ما هو منفذ SMB؟ ما هو المنفذ 445 والمنفذ 139 المستخدم؟

NetBIOS تعني نظام إخراج الإدخال الأساسي للشبكة . هو بروتوكول برمجي يسمح للتطبيقات وأجهزة الكمبيوتر وأجهزة سطح المكتب الموجودة على شبكة محلية (LAN) بالاتصال بأجهزة الشبكة ونقل البيانات عبر الشبكة. تقوم تطبيقات البرامج التي تعمل على شبكة NetBIOS بتحديد موقع وتعريف بعضها البعض عبر أسماء NetBIOS الخاصة بهم. يصل طول اسم NetBIOS إلى 16 حرفًا ويكون عادةً منفصلاً عن اسم الكمبيوتر. يبدأ تطبيقان جلسة NetBIOS عندما يرسل أحدهما (العميل) أمرًا "لاستدعاء" عميل آخر (الخادم) عبر منفذ TCP 139 .

ما هو المنفذ 139 المستخدم

NetBIOS على WAN الخاص بك أو عبر الإنترنت ، ومع ذلك ، يمثل مخاطرة أمنية هائلة. يمكن الحصول على جميع أنواع المعلومات ، مثل المجال الخاص بك ، وأسماء مجموعة العمل والنظام ، بالإضافة إلى معلومات الحساب عبر NetBIOS. لذلك ، من الضروري الحفاظ على NetBIOS الخاص بك على الشبكة المفضلة والتأكد من أنه لا يترك شبكتك أبدًا.

تقوم جدران الحماية ، كإجراء للسلامة ، بحظر هذا المنفذ أولاً ، إذا قمت بفتحه. يتم استخدام المنفذ 139 لمشاركة الملفات والطابعات ولكنه يعتبر المنفذ الأكثر خطورة على الإنترنت. هذا لأنه يترك القرص الصلب للمستخدم مكشوفًا للمتسللين.

بمجرد تحديد المهاجم للمنفذ 139 النشط على الجهاز ، يمكنه تشغيل NBSTAT وهي أداة تشخيص لـ NetBIOS عبر TCP / IP ، وهي مصممة بشكل أساسي للمساعدة في استكشاف مشكلات تحليل أسماء NetBIOS وإصلاحها. هذا يمثل خطوة أولى مهمة للهجوم - البصمة .

باستخدام أمر NBSTAT ، يمكن للمهاجم الحصول على بعض أو كل المعلومات الهامة المتعلقة بـ

1. قائمة بأسماء NetBIOS المحلية
2. اسم الحاسوب
3. قائمة بالأسماء حلها WINS
4. عناوين الانترنت بروتوكول
5. محتويات جدول الجلسة مع عناوين IP الوجهة

مع وجود التفاصيل المذكورة أعلاه في متناول اليد ، يمتلك المهاجم جميع المعلومات المهمة حول نظام التشغيل والخدمات والتطبيقات الرئيسية التي تعمل على النظام. إلى جانب ذلك ، لديه أيضًا عناوين IP خاصة حاولت شبكات LAN / WAN ومهندسو الأمن إخفاءها خلف NAT. علاوة على ذلك ، يتم أيضًا تضمين معرفات المستخدم في القوائم المقدمة من خلال تشغيل NBSTAT.

هذا يسهل على المتسللين الوصول عن بعد إلى محتويات أدلة أو محركات الأقراص الثابتة. يمكنهم بعد ذلك تحميل أي برامج من اختيارهم وتشغيلها بصمت عبر بعض الأدوات المجانية دون علم مالك الكمبيوتر.

إذا كنت تستخدم جهازًا متعدد الأجهزة ، فقم بتعطيل NetBIOS على كل بطاقة شبكة ، أو اتصال الطلب الهاتفي ضمن خصائص TCP / IP ، فهذا ليس جزءًا من شبكتك المحلية.

قراءة : كيفية تعطيل NetBIOS عبر TCP / IP.

ما هو منفذ SMB

بينما يُعرف المنفذ 139 تقنيًا باسم "NBT over IP" ، فإن المنفذ 445 هو "SMB over IP". SMB تعني " كتل رسائل الخادم ". يُعرف Server Message Block في اللغة الحديثة أيضًا باسم نظام ملفات الإنترنت المشترك . يعمل النظام كبروتوكول شبكة طبقة تطبيق يستخدم بشكل أساسي لتوفير الوصول المشترك إلى الملفات والطابعات والمنافذ التسلسلية وأنواع أخرى من الاتصالات بين العقد على الشبكة.

يتضمن معظم استخدام SMB أجهزة الكمبيوتر التي تعمل بنظام Microsoft Windows ، حيث كانت تُعرف باسم "شبكة Microsoft Windows" قبل التقديم اللاحق لـ Active Directory. يمكن تشغيله في أعلى طبقات الشبكة للجلسة (والسفلية) بطرق متعددة.

على سبيل المثال ، في Windows ، يمكن تشغيل SMB مباشرة عبر TCP / IP دون الحاجة إلى NetBIOS عبر TCP / IP. سيستخدم هذا ، كما أشرت ، المنفذ 445. في الأنظمة الأخرى ، ستجد الخدمات والتطبيقات التي تستخدم المنفذ 139. وهذا يعني أن SMB يعمل مع NetBIOS عبر TCP / IP .

يعترف المتسللون الخبثاء بأن المنفذ 445 ضعيف ولديه الكثير من عدم الأمان. أحد الأمثلة المروعة على إساءة استخدام المنفذ 445 هو المظهر الصامت نسبيًا لديدان NetBIOS . تقوم هذه الديدان ببطء ولكن بطريقة محددة جيدًا بفحص الإنترنت بحثًا عن مثيلات المنفذ 445 ، واستخدام أدوات مثل PsExec لنقل نفسها إلى كمبيوتر الضحية الجديد ، ثم مضاعفة جهود المسح. من خلال هذه الطريقة غير المعروفة ، تم تجميع " جيوش الروبوت " الضخمة ، التي تحتوي على عشرات الآلاف من أجهزة NetBIOS المخترقة ، وهي الآن تسكن الإنترنت.

قراءة : كيف يتم إعادة توجيه المنافذ؟

كيفية التعامل مع المنفذ 445

بالنظر إلى المخاطر المذكورة أعلاه ، من مصلحتنا عدم تعريض المنفذ 445 للإنترنت ولكن مثل Windows Port 135 ، المنفذ 445 مضمن بعمق في Windows ويصعب إغلاقه بأمان. ومع ذلك ، فإن إغلاقها ممكن ، ومع ذلك ، ستتوقف الخدمات التابعة الأخرى مثل DHCP (بروتوكول التكوين الديناميكي للمضيف) الذي يستخدم بشكل متكرر للحصول على عنوان IP تلقائيًا من خوادم DHCP المستخدمة من قبل العديد من الشركات ومقدمي خدمات الإنترنت ، ستتوقف عن العمل.

بالنظر إلى جميع الأسباب الأمنية الموضحة أعلاه ، يشعر العديد من مزودي خدمة الإنترنت أنه من الضروري حظر هذا المنفذ نيابة عن مستخدميهم. يحدث هذا فقط عندما لا يكون المنفذ 445 محميًا بواسطة موجه NAT أو جدار الحماية الشخصي. في مثل هذه الحالة ، قد يمنع مزود خدمة الإنترنت الخاص بك على الأرجح حركة مرور المنفذ 445 من الوصول إليك.