全关闭这几个端口。完全禁止了netbios服务。方式是在控制面板-网络-只保留tcp/ip协议和拨号网络适配器。但是这样windows会提示你网络不完整。但是还可以继续使用。在tcp/ip协议里的netbios一项不要选择绑定到tcp/ip协议。这时候你的netbios服务完全停止了。你的机器也没有137，138和139端口了。这样追捕也搞不清你到底是9x还是unix了。windowsNT下可以封锁这些端口。封锁不必要的TCP和UDP端口可以通过在网络控制面板的IP地址对话框中进行配置来完成。点击高级按钮激活高级IP地址对话框，然后点击Enable Secury 对话框，然后点击配置按钮激活TCP/IP安全对话框，那里列出了那些TCP和UDP端口被允许了。但是好像不能识别拨号网络适配器。
　　　　以上的方法都是给不需要连接入局域网的计算机的配置方法。如果你是一台拨号上网的单机那么完全可以禁止netbios服务。但是如果你需要接入局域网的话。那你只能注意加密你的共享资源了。否则全互联网的人都可以通过这个windows的“后门”到你的计算机里了：）
　　　－－（编辑：一笔 / ChinaITLab.com）进入讨论组讨论。