认识XP下的NetBEUI
生活随笔
收集整理的這篇文章主要介紹了
认识XP下的NetBEUI
小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.
來源:PConline?
放假的兩天,朋友就說自己的電腦很不正常,好象是被入侵了。因為放假本來時間就少,所以匆匆趕到朋友家,一看,winXP PRO,SP2,殺毒軟件和_blank">防火墻都是最新版的,按理來說安全性是很強的。好,一步步檢查下去:?
1、先查看本機日志,沒什么可疑的系統(tǒng)用戶,組,管理登陸等信息。(入侵者一般不會給你留下有用的日志的)?
2、NETSTAT,看看端口的情況,也是一切正常。(圖一)?
3、再檢查開啟的服務(wù),看到朋友的IPSEC安全策略是啟動的,而且朋友有一定的計算機知識,也配置了IP安全策略。再往下看,朋友的Remote Access Auto Connection Manager和Remote Access Connection Manager兩項服務(wù)已經(jīng)啟動。我們都知道,此服務(wù)是當某個程序引用一個遠程DNS或NETBIOS名或者地址的時候建立遠程網(wǎng)絡(luò)連接用的,但是此服務(wù)開啟也很正常,沒有可以利用的端口是無法連接的,朋友的135,137,138,139,445端口是關(guān)閉的。(圖二,三)
4、檢查IPC$,朋友的IPC$是開啟的,危險,但是又想到_blank">防火墻和IP安全策略,能連接的可能性幾乎為零。(圖四)?
作為一臺個人使用PC來說,朋友的安全性是不錯的,正準備往下查的時候,看到一臺NB擺在旁邊,朋友說公司的NB,拿回來COPY資料。我看了下NB,因為配置問題裝的98,于是想起98和XP互連,朋友估計裝了NETBEUI協(xié)議的,于是繼續(xù)檢查。?
裝了NETBIOS協(xié)議,并沒有NETBEUI,但是朋友說曾經(jīng)裝過,但是卸了。?
NETBEUI協(xié)議其實是NETBIOS的本地延伸,用于不同的計算機網(wǎng)絡(luò)互通的, 但是我記得NETBEUI協(xié)議的卸載不是那么簡單從協(xié)議組中就卸了的,于是發(fā)現(xiàn)了點問題的可疑點。?
再次檢查日志,發(fā)現(xiàn)了可疑點:?
Event Type: Error?
Event Source: Service Control Manager?
Event Category: None?
Event ID: 7000?
Date: 3/26/2005?
Time: 9:54:24 AM?
User: N/A?
Computer: KK?
Description:?
The NetBEUI Protocol service failed to start due to the following error:?
The system cannot find the file specified.?
原來協(xié)議還在系統(tǒng)中,這是啟動失敗信息。?
于是馬上檢查注冊表:?
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nbf?
看到了NETBEUI的信息,原來系統(tǒng)中的NETBEUI并未被刪除?
我們知道,系統(tǒng)的口令進行校驗時是以發(fā)送的長度數(shù)據(jù)為依據(jù)的。在發(fā)送口令認證數(shù)據(jù)包時可以設(shè)置長度域為“1”,同時發(fā)送一個字節(jié)的明文口令,校驗程序會將發(fā)來口令與保存的口令的第一個字節(jié)進行明文比較,如果匹配就認為通過了驗證。特別是作為NETBIOS協(xié)議來說,漏洞是很大的。?
再看朋友的Internet連接,TCP/IP上的NETBIOS沒有禁用,這個時候可以來查找問題的根源了?
掃描軟件?其實不用,利用系統(tǒng)的端口監(jiān)聽,就可以完成。端口監(jiān)聽過程中,發(fā)現(xiàn)端口7777正在被監(jiān)聽,這個有點異常,所以馬上看進程,但是卻沒有異常,感到越來越奇怪了。?
于是用TCPDUMP抓包,看到tcpdump: listening on 7777,果然端口被占用了。看來是后臺進程。于是使用TCP Connect()掃描,因為端口處于偵聽狀態(tài),所以Connect()就能成功。這時出現(xiàn)了大量的錯誤信息,不一會,系統(tǒng)的LOGS文件顯示一連串的連接出錯消息,然后關(guān)閉了服務(wù)。(以非線性方式連接)這時,本打算繼續(xù)掃描TCP SYN和TCP FIN都不需要了。?
于是返回注冊表,把NETBEUI協(xié)議的信息刪除,REBOOT,在連接,一切正常。?
回過頭來看事情的整個經(jīng)過,其實都緣于朋友裝卸NETBEUI協(xié)議的不正確和大意,導致了NETBEUI協(xié)議和NETBIOS協(xié)議在使用中發(fā)生沖突。原來朋友的愛機曾經(jīng)中過YAI蠕蟲病毒,雖然殺毒成功,但是滯留在系統(tǒng)的錯誤設(shè)置卻沒有改變過來。?
TCP 7777=NetSpy(YAI),病毒利用了系統(tǒng)的7777端口,那時NETBEUI在啟用中,雖然協(xié)議從協(xié)議組中消失了,但是注冊表和配置信息卻還在,所以導致有TCP數(shù)據(jù)連接時,系統(tǒng)又自然而然的開啟了7777端口來找尋NETBEUI協(xié)議的數(shù)據(jù)流,因此產(chǎn)生了錯誤的日志。?
就這樣,朋友的問題也解決了,“入侵者”的擔心也煙消云散,原來是這小小協(xié)議在搗鬼,呵呵,還讓我們?yōu)檫@個“入侵者”搞得暈頭轉(zhuǎn)向。
本文轉(zhuǎn)自loveme2351CTO博客,原文鏈接:?http://blog.51cto.com/loveme23/8397,如需轉(zhuǎn)載請自行聯(lián)系原作者
放假的兩天,朋友就說自己的電腦很不正常,好象是被入侵了。因為放假本來時間就少,所以匆匆趕到朋友家,一看,winXP PRO,SP2,殺毒軟件和_blank">防火墻都是最新版的,按理來說安全性是很強的。好,一步步檢查下去:?
1、先查看本機日志,沒什么可疑的系統(tǒng)用戶,組,管理登陸等信息。(入侵者一般不會給你留下有用的日志的)?
2、NETSTAT,看看端口的情況,也是一切正常。(圖一)?
3、再檢查開啟的服務(wù),看到朋友的IPSEC安全策略是啟動的,而且朋友有一定的計算機知識,也配置了IP安全策略。再往下看,朋友的Remote Access Auto Connection Manager和Remote Access Connection Manager兩項服務(wù)已經(jīng)啟動。我們都知道,此服務(wù)是當某個程序引用一個遠程DNS或NETBIOS名或者地址的時候建立遠程網(wǎng)絡(luò)連接用的,但是此服務(wù)開啟也很正常,沒有可以利用的端口是無法連接的,朋友的135,137,138,139,445端口是關(guān)閉的。(圖二,三)
4、檢查IPC$,朋友的IPC$是開啟的,危險,但是又想到_blank">防火墻和IP安全策略,能連接的可能性幾乎為零。(圖四)?
作為一臺個人使用PC來說,朋友的安全性是不錯的,正準備往下查的時候,看到一臺NB擺在旁邊,朋友說公司的NB,拿回來COPY資料。我看了下NB,因為配置問題裝的98,于是想起98和XP互連,朋友估計裝了NETBEUI協(xié)議的,于是繼續(xù)檢查。?
裝了NETBIOS協(xié)議,并沒有NETBEUI,但是朋友說曾經(jīng)裝過,但是卸了。?
NETBEUI協(xié)議其實是NETBIOS的本地延伸,用于不同的計算機網(wǎng)絡(luò)互通的, 但是我記得NETBEUI協(xié)議的卸載不是那么簡單從協(xié)議組中就卸了的,于是發(fā)現(xiàn)了點問題的可疑點。?
再次檢查日志,發(fā)現(xiàn)了可疑點:?
Event Type: Error?
Event Source: Service Control Manager?
Event Category: None?
Event ID: 7000?
Date: 3/26/2005?
Time: 9:54:24 AM?
User: N/A?
Computer: KK?
Description:?
The NetBEUI Protocol service failed to start due to the following error:?
The system cannot find the file specified.?
原來協(xié)議還在系統(tǒng)中,這是啟動失敗信息。?
于是馬上檢查注冊表:?
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nbf?
看到了NETBEUI的信息,原來系統(tǒng)中的NETBEUI并未被刪除?
我們知道,系統(tǒng)的口令進行校驗時是以發(fā)送的長度數(shù)據(jù)為依據(jù)的。在發(fā)送口令認證數(shù)據(jù)包時可以設(shè)置長度域為“1”,同時發(fā)送一個字節(jié)的明文口令,校驗程序會將發(fā)來口令與保存的口令的第一個字節(jié)進行明文比較,如果匹配就認為通過了驗證。特別是作為NETBIOS協(xié)議來說,漏洞是很大的。?
再看朋友的Internet連接,TCP/IP上的NETBIOS沒有禁用,這個時候可以來查找問題的根源了?
掃描軟件?其實不用,利用系統(tǒng)的端口監(jiān)聽,就可以完成。端口監(jiān)聽過程中,發(fā)現(xiàn)端口7777正在被監(jiān)聽,這個有點異常,所以馬上看進程,但是卻沒有異常,感到越來越奇怪了。?
于是用TCPDUMP抓包,看到tcpdump: listening on 7777,果然端口被占用了。看來是后臺進程。于是使用TCP Connect()掃描,因為端口處于偵聽狀態(tài),所以Connect()就能成功。這時出現(xiàn)了大量的錯誤信息,不一會,系統(tǒng)的LOGS文件顯示一連串的連接出錯消息,然后關(guān)閉了服務(wù)。(以非線性方式連接)這時,本打算繼續(xù)掃描TCP SYN和TCP FIN都不需要了。?
于是返回注冊表,把NETBEUI協(xié)議的信息刪除,REBOOT,在連接,一切正常。?
回過頭來看事情的整個經(jīng)過,其實都緣于朋友裝卸NETBEUI協(xié)議的不正確和大意,導致了NETBEUI協(xié)議和NETBIOS協(xié)議在使用中發(fā)生沖突。原來朋友的愛機曾經(jīng)中過YAI蠕蟲病毒,雖然殺毒成功,但是滯留在系統(tǒng)的錯誤設(shè)置卻沒有改變過來。?
TCP 7777=NetSpy(YAI),病毒利用了系統(tǒng)的7777端口,那時NETBEUI在啟用中,雖然協(xié)議從協(xié)議組中消失了,但是注冊表和配置信息卻還在,所以導致有TCP數(shù)據(jù)連接時,系統(tǒng)又自然而然的開啟了7777端口來找尋NETBEUI協(xié)議的數(shù)據(jù)流,因此產(chǎn)生了錯誤的日志。?
就這樣,朋友的問題也解決了,“入侵者”的擔心也煙消云散,原來是這小小協(xié)議在搗鬼,呵呵,還讓我們?yōu)檫@個“入侵者”搞得暈頭轉(zhuǎn)向。
本文轉(zhuǎn)自loveme2351CTO博客,原文鏈接:?http://blog.51cto.com/loveme23/8397,如需轉(zhuǎn)載請自行聯(lián)系原作者
總結(jié)
以上是生活随笔為你收集整理的认识XP下的NetBEUI的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 关于JavaScript的编译原理
- 下一篇: element-ui 设置table w