1、NetBIOS是什麼呀,急需知道呢?
網路基本輸入/輸出系統內協議容
http://ke.baidu.com/view/32803.html?wtp=tt
2、什麼是伺服器的NETBIOS名
NetBIOS是80年代末為了利用IBMPc構建區域網而出現的一種MS-DOS程序的高級語言介面。為了利用網路硬體和軟體將這些計算機連接在一起組成區域網,微軟和其它供應商利用NetBIOS介面來設計它們的網路組件和程序。NetBIOS介面利用最多為16個字元的名稱來標識每一個網路資源。
在一個網路中NetBIOS名是唯一的。在計算機啟動、服務被激活、用戶登錄到網路時,NetBIOS名將被動態的注冊到資料庫中。NetBIOS可以以獨立名稱的形式注冊,也可以以組名稱的形式注冊。以單機名注冊時要有一個IP地址與其相對應,如以組名稱注冊時會有多個IP地址與其對應。
在Windows2000發布前的所有基於MS-DOS和Windows的操作系統都需要使用NetBIOS名稱介面以便網路可以正常工作。伴隨著Windows2000的發布,網路中的計算機不再需要NetBIOS名稱介面的支持。如在Windows2000和一些UNIX版本的網路中它們只要求客戶機支持DNS使用就可以了,不再需要NetBIOS名。但為了與以前版本的網路操作系統結合使用,微軟在Windows2000中仍然支持NetBIOS名,以便與以前版本的操作系統協同使用,微軟通過兩方面實現對NetBIOS名的支持:<BR> 所有使用Windows2000的客戶機在默認情況下都支持利用客戶端的WINS服務注冊和解析NetBIOS名。
Windows2000伺服器繼續提供一個高效的WINS伺服器,用它來管理網路中的NetBIOS名。定義NetBIOS名稱
NetBIOS名稱包含16位元組。前15個位元組是由用戶指定的,用它來表示:<BR>§網路上的單個用戶或計算機<BR>§網路上的一組用戶或計算機
在NetBIOS名中的第16個字元作為名稱的後綴,用於識別名稱及顯示注冊名稱的信息。NetBIOS名可以被設置為獨立名稱或組名稱。
在使用獨立名稱時,是將網路信息發送給一台計算機,而使用組名稱是將網路信息同時發送給多台計算機。
在WindowsNT早期版本中,所有的網路服務都是利用NetBIOS名注冊的。而在Windows2000中,登錄網路及其它的網路服務都是在
dNS中進行注冊的。
1.2NetBIOS名的解析
NetBIOS名的解析就是將計算機的NetBIOS名成功的與IP地址進行映射的過程。從上面用戶已經知道NetBIOS名是用來識別網路上NetBIOS資源由16個字元組成的地址。讓用戶通過下面這個例子了解NetBIOS名是如何解析的。
一台Windows2000的計算機(CORPSERVER)中運行的文件與列印共享服務的NetBIOS名的解析過程。當計算機啟動時文件與列印共享服務利用計算機名在網路上注冊一個獨立NetBIOS名。這個NetBIOS名前15位字元是計算機名,第16位字元為0x20。如果計算機名不夠15個字元,那麼利用空格補齊。(即:CORPSERVER[20])。當用戶試圖與這台計算機的共享文件夾建立通信時必須指明它的文件與列印共享的NetBIOS名。在建立文件與列印共享連接前,首先要建立TCP連接,為了建立TCP連接首先要將NetBIOS名(即:CORPSERVER[20])解析成IP地址。WINS客戶機主要利用廣播、LMHOSTS文件、WINS伺服器三種方式的組合解決NetBIOS名解析的問題,根據組合方式的不同分成了四種NetBIOSnode模式,見下表:
Node模式
描述
B-node用戶利用廣播NetBIOS名查詢的方法實現名稱的注冊和解析;在廣播失敗後,查詢Lmhosts文件,尋找相應的地址
P-node(peer-peer)
利用點對點的方式直接向WINS伺服器查詢相應NetBIOS名的IP地址。M-node(mixed)
M-node是把B-node和P-node組合在一起。默認情況下使用廣播的方式,如果失敗,再向WINS伺服器進行查詢。H-node(hybrid)
H-node是把B-node和P-node組合在一起。默認情況下向WINS伺服器進行查詢,如果失敗,再使用廣播的方式。如果兩種方法都失敗,則查詢Lmhosts文件,尋找相應的地址。運行Windows2000的計算機默認使用B-node模式,當為它們設置了WINS伺服器後,改用H-node模式。Windows2000也能使用本地資料庫文件Lmhosts解析NetBIOS名。此文件存放在:SystemRoot\System32\Drivers\Etc文件夾中。
用戶一定要為基於活動目錄的Windows2000計算機設置一個WINS伺服器的IP地址,以便它們可以與無法使用活動目錄的WindowsNT、Windows2000,Windows95、Windows98計算機進行通信。
3、NetBIOS是什麼意思
原文參考:http://en.wikipedia.org/wiki/NetBIOS
譯文如下:
------------------------------------------------------------------------------------
NetBIOS是Network Basic Input/Output System的簡稱,一般指用於區域網通信的一套API
歷史
NetBIOS是一個網路協議,在上世紀80年代早期由IBM和Sytec聯合開發,用於所謂的PC-Network。雖然公開發表的文檔很少,協議的API卻成為了事實上的標准。
隨著PC-Network被令牌環和乙太網取代,NetBIOS也應該退出歷史舞台。但是,由於很多軟體使用了NetBIOS的API,所以NetBIOS被適配到了各種其他的協議上,比如IPX/SPX和TCP/IP。
使用令牌環和乙太網傳輸的NetBIOS現在被稱為NetBEUI。在Micrsoft Windows 98發布之前,一直廣泛使用。在TCP/IP上運行的NetBIOS稱為NBT,由RFC 1001和RFC 1002定義。NBT的基本思想是在基於IP的絡上模擬基於NetBIOS的PC-Network。NBT在Windows 2000中引入,是現在首選的NetBIOS傳輸。
概述
不管使用哪一種傳輸方式,NetBIOS提供三種不同的服務:
名字服務:名字登記和解析
會話服務:可靠的基於連接的通信
數據包服務:不可靠的無連接通信
當NetBIOS是數據鏈路層協議時,可以通過5Ch中斷訪問其功能。傳遞給這些函數的消息使用NCB格式。
NetBIOS和NetBEUI被設計為僅僅用於區域網,因此不支持路由,並且最多隻能處理72個節點或者設備。NetBIOS和NetBEUI經常使用廣播實現,尤其是名字服務的相關操作。
NBT使用一個或多個NBNS(NetBIOS Name Server(s))將名字服務擴展到多個子網。NBNS是動態DNS的一種,Microsoft的NBNS實現稱為WINS。另外,為了將虛擬的NetBIOS網路擴展到多個IP子網,WINS標准還引入了一個或者多個NBDD(NetBIOS Datagram Distribution) 伺服器。不幸的是,微軟的NBDD實現從來沒有工作過。
4、netbios是什麼
:NetBIOS Services Protocols
中文釋義:(-1001,1002)網路基本輸入/輸出系統協議
註解:該協議是由IBM公司開發,主要用於數十台計算機的小型區域網。NetBIOS協議是一種在區域網上的程序可以使用的應用程序編程介面(API),為程序提供了請求低級服務的統一的命令集,作用是為了給區域網提供網路以及其他特殊功能,幾乎所有的區域網都是在NetBIOS協議的基礎上工作的。
應 用:在Windows操作系統中,默認情況下在安裝TCP/IP協議後會自動安裝NetBIOS。比如在Windows 2000/XP中,當選擇「自動獲得IP」後會啟用DHCP伺服器,從該伺服器使用NetBIOS設置;如果使用靜態IP地址或DHCP伺服器不提供NetBIOS設置,則啟用TCP/IP上的NetBIOS。具體的設置方法如下:首先打開「控制面板」,雙擊「網路連接」圖標,打開本地連接屬性。接著,在屬性窗口的「常規」選項卡中選擇「Internet協議(TCP/IP)」,單擊「屬性」按鈕。然後在打開的窗口中,單擊「高級」按鈕;在「高級TCP/IP設置」窗口中選擇「WINS」選項卡,在「NetBIOS設置」區域中就可以相應的NetBIOS設置。
———————————————以下由Perfectshi補充———————————————
——什麼是NetBIOS,NetBIOS的作用
NetBIOS(Network Basic Input Output System,網路基本輸入輸出系統),是一種應用程序介面(API),系統可以利用WINS服務、廣播及Lmhost文件等多種模式將NetBIOS名解析為相應IP地址,實現信息通訊,所以在區域網內部使用NetBIOS協議可以方便地實現消息通信及資源的共享。因為它佔用系統資源少、傳輸效率高,尤為適於由 20 到 200 台計算機組成的小型區域網。 所以微軟的客戶機/伺服器網路系統都是基於NetBIOS的。
當安裝TCP/IP協 議時,NetBIOS 也被Windows作為默認設置載入,我們的計算機也具有了NetBIOS本身的開放性,139埠被打開。某些別有用心的人就利用這個功能來攻擊伺服器,使管理員不能放心使用文件和列印機共享。
——利用NetBIOS漏洞攻擊
1.利用軟體查找共享資源
利用NetBrute Scanner 軟體掃描一段IP地址(如10.0.13.1~10.0.13.254)內的共享資源,就會掃描出默認共享
2. 用PQwak破解共享密碼
雙擊掃描到的共享文件夾,如果沒有密碼,便可直接打開。當然也可以在IE的地址欄直接輸入掃描到的帶上共享文件夾的IP地址,如「\\10.0.13.191」(或帶C$,D$等查看默認共享)。如果設有共享密碼,會要求輸入共享用戶名和密碼,這時可利用破解網路鄰居密碼的工具軟體,如PQwak,破解後即可進入相應文件夾。
——關閉NetBIOS漏洞
1. 解開文件和列印機共享綁定
滑鼠右擊桌面上[網路鄰居]→[屬性] →[本地連接] →[屬性],去掉「Microsoft網路的文件和列印機共享」前面的勾,解開文件和列印機共享綁定。這樣就會禁止所有從139和445埠來的請求,別人也就看不到本機的共享了。
2. 利用TCP/IP篩選
滑鼠右擊桌面上[網路鄰居] →[屬性]→[本地連接] →[屬性],打開「本地連接屬性」對話框。選擇[Internet協議(TCP/IP)]→[屬性]→[高級]→[選項], 在列表中單擊選中「TCP/IP篩選」選項。單擊[屬性]按鈕,選擇「只允許」,再單擊[添加]按鈕(如圖2),填入除了139和445之外要用到的埠。這樣別人使用掃描器對139和445兩個埠進行掃描時,將不會有任何回應。
3. 使用IPSec安全策略阻止對埠139和445的訪問
選擇[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略,在本地機器],在這里定義一條阻止任何IP地址從TCP139和TCP445埠訪問IP地址的IPSec安全策略規則,這樣別人使用掃描器掃描時,本機的139和445兩個埠也不會給予任何回應。
4. 停止Server服務
選擇[我的電腦]→[控制面板]→[管理工具]→[服務],進入服務管理器,關閉Server服務。這樣雖然不會關閉埠,但可以中止本機對其他機器的服務,當然也就中止了對其他機器的共享。但是關閉了該服務會導致很多相關的服務無法啟動,如機器中如果有IIS服務,則不能採用這種方法。
5. 使用防火牆防範攻擊
在防火牆中也可以設置阻止其他機器使用本機共享。如在「天網個人防火牆」中,選擇一條空規則,設置數據包方向為「接收」,對方IP地址選「任何地址」,協議設定為「TCP」,本地埠設置為「139到139」,對方埠設置為「0到0」,設置標志位為「SYN」,動作設置為「攔截」,最後單擊[確定]按鈕,並在「自定義IP規則」列表中勾選此規則即可啟動攔截139埠攻擊了。
————————————————————————————————————————
Supplemented by ihui
NetBIOS:網路基本輸入輸出系統
(NetBIOS:Network Basic Input Output System)
網路基本輸入輸出系統(NetBIOS)由 IBM 公司開發。NetBIOS 定義了一種軟體介面以及在應用程序和連接介質之間提供通信介面的標准方法。NetBIOS 是一種會話層協議,應用於各種 LAN (Ethernet、Token Ring 等)和 WAN 環境,諸如 TCP/IP、PPP 和 X.25 網路。
NetBIOS 使得應用程序無需了解包括差錯恢復(會話模式)在內的網路細節。NetBIOS 請求以網路控制塊(NCB:Network Control Block)的形式提供,NCB 中包含了信息存放位置和目標名稱等信息。
NetBIOS 提供開放系統互聯(OSI)模型中的會話層和傳輸層服務,但不支持標准幀或數據格式的傳輸。NetBIOS 擴展用戶介面(NetBEUI)支持標准幀格式,它為 NetBIOS 提供網路層和傳輸層服務支持。
NetBIOS 支持兩種通信模式:會話(session)或數據報(datagram)。會話模式是指兩台計算機為「對話」建立一個連接,允許處理大量信息,並支持差錯監測和恢復功能。數據報模式面向「無連接」(信息獨立發送)操作,發送的信息較小,由應用程序提供差錯監測和恢復功能。此外數據報模式也支持將信息廣播到區域網中的每台計算機上。
NetBIOS 名稱為 16 位元組長(必要情況下使用填充位填滿),對使用的位元組值幾乎沒有限制。對於不執行路由的小型網路,將 NetBIOS 名稱映射到 IP 地址上有三種方法:
1. IP 廣播 - 當目標地址不在本地 cache 上時,廣播一個 包含目標計算機 NetBIOS 名稱的數據包。目標計算機返回其 IP 地址。
2. lmhosts 文件 - 這是一個負責映射 IP 地址和 NetBIOS 計算機名稱的文件。
3. NBNS - NetBIOS 命名伺服器負責 將 NetBIOS 名稱映射到 IP 地址上。該服務由 Linux 環境下的後台程序(nmbd daemon)執行。
協議結構
NetBIOS 數據包有很多不同格式,主要取決於服務和信息類型,以及用以傳送 NetBIOS 數據包的傳輸協議。 NetBIOS 包含三種基本服務: NAME、SESSION 和 DATAGRAM。作為例子,我們提供 TCP/IP 環境中的 NetBIOS 名稱數據包格式:
Header (12 bytes)
Question Entry (variable)
Answer Resource Records (variable)
Authority Resource Records (variable)
Additional Resource Records (variable)
5、NETBIOS是什麼?在哪裡查找?
NetBIOS(NETwork Basic Input/Output System)是網路基本輸入輸出系統。NetBIOS是1983年IBM開發的一套網路標准,此後微軟在這基礎上繼續開發。微軟的客戶機/伺服器網路系統都是基於NetBIOS的。應用程序通過標準的NetBIOS API調用,實現NetBIOS命令和數據在各種協議中傳輸。
Microsoft網路在WinNT操作系統中利用NetBIOS完成大量的內部聯網。它還為許多其他協議提供了標准界面。TCP/IP、NetBEUI和NWLink都有NetBIOS界面,應用程序都可以利用。NetBIOS API是為區域網開發的,現已發展為標准介面。無論是在面向連接或面向非連接的通信中,應用程序都可用其訪問傳輸層聯網協議。
網路協議TCP/IP、IPX/SPX、NETBEUI
>>網路中不同的工作站,伺服器之間能傳輸數據,源於協議的存在。隨著網路的發展,不同的開發商開發了不同的通信方式。為了使通信成功可靠,網路中的所有主機都必須使用同一語言,不能帶有方言。因而必須開發嚴格的標準定義主機之間的每個包中每個字中的每一位。這些標准來自於多個組織的努力,約定好通用的通信方式,即協議。這些都使通信更容易。
>>>>已經開發了許多協議,但是只有少數被保留了下來。那些協議的淘汰有多中原因---設計不好、實現不好或缺乏支持。而那些保留下來的協議經歷了時間的考驗並成為有效的通信方法。當今區域網中最常見的三個協議是MICROSOFT的NETBEUI、NOVELL的IPX/SPX和交叉平台
6、如何查詢netbios name,一台主機怎麼查找它的netbios是什麼/
分為三大類:
(1) 公認埠(Well Known Ports):從0到1023,它們緊密綁定於一些服務。通常這些埠的通訊明確表明了某種服務的協議。例如:80埠實際上總是HTTP通訊。
(2)注冊埠(Registered Ports):從1024到49151。它們鬆散地綁定於一些服務。也就是說有許多服務綁定於這些埠,這些埠同樣用於許多其它目的。例如:許多系統處理動態埠從1024左右開始。
(3) 動態和/或私有埠(Dynamic and/or Private Ports):從49152到65535
常用埠對照常用埠對照
埠:0
服務:Reserved
說明:通常用於分析操作系統。這一方法能夠工作是因為在一些系統中"0"是無效埠,當你試圖使用通常的閉合埠連接它時將產生不同的結果。一種典型的掃描,使用IP地址為0.0.0.0,設置ACK位並在乙太網層廣播。
埠:1
服務:tcpmux
說明:這顯示有人在尋找SGI Irix機器。Irix是實現tcpmux的主要提供者,默認情況下tcpmux在這種系統中被打開。Irix機器在發布是含有幾個默認的無密碼的帳戶,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。許多管理員在安裝後忘記刪除這些帳戶。因此HACKER在INTERNET上搜索tcpmux並利用這些帳戶。
埠:7
服務:Echo
說明:能看到許多人搜索Fraggle放大器時,發送到X.X.X.0和X.X.X.255的信息。
埠:19
服務:Character Generator
說明:這是一種僅僅發送字元的服務。UDP版本將會在收到UDP包後回應含有垃圾字元的包。TCP連接時會發送含有垃圾字元的數據流直到連接關閉。HACKER利用IP欺騙可以發動DoS攻擊。偽造兩個chargen伺服器之間的UDP包。同樣Fraggle DoS攻擊向目標地址的這個埠廣播一個帶有偽造受害者IP的數據包,受害者為了回應這些數據而過載。
埠:21
服務:FTP
說明:FTP伺服器所開放的埠,用於上傳、下載。最常見的攻擊者用於尋找打開anonymous的FTP伺服器的方法。這些伺服器帶有可讀寫的目錄。木馬Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開放的埠。
埠:22
服務:Ssh
說明:PcAnywhere建立的TCP和這一埠的連接可能是為了尋找ssh。這一服務有許多弱點,如果配置成特定的模式,許多使用RSAREF庫的版本就會有不少的漏洞存在。
埠:23
服務:Telnet
說明:遠程登錄,入侵者在搜索遠程登錄UNIX的服務。大多數情況下掃描這一埠是為了找到機器運行的操作系統。還有使用其他技術,入侵者也會找到密碼。木馬Tiny Telnet Server就開放這個埠。
埠:25
服務:SMTP
說明:SMTP伺服器所開放的埠,用於發送郵件。入侵者尋找SMTP伺服器是為了傳遞他們的SPAM。入侵者的帳戶被關閉,他們需要連接到高帶寬的E-MAIL伺服器上,將簡單的信息傳遞到不同的地址。木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個埠。
埠:31
服務:MSG Authentication
說明:木馬Master Paradise、Hackers Paradise開放此埠。
埠:42
服務:WINS Replication
說明:WINS復制
埠:53
服務:Domain Name Server(DNS)
說明:DNS伺服器所開放的埠,入侵者可能是試圖進行區域傳遞(TCP),欺騙DNS(UDP)或隱藏其他的通信。因此防火牆常常過濾或記錄此埠。
埠:67
服務:Bootstrap Protocol Server
說明:通過DSL和Cable modem的防火牆常會看見大量發送到廣播地址255.255.255.255的數據。這些機器在向DHCP伺服器請求一個地址。HACKER常進入它們,分配一個地址把自己作為局部路由器而發起大量中間人(man-in-middle)攻擊。客戶端向68埠廣播請求配置,伺服器向67埠廣播回應請求。這種回應使用廣播是因為客戶端還不知道可以發送的IP地址。
埠:69
服務:Trival File Transfer
說明:許多伺服器與bootp一起提供這項服務,便於從系統下載啟動代碼。但是它們常常由於錯誤配置而使入侵者能從系統中竊取任何文件。它們也可用於系統寫入文件。
埠:79
服務:Finger Server
說明:入侵者用於獲得用戶信息,查詢操作系統,探測已知的緩沖區溢出錯誤,回應從自己機器到其他機器Finger掃描。
埠:80
服務:HTTP
說明:用於網頁瀏覽。木馬Executor開放此埠。
埠:99
服務:Metagram Relay
說明:後門程序ncx99開放此埠。
埠:102
服務:Message transfer agent(MTA)-X.400 over TCP/IP
說明:消息傳輸代理。
埠:109
服務:Post Office Protocol -Version3
說明:POP3伺服器開放此埠,用於接收郵件,客戶端訪問伺服器端的郵件服務。POP3服務有許多公認的弱點。關於用戶名和密碼交換緩沖區溢出的弱點至少有20個,這意味著入侵者可以在真正登陸前進入系統。成功登陸後還有其他緩沖區溢出錯誤。
埠:110
服務:SUN公司的RPC服務所有埠
說明:常見RPC服務有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
埠:113
服務:Authentication Service
說明:這是一個許多計算機上運行的協議,用於鑒別TCP連接的用戶。使用標準的這種服務可以獲得許多計算機的信息。但是它可作為許多服務的記錄器,尤其是FTP、POP、IMAP、SMTP和IRC等服務。通常如果有許多客戶通過防火牆訪問這些服務,將會看到許多這個埠的連接請求。記住,如果阻斷這個埠客戶端會感覺到在防火牆另一邊與E-MAIL伺服器的緩慢連接。許多防火牆支持TCP連接的阻斷過程中發回RST。這將會停止緩慢的連接。
埠:119
服務:Network News Transfer Protocol
說明:NEWS新聞組傳輸協議,承載USENET通信。這個埠的連接通常是人們在尋找USENET伺服器。多數ISP限制,只有他們的客戶才能訪問他們的新聞組伺服器。打開新聞組伺服器將允許發/讀任何人的帖子,訪問被限制的新聞組伺服器,匿名發帖或發送SPAM。
埠:135
服務:Location Service
說明:Microsoft在這個埠運行DCE RPC end-point mapper為它的DCOM服務。這與UNIX 111埠的功能很相似。使用DCOM和RPC的服務利用計算機上的end-point mapper注冊它們的位置。遠端客戶連接到計算機時,它們查找end-point mapper找到服務的位置。HACKER掃描計算機的這個埠是為了找到這個計算機上運行Exchange Server嗎?什麼版本?還有些DOS攻擊直接針對這個埠。
埠:137、138、139
服務:NETBIOS Name Service
說明:其中137、138是UDP埠,當通過網上鄰居傳輸文件時用這個埠。而139埠:通過這個埠進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用於windows文件和列印機共享和SAMBA。還有WINS Regisrtation也用它。
埠:143
服務:Interim Mail Access Protocol v2
說明:和POP3的安全問題一樣,許多IMAP伺服器存在有緩沖區溢出漏洞。記住:一種LINUX蠕蟲(admv0rm)會通過這個埠繁殖,因此許多這個埠的掃描來自不知情的已經被感染的用戶。當REDHAT在他們的LINUX發布版本中默認允許IMAP後,這些漏洞變的很流行。這一埠還被用於IMAP2,但並不流行。
埠:161
服務:SNMP
說明:SNMP允許遠程管理設備。所有配置和運行信息的儲存在資料庫中,通過SNMP可獲得這些信息。許多管理員的錯誤配置將被暴露在Internet。Cackers將試圖使用默認的密碼public、private訪問系統。他們可能會試驗所有可能的組合。SNMP包可能會被錯誤的指向用戶的網路。
埠:177
服務:X Display Manager Control Protocol
說明:許多入侵者通過它訪問X-windows操作台,它同時需要打開6000埠。
埠:389
服務:LDAP、ILS
說明:輕型目錄訪問協議和NetMeeting Internet Locator Server共用這一埠。
埠:443
服務:Https
說明:網頁瀏覽埠,能提供加密和通過安全埠傳輸的另一種HTTP。
埠:456
服務:[NULL]
說明:木馬HACKERS PARADISE開放此埠。
埠:513
服務:Login,remote login
說明:是從使用cable modem或DSL登陸到子網中的UNIX計算機發出的廣播。這些人為入侵者進入他們的系統提供了信息。
埠:544
服務:[NULL]
說明:kerberos kshell
埠:548
服務:Macintosh,File Services(AFP/IP)
說明:Macintosh,文件服務。
埠:553
服務:CORBA IIOP (UDP)
說明:使用cable modem、DSL或VLAN將會看到這個埠的廣播。CORBA是一種面向對象的RPC系統。入侵者可以利用這些信息進入系統。
埠:555
服務:DSF
說明:木馬PhAse1.0、Stealth Spy、IniKiller開放此埠。
埠:568
服務:Membership DPA
說明:成員資格 DPA。
埠:569
服務:Membership MSN
說明:成員資格 MSN。
埠:635
服務:mountd
說明:Linux的mountd Bug。這是掃描的一個流行BUG。大多數對這個埠的掃描是基於UDP的,但是基於TCP的mountd有所增加(mountd同時運行於兩個埠)。記住mountd可運行於任何埠(到底是哪個埠,需要在埠111做portmap查詢),只是Linux默認埠是635,就像NFS通常運行於2049埠。
埠:636
服務:LDAP
說明:SSL(Secure Sockets layer)
埠:666
服務:Doom Id Software
說明:木馬Attack FTP、Satanz Backdoor開放此埠
埠:993
服務:IMAP
說明:SSL(Secure Sockets layer)
埠:1001、1011
服務:[NULL]
說明:木馬Silencer、WebEx開放1001埠。木馬Doly Trojan開放1011埠。
埠:1024
服務:Reserved
說明:它是動態埠的開始,許多程序並不在乎用哪個埠連接網路,它們請求系統為它們分配下一個閑置埠。基於這一點分配從埠1024開始。這就是說第一個向系統發出請求的會分配到1024埠。你可以重啟機器,打開Telnet,再打開一個窗口運行natstat -a 將會看到Telnet被分配1024埠。還有SQL session也用此埠和5000埠。
埠:1025、1033
服務:1025:network blackjack 1033:[NULL]
說明:木馬netspy開放這2個埠。
埠:1080
服務:SOCKS
說明:這一協議以通道方式穿過防火牆,允許防火牆後面的人通過一個IP地址訪問INTERNET。理論上它應該只允許內部的通信向外到達INTERNET。但是由於錯誤的配置,它會允許位於防火牆外部的攻擊穿過防火牆。WinGate常會發生這種錯誤,在加入IRC聊天室時常會看到這種情況。
埠:1170
服務:[NULL]
說明:木馬Streaming Audio Trojan、Psyber Stream Server、Voice開放此埠。
埠:1234、1243、6711、6776
服務:[NULL]
說明:木馬SubSeven2.0、Ultors Trojan開放1234、6776埠。木馬SubSeven1.0/1.9開放1243、6711、6776埠。
埠:1245
服務:[NULL]
說明:木馬Vodoo開放此埠
要了解得更多,可以學習一下TCP/IP協議。
7、netbios_name_server和dns_server有什麼區別?
dns_server是針對域名和IP的對應;netbios_name_server是自己區域網內主機名和IP的對應
dns_server是針對域名和IP的對應,例如打開網頁版輸入域名時,DNS會解析權為該網頁伺服器的IP地址。
netbios_name_server是自己區域網內主機名和IP的對應,即WINS。例如要訪問區域網內一台計算機的共享,可以輸入對方計算機名即可自動解析為對應的IP地址。
8、網路連接設置里有個NETBIOS是干什麼用的
NETBIOS 英文原義:
NetBIOS Services Protocols 中文釋義:(RFC-1001,1002)網路基本輸入/輸出系統協議 註解:該協議是由IBM公司開發,主要用於數十台計算機的小型區域網。
NetBIOS協議是一種在區域網上的程序可以使用的應用程序編程介面(API),為程序提供了請求低級服務的統一的命令集,作用是為了給區域網提供網路以及其他特殊功能,幾乎所有的區域網都是在NetBIOS協議的基礎上工作的。 應 用:在Windows操作系統中,默認情況下在安裝TCP/IP協議後會自動安裝NetBIOS。
比如在Windows 2000/XP中,當選擇「自動獲得IP」後會啟用DHCP伺服器,從該伺服器使用NetBIOS設置;如果使用靜態IP地址或DHCP伺服器不提供NetBIOS設置,則啟用TCP/IP上的NetBIOS。
具體的設置方法如下:
首先打開「控制面板」,雙擊「網路連接」圖標,打開本地連接屬性。接著,在屬性窗口的「常規」選項卡中選擇「Internet協議(TCP/IP)」,單擊「屬性」按鈕。然後在打開的窗口中,單擊「高級」按鈕;在「高級TCP/IP設置」窗口中選擇「WINS」選項卡,在「NetBIOS設置」區域中就可以相應的NetBIOS設置。
什麼是NetBIOS,NetBIOS的作用 NetBIOS(Network Basic Input Output System,網路基本輸入輸出系統),是一種應用程序介面(API),系統可以利用WINS服務、廣播及Lmhost文件等多種模式將NetBIOS名解析為相應IP地址,實現信息通訊,所以在區域網內部使用NetBIOS協議可以方便地實現消息通信及資源的共享。因為它佔用系統資源少、傳輸效率高,尤為適於由 20 到 200 台計算機組成的小型區域網。 所以微軟的客戶機/伺服器網路系統都是基於NetBIOS的。 當安裝TCP/IP協 議時,NetBIOS 也被Windows作為默認設置載入,我們的計算機也具有了NetBIOS本身的開放性,139埠被打開。某些別有用心的人就利用這個功能來攻擊伺服器,使管理員不能放心使用文件和列印機共享。
利用NetBIOS漏洞攻擊 :
1.利用軟體查找共享資源 利用NetBrute Scanner 軟體掃描一段IP地址(如10.0.13.1~10.0.13.254)內的共享資源,就會掃描出默認共享
2. 用PQwak破解共享密碼 雙擊掃描到的共享文件夾,如果沒有密碼,便可直接打開。當然也可以在IE的地址欄直接輸入掃描到的帶上共享文件夾的IP地址,如「\10.0.13.191」(或帶C$,D$等查看默認共享)。如果設有共享密碼,會要求輸入共享用戶名和密碼,這時可利用破解網路鄰居密碼的工具軟體,如PQwak,破解後即可進入相應文件夾。
關閉NetBIOS漏洞 :
1.解開文件和列印機共享綁定 滑鼠右擊桌面上[網路鄰居]→[屬性] →[本地連接] →[屬性],去掉「Microsoft網路的文件和列印機共享」前面的勾,解開文件和列印機共享綁定。這樣就會禁止所有從139和445埠來的請求,別人也就看不到本機的共享了。
2. 利用TCP/IP篩選 滑鼠右擊桌面上[網路鄰居] →[屬性]→[本地連接] →[屬性],打開「本地連接屬性」對話框。選擇[Internet協議(TCP/IP)]→[屬性]→[高級]→[選項], 在列表中單擊選中「TCP/IP篩選」選項。單擊[屬性]按鈕,選擇「只允許」,再單擊[添加]按鈕(如圖2),填入除了139和445之外要用到的埠。這樣別人使用掃描器對139和445兩個埠進行掃描時,將不會有任何回應。
3. 使用IPSec安全策略阻止對埠139和445的訪問 選擇[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略,在本地機器],在這里定義一條阻止任何IP地址從TCP139和TCP445埠訪問IP地址的IPSec安全策略規則,這樣別人使用掃描器掃描時,本機的139和445兩個埠也不會給予任何回應。
4. 停止
9、伺服器有問題,網上查了說要重裝NETBIOS,如何重裝NETBIOS?
伺服器什麼問題啊?在Windows操作系統中,默認情況下在安裝TCP/IP協議後會自動安裝NetBIOS。
10、計算機netbios名是指什麼
1.1定義計算機名(NetBIOS名)
NetBIOS是80年代末為了利用IBMPc構建區域網而出現的一種MS-DOS程序的高級語言介面。為了利用網路硬體和軟體將這些計算機連接在一起組成區域網,微軟和其它供應商利用NetBIOS介面來設計它們的網路組件和程序。NetBIOS介面利用最多為16個字元的名稱來標識每一個網路資源。
在一個網路中NetBIOS名是唯一的。在計算機啟動、服務被激活、用戶登錄到網路時,NetBIOS名將被動態的注冊到資料庫中。NetBIOS可以以獨立名稱的形式注冊,也可以以組名稱的形式注冊。以單機名注冊時要有一個IP地址與其相對應,如以組名稱注冊時會有多個IP地址與其對應。
在Windows2000發布前的所有基於MS-DOS和Windows的操作系統都需要使用NetBIOS名稱介面以便網路可以正常工作。伴隨著Windows2000的發布,網路中的計算機不再需要NetBIOS名稱介面的支持。如在Windows2000和一些UNIX版本的網路中它們只要求客戶機支持DNS使用就可以了,不再需要NetBIOS名。但為了與以前版本的網路操作系統結合使用,微軟在Windows2000中仍然支持NetBIOS名,以便與以前版本的操作系統協同使用,微軟通過兩方面實現對NetBIOS名的支持:<BR> 所有使用Windows2000的客戶機在默認情況下都支持利用客戶端的WINS服務注冊和解析NetBIOS名。
Windows2000伺服器繼續提供一個高效的WINS伺服器,用它來管理網路中的NetBIOS名。定義NetBIOS名稱
NetBIOS名稱包含16位元組。前15個位元組是由用戶指定的,用它來表示:<BR>§網路上的單個用戶或計算機<BR>§網路上的一組用戶或計算機
在NetBIOS名中的第16個字元作為名稱的後綴,用於識別名稱及顯示注冊名稱的信息。NetBIOS名可以被設置為獨立名稱或組名稱。
在使用獨立名稱時,是將網路信息發送給一台計算機,而使用組名稱是將網路信息同時發送給多台計算機。
在WindowsNT早期版本中,所有的網路服務都是利用NetBIOS名注冊的。而在Windows2000中,登錄網路及其它的網路服務都是在
dNS中進行注冊的。
1.2NetBIOS名的解析
NetBIOS名的解析就是將計算機的NetBIOS名成功的與IP地址進行映射的過程。從上面用戶已經知道NetBIOS名是用來識別網路上NetBIOS資源由16個字元組成的地址。讓用戶通過下面這個例子了解NetBIOS名是如何解析的。
一台Windows2000的計算機(CORPSERVER)中運行的文件與列印共享服務的NetBIOS名的解析過程。當計算機啟動時文件與列印共享服務利用計算機名在網路上注冊一個獨立NetBIOS名。這個NetBIOS名前15位字元是計算機名,第16位字元為0x20。如果計算機名不夠15個字元,那麼利用空格補齊。(即:CORPSERVER[20])。當用戶試圖與這台計算機的共享文件夾建立通信時必須指明它的文件與列印共享的NetBIOS名。在建立文件與列印共享連接前,首先要建立TCP連接,為了建立TCP連接首先要將NetBIOS名(即:CORPSERVER[20])解析成IP地址。WINS客戶機主要利用廣播、LMHOSTS文件、WINS伺服器三種方式的組合解決NetBIOS名解析的問題,根據組合方式的不同分成了四種NetBIOSnode模式,見下表:
Node模式
描述
B-node用戶利用廣播NetBIOS名查詢的方法實現名稱的注冊和解析;在廣播失敗後,查詢Lmhosts文件,尋找相應的地址
P-node(peer-peer)
利用點對點的方式直接向WINS伺服器查詢相應NetBIOS名的IP地址。M-node(mixed)
M-node是把B-node和P-node組合在一起。默認情況下使用廣播的方式,如果失敗,再向WINS伺服器進行查詢。H-node(hybrid)
H-node是把B-node和P-node組合在一起。默認情況下向WINS伺服器進行查詢,如果失敗,再使用廣播的方式。如果兩種方法都失敗,則查詢Lmhosts文件,尋找相應的地址。運行Windows2000的計算機默認使用B-node模式,當為它們設置了WINS伺服器後,改用H-node模式。Windows2000也能使用本地資料庫文件Lmhosts解析NetBIOS名。此文件存放在:SystemRoot\System32\Drivers\Etc文件夾中。
用戶一定要為基於活動目錄的Windows2000計算機設置一個WINS伺服器的IP地址,以便它們可以與無法使用活動目錄的WindowsNT、Windows2000,Windows95、Windows98計算機進行通信。