1、NetBIOS是什么呀,急需知道呢?
网络基本输入/输出系统内协议容
http://ke.baidu.com/view/32803.html?wtp=tt
2、什么是服务器的NETBIOS名
NetBIOS是80年代末为了利用IBMPc构建局域网而出现的一种MS-DOS程序的高级语言接口。为了利用网络硬件和软件将这些计算机连接在一起组成局域网,微软和其它供应商利用NetBIOS接口来设计它们的网络组件和程序。NetBIOS接口利用最多为16个字符的名称来标识每一个网络资源。
在一个网络中NetBIOS名是唯一的。在计算机启动、服务被激活、用户登录到网络时,NetBIOS名将被动态的注册到数据库中。NetBIOS可以以独立名称的形式注册,也可以以组名称的形式注册。以单机名注册时要有一个IP地址与其相对应,如以组名称注册时会有多个IP地址与其对应。
在Windows2000发布前的所有基于MS-DOS和Windows的操作系统都需要使用NetBIOS名称接口以便网络可以正常工作。伴随着Windows2000的发布,网络中的计算机不再需要NetBIOS名称接口的支持。如在Windows2000和一些UNIX版本的网络中它们只要求客户机支持DNS使用就可以了,不再需要NetBIOS名。但为了与以前版本的网络操作系统结合使用,微软在Windows2000中仍然支持NetBIOS名,以便与以前版本的操作系统协同使用,微软通过两方面实现对NetBIOS名的支持:<BR> 所有使用Windows2000的客户机在默认情况下都支持利用客户端的WINS服务注册和解析NetBIOS名。
Windows2000服务器继续提供一个高效的WINS服务器,用它来管理网络中的NetBIOS名。定义NetBIOS名称
NetBIOS名称包含16字节。前15个字节是由用户指定的,用它来表示:<BR>§网络上的单个用户或计算机<BR>§网络上的一组用户或计算机
在NetBIOS名中的第16个字符作为名称的后缀,用于识别名称及显示注册名称的信息。NetBIOS名可以被设置为独立名称或组名称。
在使用独立名称时,是将网络信息发送给一台计算机,而使用组名称是将网络信息同时发送给多台计算机。
在WindowsNT早期版本中,所有的网络服务都是利用NetBIOS名注册的。而在Windows2000中,登录网络及其它的网络服务都是在
dNS中进行注册的。
1.2NetBIOS名的解析
NetBIOS名的解析就是将计算机的NetBIOS名成功的与IP地址进行映射的过程。从上面用户已经知道NetBIOS名是用来识别网络上NetBIOS资源由16个字符组成的地址。让用户通过下面这个例子了解NetBIOS名是如何解析的。
一台Windows2000的计算机(CORPSERVER)中运行的文件与打印共享服务的NetBIOS名的解析过程。当计算机启动时文件与打印共享服务利用计算机名在网络上注册一个独立NetBIOS名。这个NetBIOS名前15位字符是计算机名,第16位字符为0x20。如果计算机名不够15个字符,那么利用空格补齐。(即:CORPSERVER[20])。当用户试图与这台计算机的共享文件夹建立通信时必须指明它的文件与打印共享的NetBIOS名。在建立文件与打印共享连接前,首先要建立TCP连接,为了建立TCP连接首先要将NetBIOS名(即:CORPSERVER[20])解析成IP地址。WINS客户机主要利用广播、LMHOSTS文件、WINS服务器三种方式的组合解决NetBIOS名解析的问题,根据组合方式的不同分成了四种NetBIOSnode模式,见下表:
Node模式
描述
B-node用户利用广播NetBIOS名查询的方法实现名称的注册和解析;在广播失败后,查询Lmhosts文件,寻找相应的地址
P-node(peer-peer)
利用点对点的方式直接向WINS服务器查询相应NetBIOS名的IP地址。M-node(mixed)
M-node是把B-node和P-node组合在一起。默认情况下使用广播的方式,如果失败,再向WINS服务器进行查询。H-node(hybrid)
H-node是把B-node和P-node组合在一起。默认情况下向WINS服务器进行查询,如果失败,再使用广播的方式。如果两种方法都失败,则查询Lmhosts文件,寻找相应的地址。运行Windows2000的计算机默认使用B-node模式,当为它们设置了WINS服务器后,改用H-node模式。Windows2000也能使用本地数据库文件Lmhosts解析NetBIOS名。此文件存放在:SystemRoot\System32\Drivers\Etc文件夹中。
用户一定要为基于活动目录的Windows2000计算机设置一个WINS服务器的IP地址,以便它们可以与无法使用活动目录的WindowsNT、Windows2000,Windows95、Windows98计算机进行通信。
3、NetBIOS是什么意思
原文参考:http://en.wikipedia.org/wiki/NetBIOS
译文如下:
------------------------------------------------------------------------------------
NetBIOS是Network Basic Input/Output System的简称,一般指用于局域网通信的一套API
历史
NetBIOS是一个网络协议,在上世纪80年代早期由IBM和Sytec联合开发,用于所谓的PC-Network。虽然公开发表的文档很少,协议的API却成为了事实上的标准。
随着PC-Network被令牌环和以太网取代,NetBIOS也应该退出历史舞台。但是,由于很多软件使用了NetBIOS的API,所以NetBIOS被适配到了各种其他的协议上,比如IPX/SPX和TCP/IP。
使用令牌环和以太网传输的NetBIOS现在被称为NetBEUI。在Micrsoft Windows 98发布之前,一直广泛使用。在TCP/IP上运行的NetBIOS称为NBT,由RFC 1001和RFC 1002定义。NBT的基本思想是在基于IP的络上模拟基于NetBIOS的PC-Network。NBT在Windows 2000中引入,是现在首选的NetBIOS传输。
概述
不管使用哪一种传输方式,NetBIOS提供三种不同的服务:
名字服务:名字登记和解析
会话服务:可靠的基于连接的通信
数据包服务:不可靠的无连接通信
当NetBIOS是数据链路层协议时,可以通过5Ch中断访问其功能。传递给这些函数的消息使用NCB格式。
NetBIOS和NetBEUI被设计为仅仅用于局域网,因此不支持路由,并且最多只能处理72个节点或者设备。NetBIOS和NetBEUI经常使用广播实现,尤其是名字服务的相关操作。
NBT使用一个或多个NBNS(NetBIOS Name Server(s))将名字服务扩展到多个子网。NBNS是动态DNS的一种,Microsoft的NBNS实现称为WINS。另外,为了将虚拟的NetBIOS网络扩展到多个IP子网,WINS标准还引入了一个或者多个NBDD(NetBIOS Datagram Distribution) 服务器。不幸的是,微软的NBDD实现从来没有工作过。
4、netbios是什么
:NetBIOS Services Protocols
中文释义:(-1001,1002)网络基本输入/输出系统协议
注解:该协议是由IBM公司开发,主要用于数十台计算机的小型局域网。NetBIOS协议是一种在局域网上的程序可以使用的应用程序编程接口(API),为程序提供了请求低级服务的统一的命令集,作用是为了给局域网提供网络以及其他特殊功能,几乎所有的局域网都是在NetBIOS协议的基础上工作的。
应 用:在Windows操作系统中,默认情况下在安装TCP/IP协议后会自动安装NetBIOS。比如在Windows 2000/XP中,当选择“自动获得IP”后会启用DHCP服务器,从该服务器使用NetBIOS设置;如果使用静态IP地址或DHCP服务器不提供NetBIOS设置,则启用TCP/IP上的NetBIOS。具体的设置方法如下:首先打开“控制面板”,双击“网络连接”图标,打开本地连接属性。接着,在属性窗口的“常规”选项卡中选择“Internet协议(TCP/IP)”,单击“属性”按钮。然后在打开的窗口中,单击“高级”按钮;在“高级TCP/IP设置”窗口中选择“WINS”选项卡,在“NetBIOS设置”区域中就可以相应的NetBIOS设置。
———————————————以下由Perfectshi补充———————————————
——什么是NetBIOS,NetBIOS的作用
NetBIOS(Network Basic Input Output System,网络基本输入输出系统),是一种应用程序接口(API),系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址,实现信息通讯,所以在局域网内部使用NetBIOS协议可以方便地实现消息通信及资源的共享。因为它占用系统资源少、传输效率高,尤为适于由 20 到 200 台计算机组成的小型局域网。 所以微软的客户机/服务器网络系统都是基于NetBIOS的。
当安装TCP/IP协 议时,NetBIOS 也被Windows作为默认设置载入,我们的计算机也具有了NetBIOS本身的开放性,139端口被打开。某些别有用心的人就利用这个功能来攻击服务器,使管理员不能放心使用文件和打印机共享。
——利用NetBIOS漏洞攻击
1.利用软件查找共享资源
利用NetBrute Scanner 软件扫描一段IP地址(如10.0.13.1~10.0.13.254)内的共享资源,就会扫描出默认共享
2. 用PQwak破解共享密码
双击扫描到的共享文件夹,如果没有密码,便可直接打开。当然也可以在IE的地址栏直接输入扫描到的带上共享文件夹的IP地址,如“\\10.0.13.191”(或带C$,D$等查看默认共享)。如果设有共享密码,会要求输入共享用户名和密码,这时可利用破解网络邻居密码的工具软件,如PQwak,破解后即可进入相应文件夹。
——关闭NetBIOS漏洞
1. 解开文件和打印机共享绑定
鼠标右击桌面上[网络邻居]→[属性] →[本地连接] →[属性],去掉“Microsoft网络的文件和打印机共享”前面的勾,解开文件和打印机共享绑定。这样就会禁止所有从139和445端口来的请求,别人也就看不到本机的共享了。
2. 利用TCP/IP筛选
鼠标右击桌面上[网络邻居] →[属性]→[本地连接] →[属性],打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[选项], 在列表中单击选中“TCP/IP筛选”选项。单击[属性]按钮,选择“只允许”,再单击[添加]按钮(如图2),填入除了139和445之外要用到的端口。这样别人使用扫描器对139和445两个端口进行扫描时,将不会有任何回应。
3. 使用IPSec安全策略阻止对端口139和445的访问
选择[我的电脑]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略,在本地机器],在这里定义一条阻止任何IP地址从TCP139和TCP445端口访问IP地址的IPSec安全策略规则,这样别人使用扫描器扫描时,本机的139和445两个端口也不会给予任何回应。
4. 停止Server服务
选择[我的电脑]→[控制面板]→[管理工具]→[服务],进入服务管理器,关闭Server服务。这样虽然不会关闭端口,但可以中止本机对其他机器的服务,当然也就中止了对其他机器的共享。但是关闭了该服务会导致很多相关的服务无法启动,如机器中如果有IIS服务,则不能采用这种方法。
5. 使用防火墙防范攻击
在防火墙中也可以设置阻止其他机器使用本机共享。如在“天网个人防火墙”中,选择一条空规则,设置数据包方向为“接收”,对方IP地址选“任何地址”,协议设定为“TCP”,本地端口设置为“139到139”,对方端口设置为“0到0”,设置标志位为“SYN”,动作设置为“拦截”,最后单击[确定]按钮,并在“自定义IP规则”列表中勾选此规则即可启动拦截139端口攻击了。
————————————————————————————————————————
Supplemented by ihui
NetBIOS:网络基本输入输出系统
(NetBIOS:Network Basic Input Output System)
网络基本输入输出系统(NetBIOS)由 IBM 公司开发。NetBIOS 定义了一种软件接口以及在应用程序和连接介质之间提供通信接口的标准方法。NetBIOS 是一种会话层协议,应用于各种 LAN (Ethernet、Token Ring 等)和 WAN 环境,诸如 TCP/IP、PPP 和 X.25 网络。
NetBIOS 使得应用程序无需了解包括差错恢复(会话模式)在内的网络细节。NetBIOS 请求以网络控制块(NCB:Network Control Block)的形式提供,NCB 中包含了信息存放位置和目标名称等信息。
NetBIOS 提供开放系统互联(OSI)模型中的会话层和传输层服务,但不支持标准帧或数据格式的传输。NetBIOS 扩展用户接口(NetBEUI)支持标准帧格式,它为 NetBIOS 提供网络层和传输层服务支持。
NetBIOS 支持两种通信模式:会话(session)或数据报(datagram)。会话模式是指两台计算机为“对话”建立一个连接,允许处理大量信息,并支持差错监测和恢复功能。数据报模式面向“无连接”(信息独立发送)操作,发送的信息较小,由应用程序提供差错监测和恢复功能。此外数据报模式也支持将信息广播到局域网中的每台计算机上。
NetBIOS 名称为 16 字节长(必要情况下使用填充位填满),对使用的字节值几乎没有限制。对于不执行路由的小型网络,将 NetBIOS 名称映射到 IP 地址上有三种方法:
1. IP 广播 - 当目标地址不在本地 cache 上时,广播一个 包含目标计算机 NetBIOS 名称的数据包。目标计算机返回其 IP 地址。
2. lmhosts 文件 - 这是一个负责映射 IP 地址和 NetBIOS 计算机名称的文件。
3. NBNS - NetBIOS 命名服务器负责 将 NetBIOS 名称映射到 IP 地址上。该服务由 Linux 环境下的后台程序(nmbd daemon)执行。
协议结构
NetBIOS 数据包有很多不同格式,主要取决于服务和信息类型,以及用以传送 NetBIOS 数据包的传输协议。 NetBIOS 包含三种基本服务: NAME、SESSION 和 DATAGRAM。作为例子,我们提供 TCP/IP 环境中的 NetBIOS 名称数据包格式:
Header (12 bytes)
Question Entry (variable)
Answer Resource Records (variable)
Authority Resource Records (variable)
Additional Resource Records (variable)
5、NETBIOS是什么?在哪里查找?
NetBIOS(NETwork Basic Input/Output System)是网络基本输入输出系统。NetBIOS是1983年IBM开发的一套网络标准,此后微软在这基础上继续开发。微软的客户机/服务器网络系统都是基于NetBIOS的。应用程序通过标准的NetBIOS API调用,实现NetBIOS命令和数据在各种协议中传输。
Microsoft网络在WinNT操作系统中利用NetBIOS完成大量的内部联网。它还为许多其他协议提供了标准界面。TCP/IP、NetBEUI和NWLink都有NetBIOS界面,应用程序都可以利用。NetBIOS API是为局域网开发的,现已发展为标准接口。无论是在面向连接或面向非连接的通信中,应用程序都可用其访问传输层联网协议。
网络协议TCP/IP、IPX/SPX、NETBEUI
>>网络中不同的工作站,服务器之间能传输数据,源于协议的存在。随着网络的发展,不同的开发商开发了不同的通信方式。为了使通信成功可靠,网络中的所有主机都必须使用同一语言,不能带有方言。因而必须开发严格的标准定义主机之间的每个包中每个字中的每一位。这些标准来自于多个组织的努力,约定好通用的通信方式,即协议。这些都使通信更容易。
>>>>已经开发了许多协议,但是只有少数被保留了下来。那些协议的淘汰有多中原因---设计不好、实现不好或缺乏支持。而那些保留下来的协议经历了时间的考验并成为有效的通信方法。当今局域网中最常见的三个协议是MICROSOFT的NETBEUI、NOVELL的IPX/SPX和交叉平台
6、如何查询netbios name,一台主机怎么查找它的netbios是什么/
分为三大类:
(1) 公认端口(Well Known Ports):从0到1023,它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如:80端口实际上总是HTTP通讯。
(2)注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。
(3) 动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535
常用端口对照常用端口对照
端口:0
服务:Reserved
说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中"0"是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。
端口:1
服务:tcpmux
说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。
端口:7
服务:Echo
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
端口:19
服务:Character Generator
说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
端口:21
服务:FTP
说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。
端口:22
服务:Ssh
说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
端口:23
服务:Telnet
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。
端口:25
服务:SMTP
说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。
端口:31
服务:MSG Authentication
说明:木马Master Paradise、Hackers Paradise开放此端口。
端口:42
服务:WINS Replication
说明:WINS复制
端口:53
服务:Domain Name Server(DNS)
说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
端口:67
服务:Bootstrap Protocol Server
说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。
端口:69
服务:Trival File Transfer
说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何文件。它们也可用于系统写入文件。
端口:79
服务:Finger Server
说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其他机器Finger扫描。
端口:80
服务:HTTP
说明:用于网页浏览。木马Executor开放此端口。
端口:99
服务:Metagram Relay
说明:后门程序ncx99开放此端口。
端口:102
服务:Message transfer agent(MTA)-X.400 over TCP/IP
说明:消息传输代理。
端口:109
服务:Post Office Protocol -Version3
说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
端口:110
服务:SUN公司的RPC服务所有端口
说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
端口:113
服务:Authentication Service
说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接请求。记住,如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。
端口:119
服务:Network News Transfer Protocol
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。
端口:135
服务:Location Service
说明:Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端口。
端口:137、138、139
服务:NETBIOS Name Service
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。
端口:143
服务:Interim Mail Access Protocol v2
说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口还被用于IMAP2,但并不流行。
端口:161
服务:SNMP
说明:SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。
端口:177
服务:X Display Manager Control Protocol
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。
端口:389
服务:LDAP、ILS
说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
端口:443
服务:Https
说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。
端口:456
服务:[NULL]
说明:木马HACKERS PARADISE开放此端口。
端口:513
服务:Login,remote login
说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。
端口:544
服务:[NULL]
说明:kerberos kshell
端口:548
服务:Macintosh,File Services(AFP/IP)
说明:Macintosh,文件服务。
端口:553
服务:CORBA IIOP (UDP)
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。
端口:555
服务:DSF
说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
端口:568
服务:Membership DPA
说明:成员资格 DPA。
端口:569
服务:Membership MSN
说明:成员资格 MSN。
端口:635
服务:mountd
说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住mountd可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就像NFS通常运行于2049端口。
端口:636
服务:LDAP
说明:SSL(Secure Sockets layer)
端口:666
服务:Doom Id Software
说明:木马Attack FTP、Satanz Backdoor开放此端口
端口:993
服务:IMAP
说明:SSL(Secure Sockets layer)
端口:1001、1011
服务:[NULL]
说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。
端口:1024
服务:Reserved
说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
端口:1025、1033
服务:1025:network blackjack 1033:[NULL]
说明:木马netspy开放这2个端口。
端口:1080
服务:SOCKS
说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置,它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这种情况。
端口:1170
服务:[NULL]
说明:木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。
端口:1234、1243、6711、6776
服务:[NULL]
说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。
端口:1245
服务:[NULL]
说明:木马Vodoo开放此端口
要了解得更多,可以学习一下TCP/IP协议。
7、netbios_name_server和dns_server有什么区别?
dns_server是针对域名和IP的对应;netbios_name_server是自己局域网内主机名和IP的对应
dns_server是针对域名和IP的对应,例如打开网页版输入域名时,DNS会解析权为该网页服务器的IP地址。
netbios_name_server是自己局域网内主机名和IP的对应,即WINS。例如要访问局域网内一台计算机的共享,可以输入对方计算机名即可自动解析为对应的IP地址。
8、网络连接设置里有个NETBIOS是干什么用的
NETBIOS 英文原义:
NetBIOS Services Protocols 中文释义:(RFC-1001,1002)网络基本输入/输出系统协议 注解:该协议是由IBM公司开发,主要用于数十台计算机的小型局域网。
NetBIOS协议是一种在局域网上的程序可以使用的应用程序编程接口(API),为程序提供了请求低级服务的统一的命令集,作用是为了给局域网提供网络以及其他特殊功能,几乎所有的局域网都是在NetBIOS协议的基础上工作的。 应 用:在Windows操作系统中,默认情况下在安装TCP/IP协议后会自动安装NetBIOS。
比如在Windows 2000/XP中,当选择“自动获得IP”后会启用DHCP服务器,从该服务器使用NetBIOS设置;如果使用静态IP地址或DHCP服务器不提供NetBIOS设置,则启用TCP/IP上的NetBIOS。
具体的设置方法如下:
首先打开“控制面板”,双击“网络连接”图标,打开本地连接属性。接着,在属性窗口的“常规”选项卡中选择“Internet协议(TCP/IP)”,单击“属性”按钮。然后在打开的窗口中,单击“高级”按钮;在“高级TCP/IP设置”窗口中选择“WINS”选项卡,在“NetBIOS设置”区域中就可以相应的NetBIOS设置。
什么是NetBIOS,NetBIOS的作用 NetBIOS(Network Basic Input Output System,网络基本输入输出系统),是一种应用程序接口(API),系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址,实现信息通讯,所以在局域网内部使用NetBIOS协议可以方便地实现消息通信及资源的共享。因为它占用系统资源少、传输效率高,尤为适于由 20 到 200 台计算机组成的小型局域网。 所以微软的客户机/服务器网络系统都是基于NetBIOS的。 当安装TCP/IP协 议时,NetBIOS 也被Windows作为默认设置载入,我们的计算机也具有了NetBIOS本身的开放性,139端口被打开。某些别有用心的人就利用这个功能来攻击服务器,使管理员不能放心使用文件和打印机共享。
利用NetBIOS漏洞攻击 :
1.利用软件查找共享资源 利用NetBrute Scanner 软件扫描一段IP地址(如10.0.13.1~10.0.13.254)内的共享资源,就会扫描出默认共享
2. 用PQwak破解共享密码 双击扫描到的共享文件夹,如果没有密码,便可直接打开。当然也可以在IE的地址栏直接输入扫描到的带上共享文件夹的IP地址,如“\10.0.13.191”(或带C$,D$等查看默认共享)。如果设有共享密码,会要求输入共享用户名和密码,这时可利用破解网络邻居密码的工具软件,如PQwak,破解后即可进入相应文件夹。
关闭NetBIOS漏洞 :
1.解开文件和打印机共享绑定 鼠标右击桌面上[网络邻居]→[属性] →[本地连接] →[属性],去掉“Microsoft网络的文件和打印机共享”前面的勾,解开文件和打印机共享绑定。这样就会禁止所有从139和445端口来的请求,别人也就看不到本机的共享了。
2. 利用TCP/IP筛选 鼠标右击桌面上[网络邻居] →[属性]→[本地连接] →[属性],打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[选项], 在列表中单击选中“TCP/IP筛选”选项。单击[属性]按钮,选择“只允许”,再单击[添加]按钮(如图2),填入除了139和445之外要用到的端口。这样别人使用扫描器对139和445两个端口进行扫描时,将不会有任何回应。
3. 使用IPSec安全策略阻止对端口139和445的访问 选择[我的电脑]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略,在本地机器],在这里定义一条阻止任何IP地址从TCP139和TCP445端口访问IP地址的IPSec安全策略规则,这样别人使用扫描器扫描时,本机的139和445两个端口也不会给予任何回应。
4. 停止
9、服务器有问题,网上查了说要重装NETBIOS,如何重装NETBIOS?
服务器什么问题啊?在Windows操作系统中,默认情况下在安装TCP/IP协议后会自动安装NetBIOS。
10、计算机netbios名是指什么
1.1定义计算机名(NetBIOS名)
NetBIOS是80年代末为了利用IBMPc构建局域网而出现的一种MS-DOS程序的高级语言接口。为了利用网络硬件和软件将这些计算机连接在一起组成局域网,微软和其它供应商利用NetBIOS接口来设计它们的网络组件和程序。NetBIOS接口利用最多为16个字符的名称来标识每一个网络资源。
在一个网络中NetBIOS名是唯一的。在计算机启动、服务被激活、用户登录到网络时,NetBIOS名将被动态的注册到数据库中。NetBIOS可以以独立名称的形式注册,也可以以组名称的形式注册。以单机名注册时要有一个IP地址与其相对应,如以组名称注册时会有多个IP地址与其对应。
在Windows2000发布前的所有基于MS-DOS和Windows的操作系统都需要使用NetBIOS名称接口以便网络可以正常工作。伴随着Windows2000的发布,网络中的计算机不再需要NetBIOS名称接口的支持。如在Windows2000和一些UNIX版本的网络中它们只要求客户机支持DNS使用就可以了,不再需要NetBIOS名。但为了与以前版本的网络操作系统结合使用,微软在Windows2000中仍然支持NetBIOS名,以便与以前版本的操作系统协同使用,微软通过两方面实现对NetBIOS名的支持:<BR> 所有使用Windows2000的客户机在默认情况下都支持利用客户端的WINS服务注册和解析NetBIOS名。
Windows2000服务器继续提供一个高效的WINS服务器,用它来管理网络中的NetBIOS名。定义NetBIOS名称
NetBIOS名称包含16字节。前15个字节是由用户指定的,用它来表示:<BR>§网络上的单个用户或计算机<BR>§网络上的一组用户或计算机
在NetBIOS名中的第16个字符作为名称的后缀,用于识别名称及显示注册名称的信息。NetBIOS名可以被设置为独立名称或组名称。
在使用独立名称时,是将网络信息发送给一台计算机,而使用组名称是将网络信息同时发送给多台计算机。
在WindowsNT早期版本中,所有的网络服务都是利用NetBIOS名注册的。而在Windows2000中,登录网络及其它的网络服务都是在
dNS中进行注册的。
1.2NetBIOS名的解析
NetBIOS名的解析就是将计算机的NetBIOS名成功的与IP地址进行映射的过程。从上面用户已经知道NetBIOS名是用来识别网络上NetBIOS资源由16个字符组成的地址。让用户通过下面这个例子了解NetBIOS名是如何解析的。
一台Windows2000的计算机(CORPSERVER)中运行的文件与打印共享服务的NetBIOS名的解析过程。当计算机启动时文件与打印共享服务利用计算机名在网络上注册一个独立NetBIOS名。这个NetBIOS名前15位字符是计算机名,第16位字符为0x20。如果计算机名不够15个字符,那么利用空格补齐。(即:CORPSERVER[20])。当用户试图与这台计算机的共享文件夹建立通信时必须指明它的文件与打印共享的NetBIOS名。在建立文件与打印共享连接前,首先要建立TCP连接,为了建立TCP连接首先要将NetBIOS名(即:CORPSERVER[20])解析成IP地址。WINS客户机主要利用广播、LMHOSTS文件、WINS服务器三种方式的组合解决NetBIOS名解析的问题,根据组合方式的不同分成了四种NetBIOSnode模式,见下表:
Node模式
描述
B-node用户利用广播NetBIOS名查询的方法实现名称的注册和解析;在广播失败后,查询Lmhosts文件,寻找相应的地址
P-node(peer-peer)
利用点对点的方式直接向WINS服务器查询相应NetBIOS名的IP地址。M-node(mixed)
M-node是把B-node和P-node组合在一起。默认情况下使用广播的方式,如果失败,再向WINS服务器进行查询。H-node(hybrid)
H-node是把B-node和P-node组合在一起。默认情况下向WINS服务器进行查询,如果失败,再使用广播的方式。如果两种方法都失败,则查询Lmhosts文件,寻找相应的地址。运行Windows2000的计算机默认使用B-node模式,当为它们设置了WINS服务器后,改用H-node模式。Windows2000也能使用本地数据库文件Lmhosts解析NetBIOS名。此文件存放在:SystemRoot\System32\Drivers\Etc文件夹中。
用户一定要为基于活动目录的Windows2000计算机设置一个WINS服务器的IP地址,以便它们可以与无法使用活动目录的WindowsNT、Windows2000,Windows95、Windows98计算机进行通信。