通过NetBios实现端口开放收集与渗透(上)

  • 时间:
  • 浏览:1





作者: 论坛分派 zdnet网络安全

CNETNews.com.cn

508-01-23 19:58:37

关键词: 攻击防范 入侵 渗透 端口

网络入侵者通常采取的第一步是通过端口扫描守护进程扫描目标机或网络。令人吃惊的是,以目标机的开放端口为基础对网络进行的攻击是多么的有条不紊。您应该清楚,除了Unix机外,这是NT机显示不同开放端口的标准。网络入侵者懂得查看端口扫描守护进程,并通过相当准确的结果来断定它是一台NT机还是一台Unix机。当然有的是或多或少例外,但一般情况表下都能原来做。最近,业界发布了哪几次用来远程鉴别机器的工具,但该功能目前还越来越用于NT。 

当攻击基于NT的网络时,NetBIOS往往是首选的攻击对象。已经 ,NetBIOS就成为本文中第另有三个白要探讨的重要课题。用NetBIOS进行信息分派相当容易,其实要花费或多或少时间。etBIOS一般被看作是开销,很大的大容量协议,波特率往往很慢,这也却说要耗费时间的由于。已经 端口扫描守护进程报告端口139在目标机上是开放的,越来越接下来却说另有三个白很自然的过程。第一步是发出NBTSTAT命令。 

NBTSTAT命令前要用来查询涉及到NetBIOS信息的网络机器。另外,它前要用来 

消除NetBIOS高速缓存器和预加载LMHOSTS文件。或多或少命令在进行安全检查时非常有用。 

用法:



nbtstat [-a RemoteName] [-A IP_address] [-c] [-n] [-R] [-r] [-S] 

[-s] 

[interval] 

参数-a列出为其主机名提供的远程计算机名字表。 

-A列出为其IP地址提供的远程计算机名字表。 

-c列出包括了IP地址的远程名字高速缓存器。 

-n列出本地NetBIOS名字。 

-r列出通过广播和WINS解析的名字。 

-R消除和重新加载远程高速缓存器名字表。 

-S列出有目的地IP地址的会话表。 

-s列出会话表对话。

 

NBTSTAT生成的列标题具有以下含义: 

Input 

接收到的字节数。 

Output 

发出的字节数。 

In/Out 

无论是从计算机(出站)还是从原来系统连接到本地计算机(入站)。 

Life 

在计算机消除名字表高速缓存表目前“度过”的时间。 

Local Name 

为连接提供的本地NetBIOS名字。 

Remote Host 

远程主机的名字或IP地址。 

Type 

另有三个白名字前要具备另有三个白类型之一:unique or group 

在16个字符的NetBIOS名中,最后另有三个白字节往往有具体含义,已经 同另有三个白名前要在同一台计算机上出显多次。这表明该名字的最后另有三个白字节被转去掉 了16进制。 

State 

NetBIOS连接将在下列“情况表”(任何另有三个白)中显示: 

情况表含义: 

Accepting: 进入连接正在进行中。 

Associated: 连接的端点已经 建立,计算机已经 与IP地址联系起来。 

Connected: 这是另有三个白好的情况表!它表明您被连接到远程资源上。 

Connecting: 您的会话试着解析目的地资源的名字-IP地址映射。 

Disconnected: 您的计算机请求断开,并等待时间远程计算机作出原来的反应。 

Disconnecting: 您的连接正在过后过后刚开始。 

Idle: 远程计算机在当有的是话中已经 打开,但现在越来越接受连接。 

Inbound: 入站会话试着连接。 

Listening: 远程计算机可用。 

Outbound: 您的会话正在建立TCP连接。 

Reconnecting: 已经 第一次连接失败,就会显示或多或少情况表,表示试着重新连接. 

 

下面是一台机器的NBTSTAT反应样本: 

C:>nbtstat CA x.x.x.x 

NetBIOS Remote Machine Name Table 

Name Type Status 

--------------------------------------------- 

DATARAT <00> UNIQUE Registered 

R9LABS <00> GROUP Registered 

DATARAT <20> UNIQUE Registered 

DATARAT <03> UNIQUE Registered 

GHOST <03> UNIFQUE Registered 

DATARAT <01> UNIQUE Registered 

MAC Address = 00-00-00-00-00-00 

您通过下表能掌握有关该机器的那些知识呢? 



名称编号类型的使用: 

00 U 工作站服务 

01 U 邮件服务 

_MSBROWSE_ 01 G 主浏览器 

03 U 邮件服务 

06 U RAS服务器服务 

1F U NetDDE服务 

20 U 文件服务器服务 

21 U RAS客户机服务 

22 U Exchange Interchange 

23 U Exchange Store 

24 U Exchange Directory 

50 U 调制解调器共享服务器服务 

31 U 调制解调器共享客户机服务 

43 U SMS客户机远程控制 

44 U SMS管理远程控制工具 

45 U SMS客户机远程聊天 

46 U SMS客户机远程传输 

4C U DEC Pathworks TCP/IP服务 

52 U DEC Pathworks TCP/IP服务 

87 U Exchange MTA 

6A U Exchange IMC 

BE U网络监控代理 

BF U网络监控应用 

03 U邮件服务 

00 G域名 

1B U域主浏览器 

1C G域控制器 

1D U主浏览器 

1E G浏览器服务确定 

1C G Internet信息服务器 

00 U Internet信息服务器 

[2B] U Lotus Notes服务器 

IRISMULTICAST [2F] G Lotus Notes 

IRISNAMESERVER [33] G Lotus Notes 

Forte_$ND50ZA [20] U DCA Irmalan网关服务 

Unique (U): 该名字已经 越来越另有三个白分配给它的IP地址。在网络设备上,另有三个白要注册的名字 

前要出显多次,但其后缀是唯一的,从而使整个名字是唯一的。 

Group (G): 另有三个白正常的群;另有三个白名字前要有什么都个IP地址。 

Multihomed (M): 该名字是唯一的,但已经 在同一台计算机上有多个网络接口, 

或多或少配置可允许注册。那些地址的最大编号是25。 

Internet Group (I): 这是用来管理WinNT域名的组名字的特殊配置。 

Domain Name (D): NT 4.0提供的新内容。 

网络入侵者前要通过上表和从nbtstat获得的输出信息过后过后刚开始分派有关您的机器的信息。 

有了那些信息,网络入侵者就能在一定程度上断定有那些服务正在目标机上运行,有时也 

能断定已经 安装了那些软件包。从传统上讲,每个服务或主要的软件包都具有一定的脆弱性,已经 ,或多或少类型的 信息 对网络入侵者当然有用。