NetBIOS berdiri untuk Sistem Output Input Dasar Jaringan. Ini adalah protokol perangkat lunak yang memungkinkan aplikasi, PC, dan Desktop pada jaringan area lokal (LAN) untuk berkomunikasi dengan perangkat keras jaringan dan mengirimkan data ke seluruh jaringan. Aplikasi perangkat lunak yang berjalan di jaringan NetBIOS mencari dan mengidentifikasi satu sama lain melalui nama NetBIOS mereka. Nama NetBIOS memiliki panjang hingga 16 karakter dan biasanya, terpisah dari nama komputer. Dua aplikasi memulai sesi NetBIOS ketika salah satu (klien) mengirim perintah untuk "memanggil" klien lain (server) Port TCP 139.
Untuk apa Port 139 digunakan
NetBIOS pada WAN Anda atau melalui Internet, bagaimanapun, adalah risiko keamanan yang sangat besar. Segala macam informasi, seperti domain Anda, workgroup dan nama sistem, serta informasi akun dapat diperoleh melalui NetBIOS. Jadi, penting untuk menjaga NetBIOS Anda di jaringan yang disukai dan memastikan tidak pernah meninggalkan jaringan Anda.
Firewall, sebagai ukuran keamanan selalu memblokir port ini terlebih dahulu, jika Anda telah membukanya. Port 139 digunakan untuk Berbagi File dan Printer tetapi kebetulan satu-satunya Port paling berbahaya di Internet. Ini karena ia meninggalkan hard disk dari pengguna yang terkena peretas.
Setelah penyerang menemukan Port 139 aktif di perangkat, dia dapat menjalankan NBSTAT alat diagnostik untuk NetBIOS melalui TCP / IP, terutama dirancang untuk membantu memecahkan masalah resolusi nama NetBIOS. Ini menandai langkah pertama yang penting dari serangan - Footprinting.
Menggunakan perintah NBSTAT, penyerang dapat memperoleh beberapa atau semua informasi penting yang terkait
- Daftar nama NetBIOS lokal
- Nama komputer
- Daftar nama yang diselesaikan oleh WINS
- Alamat IP
- Isi tabel sesi dengan alamat IP tujuan
Dengan rincian di atas, penyerang memiliki semua informasi penting tentang OS, layanan, dan aplikasi utama yang berjalan pada sistem. Selain ini, ia juga memiliki alamat IP pribadi yang LAN / WAN dan insinyur keamanan telah berusaha keras untuk bersembunyi di balik NAT. Selain itu, User ID juga termasuk dalam daftar yang disediakan dengan menjalankan NBSTAT.
Hal ini mempermudah hacker untuk mendapatkan akses jarak jauh ke konten direktori atau drive hard disk. Mereka kemudian dapat meng-upload secara diam-diam dan menjalankan program pilihan mereka melalui beberapa alat freeware tanpa diketahui oleh pemilik komputer.
Jika Anda menggunakan mesin multi-homed, nonaktifkan NetBIOS pada setiap kartu jaringan, atau Koneksi Dial-Up di bawah properti TCP / IP, yang bukan merupakan bagian dari jaringan lokal Anda.
Apa itu Port SMB
Sementara Port 139 dikenal secara teknis sebagai ‘NBT over IP’, Port 445 adalah ‘SMB over IP’. SMB berdiri untuk ' Blok Pesan Server ’. Blok Pesan Server dalam bahasa modern juga dikenal sebagai Sistem File Internet Umum. Sistem ini beroperasi sebagai protokol jaringan lapisan-aplikasi yang terutama digunakan untuk menawarkan akses bersama ke file, printer, port serial, dan jenis komunikasi lain antara node di jaringan.
Sebagian besar penggunaan SMB melibatkan komputer yang berjalan Microsoft Windows, di mana ia dikenal sebagai 'Microsoft Windows Network' sebelum pengenalan Active Directory berikutnya. Ini dapat berjalan di atas lapisan jaringan Sesi (dan lebih rendah) dengan berbagai cara.
Misalnya, pada Windows, SMB dapat berjalan langsung melalui TCP / IP tanpa perlu NetBIOS melalui TCP / IP. Ini akan menggunakan, seperti yang Anda tunjukkan, port 445. Pada sistem lain, Anda akan menemukan layanan dan aplikasi yang menggunakan port 139. Ini berarti SMB berjalan dengan NetBIOS melalui TCP / IP.
Hacker jahat mengakui, bahwa Port 445 rentan dan memiliki banyak ketidakamanan. Salah satu contoh mengerikan dari penyalahgunaan Port 445 adalah penampilan yang relatif diam Cacing NetBIOS. Cacing ini perlahan tetapi dengan cara yang terdefinisi dengan baik memindai Internet untuk instance port 445, gunakan alat seperti PsExec untuk mentransfer diri ke komputer korban baru, lalu menggandakan upaya pemindaian mereka. Melalui metode yang tidak banyak diketahui ini, Tentara Bot “, Berisi puluhan ribu komputer NetBIOS worm dikompromikan, dirakit dan sekarang menghuni Internet.
Bagaimana cara menangani Port 445
Mempertimbangkan bahaya di atas, adalah kepentingan kami untuk tidak mengekspos Port 445 ke Internet tetapi seperti Windows Port 135, Port 445 tertanam sangat dalam di Windows dan sulit untuk ditutup dengan aman. Yang mengatakan, penutupan itu mungkin, namun, layanan tergantung lainnya seperti DHCP (Dynamic Host Configuration Protocol) yang sering digunakan untuk mendapatkan alamat IP dari server DHCP yang digunakan oleh banyak perusahaan dan ISP secara otomatis, akan berhenti berfungsi.
Mempertimbangkan semua alasan keamanan yang dijelaskan di atas, banyak ISP merasa perlu untuk memblokir Port ini atas nama penggunanya. Ini hanya terjadi ketika port 445 tidak ditemukan untuk dilindungi oleh router NAT atau firewall pribadi. Dalam situasi seperti itu, ISP Anda mungkin dapat mencegah lalu lintas port 445 mencapai Anda.
