NetBIOS 는 Network Basic Input Output System을 나타냅니다 . LAN (Local Area Network)의 응용 프로그램, PC 및 데스크톱이 네트워크 하드웨어와 통신하고 네트워크를 통해 데이터를 전송할 수 있도록하는 소프트웨어 프로토콜입니다. NetBIOS 네트워크에서 실행되는 소프트웨어 응용 프로그램은 NetBIOS 이름을 통해 서로를 찾고 식별합니다. NetBIOS 이름은 최대 16 자이며 일반적으로 컴퓨터 이름과는 별개입니다. 하나 (클라이언트)가 TCP 포트 139를 통해 다른 클라이언트 (서버)를 "호출"하는 명령을 보낼 때 두 응용 프로그램이 NetBIOS 세션을 시작합니다 .
포트 139가 사용되는 용도
그러나 WAN 또는 인터넷상의 NetBIOS 는 엄청난 보안 위험입니다. 도메인, 작업 그룹 및 시스템 이름과 같은 모든 종류의 정보와 계정 정보는 NetBIOS를 통해 얻을 수 있습니다. 따라서 기본 네트워크에서 NetBIOS를 유지하고 네트워크를 벗어나지 않도록하는 것이 중요합니다.
방화벽은 안전을 위해이 포트가 열려있는 경우 항상 먼저 차단합니다. 포트 139는 파일 및 프린터 공유에 사용 되지만 인터넷에서 가장 위험한 단일 포트입니다. 사용자의 하드 디스크가 해커에게 노출되기 때문입니다.
공격자가 장치에서 활성 포트 139를 찾으면 주로 NetBIOS 이름 확인 문제를 해결하는 데 도움이되도록 설계된 TCP / IP를 통한 NetBIOS 진단 도구 인 NBSTAT 를 실행할 수 있습니다. 이것은 공격의 중요한 첫 번째 단계 인 풋 프린트 입니다.
공격자는 NBSTAT 명령을 사용하여 다음과 관련된 중요 정보의 일부 또는 전체를 얻을 수 있습니다.
- 로컬 NetBIOS 이름 목록
- 컴퓨터 이름
- WINS에서 확인 된 이름 목록
- IP 주소
- 대상 IP 주소가있는 세션 테이블의 내용
위의 세부 정보를 통해 공격자는 시스템에서 실행되는 OS, 서비스 및 주요 응용 프로그램에 대한 모든 중요한 정보를 가지고 있습니다. 이 외에도 그는 LAN / WAN 및 보안 엔지니어가 NAT 뒤에 숨기려고 노력한 개인 IP 주소도 가지고 있습니다. 또한 사용자 ID는 NBSTAT를 실행하여 제공되는 목록에도 포함됩니다.
이렇게하면 해커가 하드 디스크 디렉터리 또는 드라이브의 내용에 원격으로 액세스하는 것이 더 쉬워집니다. 그런 다음 컴퓨터 소유자가 알지 못하는 사이에 일부 프리웨어 도구를 통해 선택한 프로그램을 자동으로 업로드하고 실행할 수 있습니다.
멀티 홈 컴퓨터를 사용하는 경우 모든 네트워크 카드에서 NetBIOS를 비활성화하거나 로컬 네트워크의 일부가 아닌 TCP / IP 속성에서 전화 접속 연결을 비활성화합니다.
읽기 : TCP / IP를 통해 NetBIOS를 비활성화하는 방법.
SMB 포트란?
포트 139는 기술적으로 'NBT over IP'로 알려져 있지만 포트 445는 'SMB over IP'입니다. SMB 는 ' 서버 메시지 블록 '을 의미합니다 . 현대 언어의 서버 메시지 블록은 공통 인터넷 파일 시스템 이라고도 합니다 . 이 시스템은 주로 파일, 프린터, 직렬 포트 및 네트워크의 노드 간 다른 종류의 통신에 대한 공유 액세스를 제공하는 데 사용되는 응용 프로그램 계층 네트워크 프로토콜로 작동합니다.
대부분의 SMB 사용은 Microsoft Windows를 실행하는 컴퓨터에서 사용 되며, 이후 Active Directory가 도입되기 전에는 'Microsoft Windows 네트워크'로 알려졌습니다. 여러 방법으로 세션 (및 하위) 네트워크 계층 위에서 실행될 수 있습니다.
예를 들어, Windows에서 SMB는 TCP / IP를 통한 NetBIOS 없이도 TCP / IP를 통해 직접 실행할 수 있습니다. 지적했듯이 포트 445를 사용합니다. 다른 시스템에서는 포트 139를 사용하는 서비스와 응용 프로그램을 찾을 수 있습니다. 이것은 SMB가 TCP / IP를 통해 NetBIOS와 함께 실행되고 있음을 의미합니다 .
악의적 인 해커는 포트 445가 취약하고 많은 불안정성이 있음을 인정합니다. 포트 445 오용의 한 가지 멋진 예는 NetBIOS 웜 이 비교적 조용하게 나타나는 것 입니다. 이 웜은 느리지 만 잘 정의 된 방식으로 인터넷에서 포트 445의 인스턴스를 검색하고 PsExec 과 같은 도구를 사용 하여 새로운 피해자 컴퓨터로 자신을 전송 한 다음 검색 노력을 두 배로 늘립니다. 그다지 알려지지 않은이 방법을 통해 수만 대의 NetBIOS 웜 감염 시스템을 포함 하는 대규모 " Bot Armies "가 조립되어 이제 인터넷에 상주합니다.
읽기 : 포트를 전달하는 방법?
포트 445 처리 방법
위의 위험을 고려할 때 포트 445를 인터넷에 노출시키지 않는 것이 우리의 관심사이지만 Windows 포트 135와 마찬가지로 포트 445는 Windows에 깊이 내장되어 안전하게 닫히기가 어렵습니다. 즉, 폐쇄는 가능하지만 많은 기업과 ISP에서 사용하는 DHCP 서버에서 자동으로 IP 주소를 얻기 위해 자주 사용되는 DHCP (Dynamic Host Configuration Protocol) 와 같은 다른 종속 서비스 는 작동을 중지합니다.
위에서 설명한 모든 보안 이유를 고려할 때 많은 ISP는 사용자를 대신하여이 포트를 차단해야한다고 생각합니다. 이것은 포트 445가 NAT 라우터 또는 개인 방화벽에 의해 보호되지 않는 경우에만 발생합니다. 이러한 상황에서 ISP는 포트 445 트래픽이 사용자에게 도달하지 못하도록 차단할 수 있습니다.