与“入侵者”交手:认识XP下的NetBEUI -- 安全 - 安全资讯 -- Linux宝库 -- 全球最大中文开源门户




		栏目分类

	安全资讯 \| 硬件产品 \| 软件产品 \| 安全基础 \| 病毒专区 \| 黑客技术 \| 防火墙 \| 安全方案



		排行榜

	·如何设置防火墙禁用QQ、MSN等 ·单点拨号访问内网（VPN方法） ·Win2003自带防火墙的设置 ·配置防火墙服务 ·分析可引起网络广播风暴的原因及解决方法 ·个人防火墙的选择及其使用技巧 ·KFW专业防DDOS防火墙的高级设置 ·webshell给六合彩网站毁灭性的打击 ·1-100号端口列表及功能中文注解 ·PIX防火墙命令集 ·ZoneAlarm防火墙软件全接触 ·国内防火墙系统大比拼 ·BlackICE：挡住黑客的魔爪 ·个人防火墙的优缺点 ·企业级防火墙日志分析利器-WebTrendsFirewallSuite ·配置ISA防火墙作为出站SMTP中继过滤 ·华为3Com最新推出TippingPoint系列IPS ·防火墙新技术——深度检测 ·Linux9系统下构建小型入侵检测系统 ·瑞星19日病毒预警：QQ盗号木马病毒出现

您现在的位置： Linux宝库 >> 安全 >> 安全资讯 >> 文章正文

与“入侵者”交手:认识XP下的NetBEUI
Linux宝库收集整理　作者：Linux宝库　时间：2007-12-31　收藏本站

来自：http://doc.linuxpk.com/16604.html

联系：linuxmine#gmail.com

分类：[安全资讯]

　　放假的两天，朋友就说自己的电脑很不正常，好象是被入侵了。因为放假本来时间就少，所以匆匆赶到朋友家，一看，WinXP PRO，SP2，天网和诺顿都是最新版的，按理来说安全性是很强的。好，一步步检查下去：

　　1、先查看本机日志，没什么可疑的系统用户，组，管理登陆等信息。（入侵者一般不会给你留下有用的日志的）

　　2、NETSTAT，看看端口的情况，也是一切正常。

　　3、再检查开启的服务，看到朋友的IPSEC安全策略是启动的，而且朋友有一定的计算机知识，也配置了IP安全策略。再往下看，朋友的Remote Access Auto Connection Manager和Remote Access Connection Manager两项服务已经启动。我们都知道，此服务是当某个程序引用一个远程DNS或NETBIOS名或者地址的时候建立远程网络连接用的，但是此服务开启也很正常，没有可以利用的端口是无法连接的，朋友的135，137，138，139，445端口是关闭的。

　　4、检查IPC$，朋友的IPC$是开启的，危险，但是又想到防火墙和IP安全策略，能连接的可能性几乎为零。

　　作为一台个人使用PC来说，朋友的安全性是不错的，正准备往下查的时候，看到一台NB摆在旁边，朋友说公司的NB，拿回来COPY资料。我看了下NB，因为配置问题装的98，于是想起98和XP互连，朋友估计装了NETBEUI协议的，于是继续检查。

　　装了NETBIOS协议，并没有NETBEUI，但是朋友说曾经装过，但是卸了。

　　NETBEUI协议其实是NETBIOS的本地延伸，用于不同的计算机网络互通的，但是我记得NETBEUI协议的卸载不是那么简单从协议组中就卸了的，于是发现了点问题的可疑点。

　　再次检查日志，发现了可疑点：

　　Event Type: Error

　　Event Source: Service Control Manager

　　Event Category: None

　　Event ID: 7000

　　Date: 3/26/2005

　　Time: 9:54:24 AM

　　User: N/A

　　Computer: KK

　　Description:

　　The NetBEUI Protocol service failed to start due to the following error:

　　The system cannot find the file specified.

　　原来协议还在系统中，这是启动失败信息。

　　于是马上检查注册表：

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nbf

　　看到了NETBEUI的信息，原来系统中的NETBEUI并未被删除

　　我们知道，系统的口令进行校验时是以发送的长度数据为依据的。在发送口令认证数据包时可以设置长度域为“1”，同时发送一个字节的明文口令，校验程序会将发来口令与保存的口令的第一个字节进行明文比较，如果匹配就认为通过了验证。特别是作为NETBIOS协议来说，漏洞是很大的。

　　再看朋友的Internet连接，TCP/IP上的NETBIOS没有禁用（图六）这个时候可以来查找问题的根源了

　　扫描软件？其实不用，利用系统的端口监听，就可以完成。端口监听过程中，发现端口7777正在被监听（因为时间有点长，在整理东西时候朋友喊的，忘记了抓图），这个有点异常，所以马上看进程，但是却没有异常，感到越来越奇怪了。

　　于是用TCPDUMP抓包，看到tcpdump: listening on 7777，果然端口被占用了。看来是后台进程。于是使用TCP Connect()扫描，因为端口处于侦听状态，所以Connect()就能成功。这时出现了大量的错误信息，不一会，系统的LOGS文件显示一连串的连接出错消息，然后关闭了服务。（以非线性方式连接）这时，本打算继续扫描TCP SYN和TCP FIN都不需要了。

　　于是返回注册表，把NETBEUI协议的信息删除，REBOOT，在连接，一切正常。

　　回过头来看事情的正个经过，其实都缘于朋友装卸NETBEUI协议的不正确和大意，导致了NETBEUI协议和NETBIOS协议在使用中发生冲突。原来朋友的爱机曾经中过YAI蠕虫病毒，虽然杀毒成功，但是滞留在系统的错误设置却没有改变过来。

　　TCP 7777=NetSpy(YAI)，病毒利用了系统的7777端口，那时NETBEUI在启用中，虽然协议从协议组中消失了，但是注册表和配置信息却还在，所以导致有TCP数据连接时，系统又自然而然的开启了7777端口来找寻NETBEUI协议的数据流，因此产生了错误的日志。

　　就这样，朋友的问题也解决了，“入侵者”的担心也烟消云散，原来是这小小协议在捣鬼，呵呵，还让我们为这个“入侵者”搞得晕头转向。本文来自：http://doc.linuxpk.com/16604.html

最新更新

	·KFW专业防DDOS防火墙的高级设置 ·关于各类防火墙的介绍 ·防火墙新技术——深度检测 ·什么是Linux防火墙 ·1-100号端口列表及功能中文注解 ·NetScreen-IDP100/500产品特点 ·配置PIX双机failover的要点 ·PIX上实现VPN步骤 ·PIX防火墙命令集 ·组建家庭无线网络保证安全七点小技巧 ·Linux9系统下构建小型入侵检测系统 ·基于Windows的入门级IDS构建过程详述 ·安全过渡应用IPv6要考虑的五个安全问题 ·与“入侵者”交手:认识XP下的NetBEUI ·浅析无线入侵检测系统的应用及优缺点 ·分析可引起网络广播风暴的原因及解决方法 ·再谈防火墙及防火墙的渗透 ·配置ISA防火墙作为出站SMTP中继过滤 ·Win2003自带防火墙的设置 ·BlackICE：挡住黑客的魔爪 ·防火墙硬件架构NP和ASIC之比较 ·防火墙三大体系架构前景分析 ·国内防火墙系统大比拼 ·三种流行防火墙配置方案分析与对比 ·高性能LINUX双效防火墙HOWTO ·教你将Linux配置为代理防火墙 ·如何设置一个可靠的防火墙系统保护公司内部网络 ·防火墙基本知识 ·单点拨号访问内网（VPN方法） ·个人防火墙的优缺点