139攻擊
通過139端口入侵,攻擊者首先需要查找網絡上存在139端口漏洞的主機地址,在查找此類主機過程中,可以使用一些掃描工具,比如SuperScan就是典型的端口掃描工具之一。在SuperScan開始IP地址中輸入需要掃描的起始地址,然后在停止中填寫好掃描結束的IP地址,然后單擊[開始]按鈕即可開始掃描。掃描結束后,在列表中可以查看目標主機打開的端口,每一個端口后面都有關于這個端口的簡短說明(如圖1)。
圖1
如果已經查獲一臺存在139端口漏洞的主機,這時就可以在命令行方式下使用“nbtstat -a [IP地址]”這個命令獲得用戶的信息情況,并獲得攻擊主機名稱和工作組。接下來攻擊者需要做的就是實現與攻擊目標資源共享。使用Net View和Net user命令顯示計算機列表和共享資源,并使用nbtstat -r和nbtstat -c命令查看具體的用戶名和IP地址。
單擊Windows桌面[開始]按鈕,然后執行“查找/計算機”命令,填寫剛才查找到的主機名稱,就可以找到這臺電腦了。雙擊主機名稱即可打開指定的計算機。
防范139攻擊
對于139端口攻擊的防范針對不同系統的設置也有所不同,下面就來分別描述。
針對使用Windows 9x系統撥號上網用戶,可以不必登錄到NT局域網絡環境,打開控制面板,然后雙擊“網絡”圖標,在“主網絡登錄”中選擇“Microsoft友好登錄”,不必選擇“Windows網絡用戶”方式。此外,也不必設置“文件打印共享”(如圖2)。
圖2
對于Windows NT用戶,可以取消NetBIOS與TCP/IP協議的綁定,打開“控制面板”,然后雙擊“網絡”圖標,在“NetBIOS接口”中選擇“WINS客戶(TCP/IP)”為“禁用”,并重新啟動計算機即可。
圖3
Windows 2000用戶可以使用鼠標右鍵單擊“網絡鄰居”圖標,然后選擇“屬性”命令,打開“網絡和撥號連接”對話框,用鼠標右鍵單擊“本地連接”圖標,然后執行“屬性”命令,打開“本地連接屬性”對話框(如圖3)。雙擊“Internet協議(TCP/IP)”,在打開的對話框中單擊[高級]按鈕(如圖4)。打開“高級TCP/IP設置”對話框,選擇“選項”選項卡,在列表中單擊選中“TCP/IP篩選”選項(如圖5)。
圖4
圖5
單擊[屬性]按鈕,在“只允許”單擊[添加]按鈕,填入除了139之外要用到的端口(如圖6)。
圖6
使用防火墻防范攻擊
對于個人上網用戶可以使用“天網防火墻”定制防火墻規則。啟動“天網個人防火墻”,選擇一條空規則,設置數據包方向為“接收”,對方IP地址選“任何地址”,協議設定為“TCP”,本地端口設置為“139到139”,對方端口設置為“0到0”,設置標志位為“SYN”,動作設置為“攔截”,最后單擊[確定]按鈕,并在“自定義IP規則”列表中勾選此規則即可啟動攔截139端口攻擊了(如圖7)。
圖7
了解139端口是為了更好地防御,你做到了嗎?
