Network-135、137、138、139、445說明

這5個 Port 在工作上時不時會遇到，在一知半解的狀況下，常常會沒辦法判斷真時的發生狀況。因此參考網路上的介紹做一些整理，希望能這對這些Port有更多瞭解。

TCP/135 RPC

在許多「網管」眼裡，135埠是最讓人捉摸不透的埠，因為他們中的大多數都無法明確地了解到135埠的真正作用，也不清楚該埠到底會有哪些潛在的危險。直到一種名為「IEen」的專業遠程控制工具出現，人們才清楚135埠究竟會有什麼樣的潛在安全威脅。

IEen工具能夠藉助135埠輕鬆連接到Internet上的其他工作站，並遠程控制該工作站的IE瀏覽器。例如，在瀏覽器中執行的任何操作，包括瀏覽頁面內容、輸入帳號密碼、輸入搜索關鍵字等，都會被IEen工具監控到。甚至在網上銀行中輸入的各種密碼信息，都能被IEen工具清楚地獲得。除了可以對遠程工作站上的IE瀏覽器進行*作、控制外，IEen工具通過135埠幾乎可以對所有的藉助DCOM開發技術設計出來的應用程式進行遠程控制，例如 IEen工具也能輕鬆進入到正在運行Excel的計算機中，直接對Excel進行各種編輯*作。

怎麼樣？135埠對外開放是不是很危險呀？當然，這種危險畢竟是理論上的，要想真正地通過135埠入侵其他系統，還必須提前知道對方的IP位址、帳號和密碼等。只要你嚴格保密好這些資訊，你的計算機被IEen工具攻擊的可能性幾乎不存在。

為什麼IEen工具能利用135埠攻擊其他計算機呢？原來該工具採用了一種DCOM技術，可以直接對其他工作站的DCOM程序進行遠程控制。DCOM技術與對方計算機進行通信時，會自動調用目標主機中的RPC服務，而RPC服務將自動詢問目標主機中的135埠，當前有哪些埠可以被用來通信。如此一來，目標主機就會提供一個可用的服務埠作為數據傳輸通道使用。在這一通信過程中，135埠的作用其實就是為RPC通信提供一種服務埠的映射功能。說簡單一點，135埠就是RPC通信中的橋樑。

NetBIOS (Network Basic Input/Output System) 簡介

在討論port 137/138/139前，有必要簡單說一下NetBIOS協定，他是由IBM發展的網路通訊協定。NetBIOS提供以下三種功能。

1. Name Service：主要功能類似DNS，提供IP與Hostname的註冊與對應解析。
2. Datagram：透過unicast、multicast 和 broadcast 提供無需連線，不可信賴的訊息傳遞。
3. Session：相較於Datagram，Session提供了點對點，可信類的訊息傳遞。

上述NetBIOS的三個功能就分別對應了port 137/138/139。

NetBIOS Service

Port

Name service

port 137/TCP and port 137/UDP

Datagram service

port 138/UDP

Session service

port 139/TCP

TCP/UDP 137 NetBIOS-NS

如前面所說，NetBIOS-NS主要作用是在區域網中提供computer的hostname與IP位址註冊與查詢服務，一般安裝了NetBIOS協議後，會自動處於開放狀態。在Windows 系統中使用 Windows Internet Name Service (WINS)來提供此功能。

要是非法入侵者知道目標主機的IP位址，並向該地址的137埠發送一個連接請求時，就可能獲得目標主機的相關名稱訊息。例如目標主機的hostname，註冊該目標主機的用戶信息，目標主機本次開機、關機時間等。此外非法入侵者還能知道目標主機是否是作為文件伺服器或主域控制器來使用。

NetBIOS-NS較常的見的為對廣播IP 137 Port進行連線，用以發現各台電腦。同時也有針對特定IP進行詢問的方式，進一步可去瞭解NetBIOS的節點類型。

UDP 138 NetBIOS-Datagram

如前面所說，NetBIOS-Datagram 透過unicast、multicast 和 broadcast 提供無需連線，不可信賴的訊息傳遞。

TCP/139 NetBIOS-Session

139埠是一種TCP埠，該埠在你通過網上鄰居訪問區域網中的共享文件或共享印表機時就能發揮作用。

139埠一旦被Internet上的某個攻擊者利用的話，就能成為一個危害極大的安全漏洞。因為攻擊者要是與目標主機的139埠建立連接的話，就很有可能瀏覽到指定網段內所有工作站中的全部共享信息，甚至可以對目標主機中的共享文件夾進行各種編輯、刪除*作，倘若攻擊者還知道目標主機的IP位址和登錄帳號的話，還能輕而易舉地查看到目標主機中的隱藏共享信息。

445埠

445埠也是一種TCP埠，該埠在Windows 2000 Server或Windows Server 2003系統中發揮的作用與139埠是完全相同的。具體地說，它也是提供區域網路中文件或印表機共享服務。不過該埠是基於CIFS協議（通用網際網路文件系統協議）工作的，而139埠是基於SMB協議（伺服器協議族）對外提供共享服務。同樣地，攻擊者與445埠建立請求連接，也能獲得指定區域網內的各種共享信息。

參考網站

• https://cifs.com/
• https://datatracker.ietf.org/doc/html/rfc1001
• https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-smb2/5606ad47-5ee0-437a-817e-70c366052962