Порт 137 для чего используется
Перейти к содержимому

Порт 137 для чего используется

  • автор:

Port 137 за что отвечает

Критическая уязвимость позволяет перехватывать весь сетевой трафик пользователей Windows

Исследователи из ИБ-подразделения компании Tencent под названием Xuanwu Lab обнаружили серьезную ошибку в реализации протокола NetBIOS, использующейся в Windows. Критическая уязвимость получила название BadTunnel — она позволяет злоумышленникам полностью контролировать сетевой трафик жертвы.

В чем проблема

BadTunnel позволяет злоумышленникам контролировать не только HTTP и HTTPS-запросы, но и всю сетевую активность операционной системы. Например, вмешиваться в загрузку системных обновлений и процесс получения списков сертификатов. Уязвимы все версии ОС Windows.

По словам обнаружившего уязвимость исследователя Яна Ю (Yang Yu), перенаправление трафика жертвы может осуществляться с помощью поддельного WPAD-файла (Web Proxy Auto Discovery) или ISATAP-сервера.

Разбор возможной атаки

Эксперты Positive Technologies описали возможную атаку с применением уязвимости BadTunnel. Для ее осуществления необходимо убедить жертву открыть хотя бы один UNC или URI путь — это может быть адрес вредоносного сайта, адрес папки или документа. В этом случае будет использоваться NetBIOS over TCP/IP, а не стандартные сокеты.

Путь должен содержать в себе ip-адрес сервера атакующего, например:

При обработке этого адреса первоначально будут отправлены запросы на порты 139 (NetBIOS Session) или 445 (Microsoft-DS Active Directory, Windows shares). Если эти порты будут закрыты, то жертва отправит NetBIOS Name Service (NBNS) NBSTAT сообщение на 137 порт, тем самым открывая UDP-тоннель и позволяя злоумышленнику слать запросы прямиком жертве, минуя NAT и Firewall.

Если компьютер жертвы имеет стандартную конфигурацию WPAD, то время от времени он посылает широковещательные запросы в поисках узла с именем WPAD. А так как злоумышленник имеет установленный тоннель до компьютера жертвы, ему достаточно генерировать множество поддельных ответов на запрос имени WPAD, в котором был бы указан адрес сервера, на котором злоумышленник держит настройки прокси сервера.

Через некоторое время после того, как уязвимый компьютер примет фиктивный ответ на WPAD запрос — он начнёт искать настройки прокси по адресу WPAD. После их нахождения происходит подключение и злоумышленник получает полный контроль над трафиком жертвы.

Почему это возможно

Эксперты Positive Technologies так объясняют возможность проведения описанной атаки:

  1. Поле Transaction ID в NBNS-запросах не рандомизируется, а инкрементируется, поэтому атакующий может его подобрать.
  2. NBSTAT и NB-запросы инкрементируются вместе (один счётчик).
  3. NBSTAT-сообщения по умолчанию могут уходить во внешнюю сеть.
  4. Broadcast-запросы могут получать ответы из внешней сети.
  5. NBNS использует исключительно 137 порт и UDP (и на клиенте, и на сервере), который не поддерживает сессий и состояний.
Как защититься

Использование таких средств, как межсетевые экраны или NAT не может предотвратить атаки с применением уязвимости BadTunnel. По словам Яна Ю, причина этого кроется в том, что протокол UDP не устанавливает соединения, а используется для создания туннеля.

Microsoft опубликовала бюллетени безопасности MS16-063 и MS16-077, устраняющие ошибку в последних версиях Windows.
Суть этих обновлений заключается в том, что теперь периодическое определение имени WPAD выключено по умолчанию, а NBSTAT запросы из домашней сети также по умолчанию заблокированы. Эти изменения регулируются ключами реестра и делают невозможным установление UDP тоннеля для проведения атаки с использованием BadTunnel.

Однако уязвимость сохранилась в устаревших и ныне не поддерживаемых версиях ОС. В их числе Windows XP и Windows Server 2003. Пользователям этих систем для того, чтобы обезопасить себя, необходимо заблокировать порт UDP 137.

По словам Яна Ю, это не первая уязвимость, приводящая к возможности атак перехвата WPAD. Подобные случаи фиксировались в 1999, 2007, и 2012 году, когда произошел всплески активности червя Flame.

Существующие Proof-of-Concept скрипты не учитывают информацию об Transaction ID в NBSTAT запросе и основываются на огромном потоке поддельных ответов на запрос со всеми возможными значениями поля Transaction ID от 0 до 65535. Однако для успешного проведения атаки достаточно минимального количества поддельных пакетов.

Экспертами Positive Technologies был разработан ряд сигнатур для IDS Suricata, позволяющих обнаружить стадии подмены NetBIOS имён и установления UDP тоннеля, блокирующие попытки подмены адреса WPAD и ISATAP и сигнализирующие о возможной попытке атаки. Они доступны в официальном Twitter и github-аккаунте.

Что такое NetBIOS? Требуется ли Windows открыть порты 137 и 138?

Я никогда не понимал NetBIOS. Я не понял статью Википедии об этом. Я искал YouTube, но не мог найти видео, объясняющее, что такое NetBIOS.

Что делает NetBIOS? Я использую машину Windows XP, и порты 137, 138, похоже, открыты на моей машине. Должен ли я закрыть их? Или мои окна нужно открыть для какой-то цели? Если нет, то зачем мне NetBIOS?

2 ответов

NetBIOS расшифровывается как Network basic input output system и используется в Windows для обмена файлами и принтерами.

предоставляет услуги, связанные с сеансовый уровень модели OSI, позволяя приложений на отдельных компьютерах для общения по локальной сети.

Port 137 за что отвечает

NЕТBIOS не функционирует в разных подсетях, так что смысл оставлять его на роутере нет.
Если конечно Вы не хотите связать все сети майкрософт, но тут без WINS не обойтись.

P.S. не Network Browser, а Computer Browser.

Цитата
RIISSK пишет:
если тип узла Broadcast широковещательный пакет будет посылаться каждый раз при необходимости разрешения имени

На мой взгляд отключение службы «Computer Browser (Обозреватель Компьютеров)» и поднятие WINS сервера, при конфигурации клиент на него автоматом перейдет в H-node, можно избавиться от широковещания в NETBIOS.

SMB port number: Ports 445, 139, 138, and 137 explained

Admins need to know the SMB port number when it comes to setting up firewalls in Windows networks. The earlier version of SMB (SMB 1.0) was originally designed to operate on NetBIOS over TCP/IP (NBT), which uses port TCP 139 for session services, port TCP/UDP 137 for name services, and port UDP 138 for datagram services. (Read my previous comprehensive overview of the SMB protocol.

By default, NBT is installed and enabled in Windows for backwards compatibility, but it is known for exposing file shares and other information to everyone on the network. While it is not a big problem in local networks, it could be a security risk if exposed to the Internet. Man-in-the-middle (MITM) and NetBIOS name service (NBNS) spoofing attacks are common with NTB-enabled networks—particularly if the related ports are not properly safeguarded.

How are SMB and NBT related?

NetBIOS over TCP/IP (NBT) is a completely independent service from SMB, and it doesn’t depend on SMB for anything. The SMB protocol, on the other hand, may rely on NetBIOS to communicate with old devices that do not support the direct hosting of SMB over TCP/IP.

Therefore, the SMB protocol relies on port 139 while operating over NBT. However, normally, for direct SMB over TCP/IP, the SMB port number is TCP 445. By the way, if both NetBIOS over TCP/IP and directly hosted SMB over TCP/IP are available (that is, if ports 445 and 139 are both listening), Windows tries both options at the same time. Whichever responds first is used for communication.

The SMB 2.0 that was introduced with Windows Vista and Windows Server 2008 can operate solely on TCP port 445, and you can safely disable NBT for improved security and reduced network overhead caused by NetBIOS broadcasts.

To see the status of ports 139 and 445 in your system, use the following PowerShell command:

Viewing the status of ports TCP 139 and 445 using PowerShell

The above screenshot shows that both ports TCP 139 and 445 are in the listening state by default.

If you’re interested in disabling the NBT, it needs to be done on each network interface individually. See the following screenshot for disabling it using the GUI on each network adapter:

Disabling NBT on a network interface using GUI

Disabling NBT on a network interface using GUI

Disabling NBT using the GUI becomes tedious if you’ve got more than one network adapter. The following PowerShell command can help you disable it on all network interfaces at once:

where the value «2» with the SetTcpipNetbios method is used to disable NBT. By the way, the value «1» means enable NBT, and «0» means configure NBT by DHCP.

Disabling NetBios on all network interfaces at once using PowerShell

Disabling NetBios on all network interfaces at once using PowerShell

After disabling it, if you view the status of TCP ports, you will notice that port 139 is no longer listening on your system.

Subscribe to 4sysops newsletter!

Confirming that TCP port 139 is no longer listening

If you do not have any old clients in your network, it is a good idea to block other ports, except for TCP 445 in the Windows Defender firewall.

Порт 137 для чего используется

Добавлено
Возможно,стоило написать : Операционная система Win2000AdServer SP4 все патчи есть, работает NAV обновлябщий записи каждую ночь.комп работает как PDC

Цитата:

Фаервол не может уточнить,что за процесс посылает

Outpost пишет, но у тебя ведь сервер.

RFC1700 гласит
netbios-ns 137/tcp NETBIOS Name Service
netbios-ns 137/udp NETBIOS Name Service
netbios-dgm 138/tcp NETBIOS Datagram Service
netbios-dgm 138/udp NETBIOS Datagram Service
netbios-ssn 139/tcp NETBIOS Session Service
netbios-ssn 139/udp NETBIOS Session Service
microsoft-ds 445/tcp Microsoft-DS
microsoft-ds 445/udp Microsoft-DS

to lek : Фаерволл видит пакеты от обоих интерфейсов потому,что стоит на той же машине, то есть, он их видит перед там как НАТ делать.

to ooptimum : то,что ты писал отключено,любые TCP UDP пакеты на MyPort<1024 запрещены

What is port UDP 137 used for?

Port 137 is utilized by NetBIOS Name service. Enabling NetBIOS services provide access to shared resources like files and printers not only to your network computers but also to anyone across the internet.

What is the protocol for port 137?

netbios-ns
Service Name and Transport Protocol Port Number Registry

Service Name Port Number Transport Protocol
netbios-ns 137 tcp
netbios-ns 137 udp
trim 1137 tcp
trim 1137 udp

Is Nrpe TCP or UDP?

Identifying the Service guest operating system ports

Traffic direction Port Usage
Inbound 5666 / Transmission control protocol (TCP) Nagios NRPE
Inbound 67 / UDP POWER8® service processor IPs
Inbound 68 / UDP POWER8 service processor IPs
Outbound 22 Linux operating system

What ports use UDP?

Table 1 Common TCP/IP Protocols and Ports

Protocol TCP/UDP Port Number
Domain Name System (DNS) (RFC 1034-1035) TCP/UDP 53
Dynamic Host Configuration Protocol (DHCP) (RFC 2131) UDP 67/68
Trivial File Transfer Protocol (TFTP) (RFC 1350) UDP 69
Hypertext Transfer Protocol (HTTP) (RFC 2616) TCP 80

What is NetBIOS UDP?

NetBIOS Name Service UDP NetBIOS name query packets are sent to this port, usually of Windows machines but also of any other system running Samba (SMB), to ask the receiving machine to disclose and return its current set of NetBIOS names. Related Ports: 138, 139, 445.

What port does Nrpe use?

port 5666
By default, the NRPE daemon listens on TCP port 5666, whether it’s configured to do SSL or not.

What does Nrpe stand for?

Plugin Executor
Nagios Remote Plugin Executor (NRPE) is a Nagios agent that allows remote system monitoring using scripts that are hosted on the remote systems.

What is the best UDP port?

Port TCP UDP
556
563
587
631
What type of traffic is normally seen over UDP port 137?

NBNS traffic
Protocol dependencies The well known UDP port for NBNS traffic is 137. TCP: NBNS can also use TCP as its transport protocol for some operations, although this might never be done in practice. The well known TCP port for NBNS traffic is 137.

What is Nrpe and why is it used?

Nagios Remote Plugin Executor (NRPE) is a Nagios agent that allows remote system monitoring using scripts that are hosted on the remote systems. It allows for monitoring of resources such as disk usage, system load or the number of users currently logged in.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *