NetBIOS е съкращение от мрежова основна входно-изходна система^{(Network Basic Input Output System)} . Това е софтуерен протокол, който позволява на приложения, компютри и настолни компютри^(Desktops) в локална мрежа ( LAN ) да комуникират с мрежовия хардуер и да предават данни през мрежата. Софтуерните приложения, които работят в мрежа NetBIOS , се намират и идентифицират взаимно чрез своите NetBIOS имена^(names) . Името на NetBIOS е с дължина до 16 знака и обикновено е отделно от името на компютъра. Две приложения стартират NetBIOS сесия, когато едното (клиентът) изпрати команда за „извикване“ на друг клиент (сървъра) през TCP порт 139^{(TCP Port 139)} .

За какво се използва порт 139

NetBIOS във вашата WAN или през интернет^(Internet) обаче е огромен риск за сигурността. Всички видове информация, като имената на вашия домейн, работна група и система, както и информация за акаунта могат да бъдат получени чрез NetBIOS . Затова е от съществено значение да поддържате своя NetBIOS в предпочитаната мрежа и да гарантирате, че никога не напуска мрежата ви.

Защитните стени^(Firewalls) , като мярка за безопасност, винаги първо блокират този порт, ако сте го отворили. Порт 139^{(Port 139)} се използва за споделяне на файлове и принтери^{(File and Printer Sharing)} , но се оказва най-опасният порт в Интернет^(Internet) . Това е така, защото оставя твърдия диск на потребителя изложен на хакери.

След като нападателят открие активен порт 139^{(Port 139)} на устройство, той може да стартира NBSTAT инструмент за диагностика за NetBIOS през TCP/IP , предназначен предимно да помогне за отстраняване на проблеми с разделянето на имена в NetBIOS . Това бележи важна първа стъпка от атаката — Footprinting .

Използвайки команда NBSTAT , нападателят може да получи част или цялата критична информация, свързана с:

1. Списък с локални NetBIOS имена
2. Име на компютъра
3. Списък с имена, разрешени от WINS
4. IP адреси
5. Съдържание на таблицата на сесиите с IP адресите на местоназначението

С горните подробности под ръка, нападателят разполага с цялата важна информация за операционната система, услугите и основните приложения, работещи в системата. Освен тях, той също има частни IP адреси, които инженерите по LAN/WAN и сигурността са се опитали усилено да скрият зад NAT . Освен това, потребителските идентификатори^{(User IDs)} също са включени в списъците, предоставени чрез стартиране на NBSTAT .

Това улеснява хакерите да получат отдалечен достъп до съдържанието на директории или устройства на твърдия диск. След това те могат безшумно да качват и стартират всякакви програми по свой избор чрез някои безплатни инструменти, без собственикът на компютъра да е наясно.

Ако използвате многодомна машина, деактивирайте NetBIOS на всяка мрежова карта или Dial-Up връзка в свойствата на TCP/IP , която не е част от вашата локална мрежа.

Прочетете^(Read) : Как да деактивирате NetBIOS^{(disable NetBIOS)} през TCP/IP.

Какво е SMB порт

Докато порт 139^{(Port 139)} е известен технически като „ NBT през IP“, порт 445^{(Port 445)} е „ SMB over IP“. SMB означава „ блокове за съобщения на сървъра^{(Server Message Blocks)} “. Блокът за съобщения на сървъра^{(Server Message Block)} на съвременния език е известен още като обща интернет файлова система^{(Common Internet File System)} . Системата работи като мрежов протокол на приложния слой, използван основно за предлагане на споделен достъп до файлове, принтери, серийни портове и други видове комуникации между възли в мрежата.

По-голямата част от употребата на SMB включва компютри, работещи с Microsoft Windows , където е била известна като „Microsoft Windows Network“ преди последващото въвеждане на Active Directory . Може да работи върху мрежовите слоеве на сесията (и по-ниските) по няколко начина.^(Session)

Например в Windows SMB ^(Windows)може^(SMB) да работи директно през TCP/IP , без да е необходимо NetBIOS през TCP/IP . Това ще използва, както посочихте, порт 445. В други системи ще намерите услуги и приложения, използващи порт 139. Това означава, че SMB работи с NetBIOS през TCP/IP.

Злонамерени хакери признават, че Порт 445^{(Port 445)} е уязвим и има много несигурност. Един смразяващ пример за злоупотреба с порт 445^{(Port 445)} е относително безшумната поява на NetBIOS червеи^{(NetBIOS worms)} . Тези червеи бавно, но по добре дефиниран начин сканират Интернет^(Internet) за екземпляри на порт 445, използват инструменти като PsExec , за да се прехвърлят в новия компютър жертва, след което удвояват усилията си за сканиране. Именно чрез този не толкова известен метод се събират масивни „ Армии от ботове^{(Bot Armies)} “, съдържащи десетки хиляди компрометирани с NetBIOS червеи машини, които сега обитават Интернет^(Internet) .

Прочетете^(Read) : Как да препращам портове^{(How to forward Ports)} ?

Как да проверите дали SMB портът е отворен в Windows 10

Трябва да използвате тази команда PowerShell . Ако възнамерявате да активирате протокола за прехвърляне на файлове SMBv2 на вашия компютър, първо трябва да проверите дали вашата система може да го инсталира или не. След като разберете състоянието , можете да изберете да активирате или деактивирате SMBv2^{(enable or disable SMBv2)} .

Сигурен ли е SMB порт 445?

Като се имат предвид горните опасности, в наш интерес е да не излагаме порт 445^{(Port 445)} на интернет^(Internet) , но подобно на порт на Windows 135^{(Windows Port 135)} , порт 445^{(Port 445)} е дълбоко вграден в Windows и е трудно да се затвори безопасно. Въпреки това, затварянето му е възможно, но други зависими услуги като DHCP ( протокол за динамична конфигурация на хост^{(Dynamic Host Configuration Protocol)} ), който често се използва за автоматично получаване на IP адрес от DHCP сървърите, използвани от много корпорации и интернет доставчици^(ISPs) , ще спрат да функционират. Тези публикации ви показват как да деактивирате SMBv1 и SMBv2.

Като се имат предвид всички причини за сигурност, описани по-горе, много доставчици^(ISPs) на интернет услуги смятат за необходимо да блокират този порт^(Port) от името на своите потребители. Това се случва само когато се установи, че порт 445 не е защитен от NAT рутер или лична защитна стена. В такава ситуация вашият интернет доставчик^(ISP) може да попречи на трафика на порт 445 да достигне до вас.

What is an SMB Port? What is Port 445 and Port 139 used for?

NetBIOS stands for Network Basic Input Output System. It is a software protocol that allows applications, PCs, and Desktops on a local area network (LAN) to communicate with network hardware and to transmit data across the network. Software applications that run on a NetBIOS network locate and identify each other via their NetBIOS names. A NetBIOS name is up to 16 characters long and usually, separate from the computer name. Two applications start a NetBIOS session when one (the client) sends a command to “call” another client (the server) over TCP Port 139.

What is Port 139 used for

NetBIOS on your WAN or over the Internet, however, is an enormous security risk. All sorts of information, such as your domain, workgroup and system names, as well as account information can be obtained via NetBIOS. So, it is essential to maintain your NetBIOS on the preferred network and ensure it never leaves your network.

Firewalls, as a measure of safety always block this port first, if you have it opened. Port 139 is used for File and Printer Sharing but happens to be the single most dangerous Port on the Internet. This is so because it leaves the hard disk of a user exposed to hackers.

Once an attacker has located an active Port 139 on a device, he can run NBSTAT a diagnostic tool for NetBIOS over TCP/IP, primarily designed to help troubleshoot NetBIOS name resolution problems. This marks an important first step of an attack — Footprinting.

Using NBSTAT command, the attacker can obtain some or all of the critical information related to:

1. A list of local NetBIOS names
2. Computer name
3. A list of names resolved by WINS
4. IP addresses
5. Contents of the session table with the destination IP addresses

With the above details at hand, the attacker has all the important information about the OS, services, and major applications running on the system. Besides these, he also has private IP addresses that the LAN/WAN and security engineers have tried hard to hide behind NAT.  Moreover, User IDs are also included in the lists provided by running NBSTAT.

This makes it easier for hackers to gain remote access to the contents of hard disk directories or drives. They can then, silently upload and run any programs of their choice via some freeware tools without the computer owner ever being aware.

If you are using a multi-homed machine, disable NetBIOS on every network card, or Dial-Up Connection under the TCP/IP properties, that is not part of your local network.

Read: How to disable NetBIOS over TCP/IP.

What is an SMB Port

While Port 139 is known technically as ‘NBT over IP’, Port 445 is ‘SMB over IP’. SMB stands for ‘Server Message Blocks’. Server Message Block in modern language is also known as Common Internet File System. The system operates as an application-layer network protocol primarily used for offering shared access to files, printers, serial ports, and other sorts of communications between nodes on a network.

Most usage of SMB involves computers running Microsoft Windows, where it was known as ‘Microsoft Windows Network’ before the subsequent introduction of Active Directory. It can run on top of the Session (and lower) network layers in multiple ways.

For instance, on Windows, SMB can run directly over TCP/IP without the need for NetBIOS over TCP/IP. This will use, as you point out, port 445. On other systems, you’ll find services and applications using port 139. This means that SMB is running with NetBIOS over TCP/IP.

Malicious hackers admit, that Port 445 is vulnerable and has many insecurities. One chilling example of Port 445 misuse is the relatively silent appearance of NetBIOS worms. These worms slowly but in a well-defined manner scan the Internet for instances of port 445, use tools like PsExec to transfer themselves into the new victim computer, then redouble their scanning efforts. It is through this not much-known method, that massive “Bot Armies“, containing tens of thousands of NetBIOS worm compromised machines, are assembled and now inhabit the Internet.

Read: How to forward Ports?

How to check if SMB port is open in Windows 10

You need to use this PowerShell command. If you’re going to enable the SMBv2 file transfer protocol on your computer, you first need to check whether your system can install it or not. Once you know the status you can opt to enable or disable SMBv2.

Is SMB port 445 secure?

Considering the above perils, it is in our interest to not expose Port 445 to the Internet but like Windows Port 135, Port 445 is deeply embedded in Windows and is hard to close safely. That said, its closure is possible, however, other dependent services such as DHCP (Dynamic Host Configuration Protocol) which is frequently used for automatically obtaining an IP address from the DHCP servers used by many corporations and ISPs, will stop functioning. These posts show you how to disable SMBv1 and SMBv2.

Considering all the security reasons described above, many ISPs feel it necessary to block this Port on behalf of their users. This happens only when port 445 is not found to be protected by NAT router or personal firewall. In such a situation, your ISP may probably prevent port 445 traffic from reaching you.

Related posts

• Как да използвате и добавяте работни/училищни акаунти към приложението Microsoft Authenticator

• Как да деактивирате преносими класове за съхранение и достъп в Windows 10

• Изтрийте файлове за постоянно, като използвате безплатния софтуер за унищожаване на файлове за Windows

• Tiny Security Suite ви помага да шифровате, раздробявате и защитавате файлове на вашия компютър

• Как да нулирате приложението за защита на Windows в Windows 11/10

• Как да добавите изключване на файл или процес към сигурността на Windows

• Грешка при неуспешна проверка на сигурността на ядрото в Windows 11/10

• Преобразувайте потенциално опасни PDF файлове, документи и изображения в безопасни файлове

• Как да изключите известията за сигурност и поддръжка в Windows 11/10

• Как да избегнете гледане през собствения си компютър?

• Как да защитим уебсайтовете: заплахи и справяне с уязвимости

• Защитете главния запис за зареждане на вашия компютър с MBR филтър

• Статия за интернет сигурност и съвети за потребители на Windows

• Как да отворите Центъра за сигурност на Windows в Windows 11/10

• Как да скриете или покажете иконата за защита на Windows в лентата на задачите на Windows 10

• Съвети за потребители на имейл: Защитете и защитете своя имейл акаунт

• Как да намерите акаунти, свързани с имейл адрес и телефонен номер

• Съвети за ваканционна киберсигурност - Как да останете в безопасност, когато сте на почивка

• Деактивирайте въпросите за сигурност в Windows 11/10 с помощта на PowerShell скрипт

• Настройки за защита на Windows в Windows 10