NetBIOS là viết tắt của Network Basic Input Output System . Nó là một giao thức phần mềm cho phép các ứng dụng, PC và Desktop^(Desktops) trên mạng cục bộ ( LAN ) giao tiếp với phần cứng mạng và truyền dữ liệu qua mạng. Các ứng dụng phần mềm chạy trên mạng NetBIOS định vị và xác định nhau thông qua tên ^(names)NetBIOS của chúng . Tên NetBIOS dài tối đa 16 ký tự và thông thường, tách biệt với tên máy tính. Hai ứng dụng bắt đầu một phiên NetBIOS khi một (máy khách) gửi lệnh để “gọi” một máy khách khác (máy chủ) qua Cổng TCP 139^{(TCP Port 139)} .

Cổng 139 được sử dụng để làm gì

Tuy nhiên, NetBIOS^(NetBIOS) trên mạng WAN^(WAN) của bạn hoặc qua Internet là một rủi ro bảo mật rất lớn. Tất cả các loại thông tin, chẳng hạn như tên miền, nhóm làm việc và hệ thống của bạn, cũng như thông tin tài khoản có thể được lấy qua NetBIOS . Vì vậy, điều cần thiết là duy trì NetBIOS của bạn trên mạng ưa thích và đảm bảo nó không bao giờ rời khỏi mạng của bạn.

Tường lửa^(Firewalls) , như một biện pháp an toàn luôn chặn cổng này trước, nếu bạn đã mở nó. Cổng 139^{(Port 139)} được sử dụng để Chia sẻ Tệp và Máy in^{(File and Printer Sharing)} nhưng lại là Cổng nguy hiểm nhất trên Internet . Điều này là như vậy bởi vì nó khiến đĩa cứng của người dùng tiếp xúc với tin tặc.

Khi kẻ tấn công đã định vị được Cổng 139^{(Port 139)} đang hoạt động trên một thiết bị, kẻ đó có thể chạy NBSTAT , một công cụ chẩn đoán cho NetBIOS qua TCP/IP , được thiết kế chủ yếu để giúp khắc phục sự cố phân giải tên NetBIOS . Điều này đánh dấu bước đầu tiên quan trọng của một cuộc tấn công - Ghi dấu chân^{(Footprinting)} .

Sử dụng lệnh NBSTAT , kẻ tấn công có thể lấy một số hoặc tất cả các thông tin quan trọng liên quan đến:

1. Danh sách các tên NetBIOS cục bộ
2. Tên máy tính
3. Danh sách những cái tên được giải quyết bởi WINS
4. Các địa chỉ IP
5. Nội dung của bảng phiên với các địa chỉ IP đích

Với các chi tiết trên, kẻ tấn công có tất cả thông tin quan trọng về hệ điều hành, dịch vụ và các ứng dụng chính đang chạy trên hệ thống. Bên cạnh những thứ này, anh ta còn có các địa chỉ IP riêng mà LAN/WAN và các kỹ sư bảo mật đã cố gắng che giấu đằng sau NAT . Hơn nữa, ID người dùng^{(User IDs)} cũng được bao gồm trong danh sách được cung cấp bằng cách chạy NBSTAT .

Điều này khiến tin tặc dễ dàng truy cập từ xa vào nội dung của các thư mục hoặc ổ đĩa cứng. Sau đó, họ có thể âm thầm tải lên và chạy bất kỳ chương trình nào họ chọn thông qua một số công cụ phần mềm miễn phí mà chủ sở hữu máy tính không hề hay biết.

Nếu bạn đang sử dụng máy đa homed, hãy tắt NetBIOS trên mọi cạc mạng hoặc Kết nối Quay số trong thuộc tính TCP/IP , không phải là một phần của mạng cục bộ của bạn.

Đọc^(Read) : Cách tắt NetBIOS^{(disable NetBIOS)} qua TCP / IP.

Cổng SMB là gì

Trong khi về mặt kỹ thuật, Cổng 139^{(Port 139)} được gọi là ' NBT qua IP', thì Cổng 445^{(Port 445)} là ' SMB qua IP'. SMB là viết tắt của ' Server Message Blocks '. Khối Thông báo Máy chủ^{(Server Message Block)} trong ngôn ngữ hiện đại còn được gọi là Hệ thống Tệp Internet Chung^{(Common Internet File System)} . Hệ thống hoạt động như một giao thức mạng tầng ứng dụng chủ yếu được sử dụng để cung cấp quyền truy cập được chia sẻ vào các tệp, máy in, cổng nối tiếp và các loại giao tiếp khác giữa các nút trên mạng.

Hầu hết việc sử dụng SMB liên quan đến các máy tính chạy Microsoft Windows , nơi nó được gọi là 'Mạng Microsoft Windows' trước khi giới thiệu Active Directory tiếp theo . Nó có thể chạy trên đầu các lớp mạng Session (và thấp hơn) theo nhiều cách.

Ví dụ, trên Windows , SMB có thể chạy trực tiếp qua TCP/IP mà không cần NetBIOS qua TCP/IP . Như bạn đã chỉ ra, điều này sẽ sử dụng cổng 445. Trên các hệ thống khác, bạn sẽ tìm thấy các dịch vụ và ứng dụng sử dụng cổng 139. Điều này có nghĩa là SMB đang chạy với NetBIOS qua TCP/IP.

Các tin tặc độc hại thừa nhận rằng Cổng 445^{(Port 445)} dễ bị tấn công và có nhiều điểm không an toàn. Một ví dụ ớn lạnh về việc lạm dụng Cổng 445 là sự xuất hiện tương đối im lặng của ^{(Port 445)}sâu NetBIOS^{(NetBIOS worms)} . Những con sâu này quét từ từ nhưng theo cách thức rõ ràng trên Internet để tìm các trường hợp của cổng 445, sử dụng các công cụ như PsExec để tự chuyển chúng vào máy tính nạn nhân mới, sau đó nhân đôi nỗ lực quét của chúng. Thông qua phương pháp ít được biết đến này, “ Đội quân Bot^{(Bot Armies)} ” khổng lồ , chứa hàng chục nghìn máy bị xâm nhập sâu NetBIOS , được lắp ráp và hiện đang tồn tại trên Internet .

Đọc^(Read) : Làm thế nào để chuyển tiếp các Cổng^{(How to forward Ports)} ?

Cách kiểm tra xem cổng SMB có đang mở trong ^(SMB)Windows 10 hay không^{(Windows 10)}

Bạn cần sử dụng lệnh PowerShell này . Nếu bạn định kích hoạt giao thức truyền tệp SMBv2 trên máy tính của mình, trước tiên bạn cần kiểm tra xem hệ thống của bạn có thể cài đặt nó hay không. Khi bạn biết trạng thái , bạn có thể chọn bật hoặc tắt SMBv2^{(enable or disable SMBv2)} .

Cổng SMB 445 có an toàn không?

Xem xét các nguy cơ ở trên, chúng tôi quan tâm đến việc không để Cổng 445^{(Port 445)} lên Internet nhưng giống như Cổng 135 của Windows^{(Windows Port 135)} , Cổng 445^{(Port 445)} được gắn sâu trong Windows và khó đóng lại một cách an toàn. Điều đó nói rằng, việc đóng cửa là có thể xảy ra, tuy nhiên, các dịch vụ phụ thuộc khác như DHCP ( Giao thức cấu hình^{(Dynamic Host Configuration Protocol)} máy chủ động ) thường được sử dụng để tự động lấy địa chỉ IP từ máy chủ DHCP được nhiều công ty và ISP^(ISPs) sử dụng , sẽ ngừng hoạt động. Các bài đăng này hướng dẫn bạn cách tắt SMBv1 và SMBv2.

Xem xét tất cả các lý do bảo mật được mô tả ở trên, nhiều ISP^(ISPs) cảm thấy cần phải chặn Cổng^(Port) này thay mặt cho người dùng của họ. Điều này chỉ xảy ra khi không tìm thấy cổng 445 được bảo vệ bởi bộ định tuyến NAT hoặc tường lửa cá nhân. Trong tình huống như vậy, ISP của bạn có thể ngăn không cho lưu lượng truy cập cổng 445 đến với bạn.

What is an SMB Port? What is Port 445 and Port 139 used for?

NetBIOS stands for Network Basic Input Output System. It is a software protocol that allows applications, PCs, and Desktops on a local area network (LAN) to communicate with network hardware and to transmit data across the network. Software applications that run on a NetBIOS network locate and identify each other via their NetBIOS names. A NetBIOS name is up to 16 characters long and usually, separate from the computer name. Two applications start a NetBIOS session when one (the client) sends a command to “call” another client (the server) over TCP Port 139.

What is Port 139 used for

NetBIOS on your WAN or over the Internet, however, is an enormous security risk. All sorts of information, such as your domain, workgroup and system names, as well as account information can be obtained via NetBIOS. So, it is essential to maintain your NetBIOS on the preferred network and ensure it never leaves your network.

Firewalls, as a measure of safety always block this port first, if you have it opened. Port 139 is used for File and Printer Sharing but happens to be the single most dangerous Port on the Internet. This is so because it leaves the hard disk of a user exposed to hackers.

Once an attacker has located an active Port 139 on a device, he can run NBSTAT a diagnostic tool for NetBIOS over TCP/IP, primarily designed to help troubleshoot NetBIOS name resolution problems. This marks an important first step of an attack — Footprinting.

Using NBSTAT command, the attacker can obtain some or all of the critical information related to:

1. A list of local NetBIOS names
2. Computer name
3. A list of names resolved by WINS
4. IP addresses
5. Contents of the session table with the destination IP addresses

With the above details at hand, the attacker has all the important information about the OS, services, and major applications running on the system. Besides these, he also has private IP addresses that the LAN/WAN and security engineers have tried hard to hide behind NAT.  Moreover, User IDs are also included in the lists provided by running NBSTAT.

This makes it easier for hackers to gain remote access to the contents of hard disk directories or drives. They can then, silently upload and run any programs of their choice via some freeware tools without the computer owner ever being aware.

If you are using a multi-homed machine, disable NetBIOS on every network card, or Dial-Up Connection under the TCP/IP properties, that is not part of your local network.

Read: How to disable NetBIOS over TCP/IP.

What is an SMB Port

While Port 139 is known technically as ‘NBT over IP’, Port 445 is ‘SMB over IP’. SMB stands for ‘Server Message Blocks’. Server Message Block in modern language is also known as Common Internet File System. The system operates as an application-layer network protocol primarily used for offering shared access to files, printers, serial ports, and other sorts of communications between nodes on a network.

Most usage of SMB involves computers running Microsoft Windows, where it was known as ‘Microsoft Windows Network’ before the subsequent introduction of Active Directory. It can run on top of the Session (and lower) network layers in multiple ways.

For instance, on Windows, SMB can run directly over TCP/IP without the need for NetBIOS over TCP/IP. This will use, as you point out, port 445. On other systems, you’ll find services and applications using port 139. This means that SMB is running with NetBIOS over TCP/IP.

Malicious hackers admit, that Port 445 is vulnerable and has many insecurities. One chilling example of Port 445 misuse is the relatively silent appearance of NetBIOS worms. These worms slowly but in a well-defined manner scan the Internet for instances of port 445, use tools like PsExec to transfer themselves into the new victim computer, then redouble their scanning efforts. It is through this not much-known method, that massive “Bot Armies“, containing tens of thousands of NetBIOS worm compromised machines, are assembled and now inhabit the Internet.

Read: How to forward Ports?

How to check if SMB port is open in Windows 10

You need to use this PowerShell command. If you’re going to enable the SMBv2 file transfer protocol on your computer, you first need to check whether your system can install it or not. Once you know the status you can opt to enable or disable SMBv2.

Is SMB port 445 secure?

Considering the above perils, it is in our interest to not expose Port 445 to the Internet but like Windows Port 135, Port 445 is deeply embedded in Windows and is hard to close safely. That said, its closure is possible, however, other dependent services such as DHCP (Dynamic Host Configuration Protocol) which is frequently used for automatically obtaining an IP address from the DHCP servers used by many corporations and ISPs, will stop functioning. These posts show you how to disable SMBv1 and SMBv2.

Considering all the security reasons described above, many ISPs feel it necessary to block this Port on behalf of their users. This happens only when port 445 is not found to be protected by NAT router or personal firewall. In such a situation, your ISP may probably prevent port 445 traffic from reaching you.

Related posts

• Cách sử dụng và thêm tài khoản Work/School xuống Microsoft Authenticator app

• Làm thế nào để vô hiệu hóa các lớp Removable Storage và truy cập trong Windows 10

• Delete Files Permanently Sử dụng File Shredder software miễn phí cho Windows

• Tiny Security Suite giúp bạn mã hóa, cắt nhỏ, và các tập tin bảo vệ trên máy tính của bạn

• Cách đặt lại Windows Security app bằng Windows 10

• Cách mở Windows Security Center bằng Windows 10

• Khối Emsisoft Browser Security malware and phishing attacks

• Làm thế nào để tránh bị theo dõi thông qua Computer của riêng bạn?

• Kernel Security Check Failure error Trong Windows 10

• Duyệt Experience Security Check: Trình duyệt của bạn an toàn đến mức nào?

• TACHYON Internet Security là một sự thay thế tốt cho các công cụ miễn phí khác

• LinkedIn Login and Sign Trong Security & Privacy Tips

• Thay đổi cài đặt Windows Security ngay lập tức với ConfigureDefender

• Cài đặt Windows Security trong Windows 10

• Convert Có khả năng nguy hiểm PDFs, tài liệu và hình ảnh đến các tệp an toàn

• Làm thế nào để an toàn bạn WiFi - Know người được kết nối

• Windows Security nói No Security Providers trong Windows 10

• Rogue Security Software or Scareware: Làm thế nào để kiểm tra, ngăn chặn, loại bỏ?

• Làm thế nào để thiết lập Security Key cho Microsoft Account

• Internet Security article and tips cho Windows 10 người dùng