Порт 137 для чего используется
Перейти к содержимому

Порт 137 для чего используется

  • автор:

Порт 137 для чего используется

Страницы: 1

Широковещательный трафик по 137 порту в сети Microsoft

Это нравится: 0Да / 0Нет

22.02.2007 11:35:13

Включил снифер — широковещательные запросы по 137 порту в сети зашкаливают. Какие сервисы Microsoft так работают (в сети только ОС Microsoft)?
Даже широковещательный адрес — 192.168.177.255 запрашивают по 137 порту

Это нравится: 0Да / 0Нет

22.02.2007 11:53:45

Это может быть не только винда.
137й порт это NETBIOS Name Service, это протокол, его может юзать не только винда, но и любые проги его использующие.
Советую просто отключить NenBios в свойствах сетевого подключения, потом отключить службу NenBios, а на полсдеок остановить драйвер (Диспетчер устройств — Показывать скрытые устройства — Драйверы устройств не Plug and Play — NetBios через TCP/IP — Свойства — Драйвер — Автозагрузка — «отключено»).
Этим вы избавитесь от NenBios трафика, при этом могут возникнуть проблемы с сетью майкрософт, с простым доступом к расшареным папкам.

Поиск TCP/UDP Портов

[trojan] Chode. Worm / Network trojan / Autodialing trojan / Destructive trojan. Works on Windows 3.x, 95 and 98 (maybe also on NT). Aliases: BAT/911-A, BAT/911-B, BAT.Chode.Worm, W95/Firkin.worm, Foreskin, BAT911, 911, DickHair, Bat/Firkin.A, Bat/Firkin.B, Firkin, Chode 911

trojan

[trojan] Nimda. Virus / Worm / Mail trojan / Network trojan / Hacking tool. Works on Windows 95, 98, ME, NT, 2000 and XP, together with MS Internet Information Server (IIS), MS Internet Explorer 5.5 SP1, MS Outlook , MS Outlook Express and MS Word. Aliases: Concept Virus (CV) v.5, W32.Nimda, Minda, W32.Minda, I-Worm.Nimda, Code Rainbow , PE_Nimda.A, CV-5

Порт: 137/UDP
137/UDP — Известные назначения портa (9 зап. найдено)
netbios-ns
NETBIOS Name Service
NetBIOS NetBIOS Name Service (Official)
netbios-ns
Windows Internet Naming Service (WINS).
threat
[threat] Msinit
trojan

[trojan] Qaz. Remote Access / Downloading trojan / Worm / Network trojan. Works on Windows 95, 98, ME, NT and 2000. Aliases: Worm.Qaz, W32.HLLW.Qaz, Notepad, W32/QAZ.worm, Note.com, Qazwsx, W95/Qaz

trojan

[trojan] Bugbear. Anti-protection trojan / Remote Access / Keylogger / Worm / Mail trojan / Network trojan / HTTP server. Works on Windows 95, 98, ME, NT, 2000 and XP, together with MS Internet Explorer and MS Outlook. Aliases: W32.Bugbear@mm, Tanatos, Natosta, Keywo, I-Worm/Keywo

trojan

[trojan] Msinit. Worm / Destructive trojan / Network trojan. Works on Windows 95, 98 and ME. Aliases: Troj_Msinet.A, MSINIT.A, W32/Msinit, Win32.Trojan.Bymer, W32.HLLW.Bymer, Dnet.Dropper, Trojan.Win32.Bymer, W32/Bymer-A, Worm_Bymer_a, Wininit, Worm.RC5, Worm/Dnet_Winit

trojan

[trojan] Opaserv. Worm / Network trojan. Works on Windows 95, 98, ME, NT, 2000 and XP. Aliases: Scrup, W32.Opaserv.Worm, Opasoft, Backdoor.Opasoft, Backdoor.ALB

threat
[threat] Femot

О TCP/UDP-портах

TCP-порт 137 использует протокол управления передачей данных (TCP), который является одним из основных протоколов в сетях TCP/IP. TCP является протоколом с установлением соединения и требует квитирования для установки сквозной связи. Только после установления соединения пользовательские данные могут пересылаться в обоих направлениях.
Внимание! TCP гарантирует доставку пакетов данных через порт 137 в том же порядке, в котором они были отправлены. Гарантированная связь через TCP-порт 137 является основным отличием TCP от UDP.

Предоставляемые через UDP-порт 137 UDP услуги не отличаются надежностью, так как датаграммы могут быть получены в сдублированном виде, с нарушенной очередностью или даже могут пропасть без какого-либо предупреждения. UDP на порт 137 проверка и исправление ошибок не являются обязательными или должны выполняться в прикладной программе, что позволяет избежать накладных расходов на такую обработку на уровне сетевого интерфейса.
UDP (User Datagram Protocol) является минимальным ориентированным на работу с сообщениями протоколом транспортного уровня (протокол описан в IETF RFC 768). Примеры прикладных программ, часто использующих UDP: передача голоса по IP-протоколу (VoIP), передача мультимедийных потоков и многопользовательские игры в режиме реального времени. Множество веб-приложений используют UDP, к примеру, система доменных имен (DNS), информационный протокол маршрутизации (RIP), протокол динамической конфигурации хостов (DHCP), простой протокол управления сетью (SNMP).
TCP против UDP – TCP: надежный, упорядоченный, тяжеловесный, потоковый; UDP – ненадежный, неупорядоченный, легковесный, датаграммы.

7 Настройки брандмауэра (для пользователей сети)

Перед использованием программного обеспечения Brother

Из-за настроек брандмауэра Windows ® на компьютере возможно отклонение сетевого подключения, необходимого для печати по сети, сканирования по сети или для работы функции «PC Fax». Если используется какой-либо другой индивидуальный брандмауэр, см. инструкции в Руководстве пользователя соответствующего программного обеспечения или обратитесь к изготовителю программного обеспечения.

Номер UDP-порта для настройки брандмауэра
Сканирование по сети
Сетевые функции «PC-Fax»
Сканирование по сети и сетевые функции «PC-Fax» 1
Номер внешнего порта
Номер внутреннего порта

Если после добавления порта 54925 и 54926 проблемы с сетевым подключением не устраняются, добавьте порт 137. Порт 137 также поддерживает печать и удаленную настройку по сети.

Для пользователей Windows ® XP с пакетом обновления SP2

Нажмите кнопку Пуск и выберите пункт Панель управления , Сеть и подключениe к Интернету , Брандмауэр Windows .

Проверьте, что на вкладке Общие брандмауэр Windows включен («Вкл.»).
Раскройте вкладку Дополнительно и нажмите кнопку Параметры. .
Нажмите кнопку Добавить .
Добавьте порт 54925 для сканирования по сети, введя следующие данные:
В поле Описание службы : введите произвольное описание, например, «Сканер Brother».

В поле Имя или IP-адрес компьютера вашей сети, на котором располагается эта служба (например,192.168.0.12) : введите «Localhost».

В поле Номер внешнего порта службы : введите » 54925 «.
В поле Номер внутреннего порта службы : введите » 54925 «.
Проверьте, что выбран параметр для UDP .
Нажмите кнопку OK .
Нажмите кнопку Добавить .
Добавьте порт 54926 для сетевых функций «PC-Fax», введя следующие данные:
В поле Описание службы : введите произвольное описание, например, «Brother PC-Fax».

В поле Имя или IP-адрес компьютера вашей сети, на котором располагается эта служба (например,192.168.0.12) : введите «Localhost».

В поле Номер внешнего порта службы : введите » 54926 «.
В поле Номер внутреннего порта службы : введите » 54926 «.
Проверьте, что выбран параметр для UDP .
Нажмите кнопку OK .
Если проблема с сетевым подключением не устраняется, нажмите кнопку Добавить .

Добавьте порт 137 для сканирования по сети, печати по сети и получения факсов на ПК по сети, введя следующие данные:

В поле Описание службы : введите произвольное описание, например, «Сетевой принтер Brother».

В поле Имя или IP-адрес компьютера вашей сети, на котором располагается эта служба (например,192.168.0.12) : введите «Localhost».

Критическая уязвимость позволяет перехватывать весь сетевой трафик пользователей Windows

Исследователи из ИБ-подразделения компании Tencent под названием Xuanwu Lab обнаружили серьезную ошибку в реализации протокола NetBIOS, использующейся в Windows. Критическая уязвимость получила название BadTunnel — она позволяет злоумышленникам полностью контролировать сетевой трафик жертвы.

В чем проблема

BadTunnel позволяет злоумышленникам контролировать не только HTTP и HTTPS-запросы, но и всю сетевую активность операционной системы. Например, вмешиваться в загрузку системных обновлений и процесс получения списков сертификатов. Уязвимы все версии ОС Windows.

По словам обнаружившего уязвимость исследователя Яна Ю (Yang Yu), перенаправление трафика жертвы может осуществляться с помощью поддельного WPAD-файла (Web Proxy Auto Discovery) или ISATAP-сервера.

Разбор возможной атаки

Эксперты Positive Technologies описали возможную атаку с применением уязвимости BadTunnel. Для ее осуществления необходимо убедить жертву открыть хотя бы один UNC или URI путь — это может быть адрес вредоносного сайта, адрес папки или документа. В этом случае будет использоваться NetBIOS over TCP/IP, а не стандартные сокеты.

Путь должен содержать в себе ip-адрес сервера атакующего, например:

При обработке этого адреса первоначально будут отправлены запросы на порты 139 (NetBIOS Session) или 445 (Microsoft-DS Active Directory, Windows shares). Если эти порты будут закрыты, то жертва отправит NetBIOS Name Service (NBNS) NBSTAT сообщение на 137 порт, тем самым открывая UDP-тоннель и позволяя злоумышленнику слать запросы прямиком жертве, минуя NAT и Firewall.

Если компьютер жертвы имеет стандартную конфигурацию WPAD, то время от времени он посылает широковещательные запросы в поисках узла с именем WPAD. А так как злоумышленник имеет установленный тоннель до компьютера жертвы, ему достаточно генерировать множество поддельных ответов на запрос имени WPAD, в котором был бы указан адрес сервера, на котором злоумышленник держит настройки прокси сервера.

Через некоторое время после того, как уязвимый компьютер примет фиктивный ответ на WPAD запрос — он начнёт искать настройки прокси по адресу WPAD. После их нахождения происходит подключение и злоумышленник получает полный контроль над трафиком жертвы.

Почему это возможно

Эксперты Positive Technologies так объясняют возможность проведения описанной атаки:

  1. Поле Transaction ID в NBNS-запросах не рандомизируется, а инкрементируется, поэтому атакующий может его подобрать.
  2. NBSTAT и NB-запросы инкрементируются вместе (один счётчик).
  3. NBSTAT-сообщения по умолчанию могут уходить во внешнюю сеть.
  4. Broadcast-запросы могут получать ответы из внешней сети.
  5. NBNS использует исключительно 137 порт и UDP (и на клиенте, и на сервере), который не поддерживает сессий и состояний.
Как защититься

Использование таких средств, как межсетевые экраны или NAT не может предотвратить атаки с применением уязвимости BadTunnel. По словам Яна Ю, причина этого кроется в том, что протокол UDP не устанавливает соединения, а используется для создания туннеля.

Microsoft опубликовала бюллетени безопасности MS16-063 и MS16-077, устраняющие ошибку в последних версиях Windows.
Суть этих обновлений заключается в том, что теперь периодическое определение имени WPAD выключено по умолчанию, а NBSTAT запросы из домашней сети также по умолчанию заблокированы. Эти изменения регулируются ключами реестра и делают невозможным установление UDP тоннеля для проведения атаки с использованием BadTunnel.

Однако уязвимость сохранилась в устаревших и ныне не поддерживаемых версиях ОС. В их числе Windows XP и Windows Server 2003. Пользователям этих систем для того, чтобы обезопасить себя, необходимо заблокировать порт UDP 137.

По словам Яна Ю, это не первая уязвимость, приводящая к возможности атак перехвата WPAD. Подобные случаи фиксировались в 1999, 2007, и 2012 году, когда произошел всплески активности червя Flame.

Существующие Proof-of-Concept скрипты не учитывают информацию об Transaction ID в NBSTAT запросе и основываются на огромном потоке поддельных ответов на запрос со всеми возможными значениями поля Transaction ID от 0 до 65535. Однако для успешного проведения атаки достаточно минимального количества поддельных пакетов.

Экспертами Positive Technologies был разработан ряд сигнатур для IDS Suricata, позволяющих обнаружить стадии подмены NetBIOS имён и установления UDP тоннеля, блокирующие попытки подмены адреса WPAD и ISATAP и сигнализирующие о возможной попытке атаки. Они доступны в официальном Twitter и github-аккаунте.

  • Блог компании Positive Technologies
  • Информационная безопасность
  • Разработка под Windows
Похожие публикации:
  1. Zabbix value cache working in low memory mode как исправить
  2. Акроним что это
  3. Как получить данные post запроса в php
  4. Как установить pygame в pycharm

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *