พอร์ต SMB คืออะไร? พอร์ต 445 และพอร์ต 139 ใช้สำหรับอะไร?

NetBIOSย่อมาจากNetwork Basic Input Output System (Network Basic Input Output System)เป็นโปรโตคอลซอฟต์แวร์ที่อนุญาตให้แอปพลิเคชัน พีซี และเดสก์ท็อป(Desktops)บนเครือข่ายท้องถิ่น ( LAN ) สื่อสารกับฮาร์ดแวร์เครือข่ายและส่งข้อมูลผ่านเครือข่าย แอปพลิเคชันซอฟต์แวร์ที่ทำงานบน เครือข่าย NetBIOS จะ ค้นหาและระบุกันและกันโดยใช้ชื่อ(names)NetBIOS ชื่อNetBIOSมีความยาวไม่เกิน 16 อักขระ และโดยทั่วไปจะแยกจากชื่อคอมพิวเตอร์ สองแอปพลิเคชันเริ่มต้น เซสชัน NetBIOSเมื่อหนึ่ง (ไคลเอนต์) ส่งคำสั่งเพื่อ "เรียก" ไคลเอนต์อื่น (เซิร์ฟเวอร์) ผ่านTCP Port 139(TCP Port 139)

พอร์ต SMB 445 139

พอร์ต 139 ใช้สำหรับอะไร

อย่างไรก็ตาม NetBIOS(NetBIOS)บนWAN ของคุณ หรือบนอินเทอร์เน็ต(Internet)ถือเป็นความเสี่ยงด้านความปลอดภัยอย่างมหาศาล ข้อมูลทุกประเภท เช่น โดเมน เวิร์กกรุ๊ป และชื่อระบบ ตลอดจนข้อมูลบัญชีสามารถรับได้ผ่านNetBIOS ดังนั้นจึงเป็นสิ่งสำคัญที่จะรักษาNetBIOS ของคุณ บนเครือข่ายที่ต้องการ และทำให้แน่ใจว่าจะไม่ออกจากเครือข่ายของคุณ

ไฟร์วอลล์(Firewalls)เพื่อเป็นมาตรการด้านความปลอดภัยจะบล็อกพอร์ตนี้ก่อนเสมอ หากคุณเปิดพอร์ตไว้ พอร์ต 139(Port 139)ใช้สำหรับแชร์ไฟล์และเครื่องพิมพ์(File and Printer Sharing)แต่เป็นพอร์ตเดียวที่อันตรายที่สุดบนอินเทอร์เน็ต (Internet)ที่เป็นเช่นนี้เพราะจะทำให้ฮาร์ดดิสก์ของผู้ใช้ถูกแฮ็กเกอร์

เมื่อผู้โจมตีพบพอร์ต 139(Port 139) ที่ใช้งานอยู่ บนอุปกรณ์ เขาสามารถเรียกใช้เครื่องมือวินิจฉัยNNBSTAT สำหรับ (NBSTAT)NetBIOSผ่านTCP/IPซึ่งได้รับการออกแบบมาเพื่อช่วยแก้ปัญหาการ จำแนก ชื่อNetBIOS เป็นหลัก (NetBIOS)นี่เป็นก้าวแรกที่สำคัญของการโจมตี— Footprinting

การใช้ คำสั่ง NSTAT(NBSTAT)ผู้โจมตีสามารถรับข้อมูลสำคัญบางส่วนหรือทั้งหมดที่เกี่ยวข้องกับ:

  1. รายชื่อ NetBIOS ในพื้นที่
  2. ชื่อคอมพิวเตอร์
  3. รายชื่อแก้ไขโดย WINS
  4. ที่อยู่ IP
  5. เนื้อหาของตารางเซสชันพร้อมที่อยู่ IP ปลายทาง

ด้วยรายละเอียดข้างต้น ผู้โจมตีจึงมีข้อมูลสำคัญทั้งหมดเกี่ยวกับระบบปฏิบัติการ บริการ และแอปพลิเคชันหลักที่ทำงานอยู่บนระบบ นอกจากนี้ เขายังมีที่อยู่ IP ส่วนตัวที่LAN/WANและวิศวกรความปลอดภัยพยายามซ่อนอยู่เบื้องหลังNATอย่างหนัก นอกจากนี้ID ผู้ใช้(User IDs)ยังรวมอยู่ในรายการที่ได้จากการรันNSTAT(NBSTAT)

ทำให้แฮกเกอร์เข้าถึงเนื้อหาของไดเร็กทอรีหรือไดรฟ์ฮาร์ดดิสก์จากระยะไกลได้ง่ายขึ้น จากนั้นพวกเขาสามารถอัปโหลดและเรียกใช้โปรแกรมใดๆ ที่ตนเลือกอย่างเงียบๆ ผ่านเครื่องมือฟรีแวร์บางตัวโดยที่เจ้าของคอมพิวเตอร์ไม่รู้ตัว

หากคุณกำลังใช้เครื่อง multi-homed ให้ปิดใช้งานNetBIOSในทุกการ์ดเครือข่าย หรือการเชื่อมต่อแบบ Dial-Up ภายใต้ คุณสมบัติ TCP/IPซึ่งไม่ได้เป็นส่วนหนึ่งของเครือข่ายท้องถิ่นของคุณ

อ่าน(Read) : วิธีปิดการใช้งาน NetBIOS(disable NetBIOS)ผ่าน TCP/IP

พอร์ต SMB คืออะไร

แม้ว่าพอร์ต 139(Port 139)จะรู้จักกันในชื่อ ' NBT over IP' แต่พอร์ต 445(Port 445)คือ ' SMB over IP' SMBย่อมาจาก ' Server Message Blocks ' Server Message Blockในภาษาสมัยใหม่เรียกอีกอย่างว่าCommon Internet File System (Common Internet File System)ระบบทำงานเป็นโปรโตคอลเครือข่ายระดับแอปพลิเคชันที่ใช้เป็นหลักในการนำเสนอการเข้าถึงไฟล์ เครื่องพิมพ์ พอร์ตอนุกรม และการสื่อสารประเภทอื่นๆ ระหว่างโหนดบนเครือข่าย

การใช้งาน SMB(SMB)ส่วนใหญ่เกี่ยวข้องกับคอมพิวเตอร์ที่ใช้Microsoft Windowsซึ่งเป็นที่รู้จักในชื่อ 'Microsoft Windows Network' ก่อนการเปิดตัวActive Directory ใน ภายหลัง สามารถทำงานบนเลเยอร์เครือข่ายเซสชัน (และต่ำกว่า) ได้หลายวิธี(Session)

ตัวอย่างเช่น บนWindows SMB (Windows)สามารถ(SMB)เรียกใช้โดยตรงผ่านTCP/IPโดยไม่ต้องใช้NetBIOSผ่านTCP TCP/IPสิ่งนี้จะใช้พอร์ต 445 ตามที่คุณชี้ให้เห็น ในระบบอื่น คุณจะพบบริการและแอปพลิเคชันที่ใช้พอร์ต 139 ซึ่งหมายความว่าSMBกำลังทำงานด้วยNetBIOSผ่านTCP (.)TCP/IP

แฮกเกอร์ที่เป็นอันตรายยอมรับว่าพอร์ต 445(Port 445)มีความเสี่ยงและมีความไม่ปลอดภัยมากมาย ตัวอย่างที่น่าตกใจอย่างหนึ่งของการ ใช้ พอร์ต 445(Port 445)ในทางที่ผิดคือลักษณะที่ปรากฏค่อนข้างเงียบของ เวิ ร์ม NetBIOS (NetBIOS worms)เวิร์มเหล่านี้ช้าแต่ในลักษณะที่กำหนดไว้อย่างดีสแกนอินเทอร์เน็ต(Internet)สำหรับอินสแตนซ์ของพอร์ต 445 ใช้เครื่องมือเช่นPsExecเพื่อถ่ายโอนตัวเองไปยังคอมพิวเตอร์เหยื่อเครื่องใหม่ จากนั้นเพิ่มความพยายามในการสแกนเป็นสองเท่า ด้วยวิธีที่ไม่เป็นที่รู้จักมากนี้ ทำให้ " Bot Armies " ขนาดมหึมา ซึ่งมีเครื่องเวิร์ม (Bot Armies)NetBIOSนับหมื่นเครื่องที่ถูกบุกรุก ถูกรวบรวมและตอนนี้อาศัยอยู่ในอินเทอร์เน็ต(Internet)

อ่าน(Read) : วิธีการ Forward Ports(How to forward Ports) ?

วิธีตรวจสอบว่าพอร์ตSMB เปิดอยู่ใน (SMB)Windows 10

คุณต้องใช้คำสั่งPowerShell นี้ (PowerShell)หากคุณกำลังจะเปิดใช้ งานโปรโตคอลการถ่ายโอนไฟล์ SMBv2บนคอมพิวเตอร์ของคุณ ก่อนอื่นคุณต้องตรวจสอบว่าระบบของคุณสามารถติดตั้งได้หรือไม่ เมื่อคุณทราบสถานะแล้ว คุณสามารถเลือกที่จะเปิดหรือปิดใช้งาน SMBv2(enable or disable SMBv2)ได้

พอร์ต SMB 445 ปลอดภัยหรือไม่

เมื่อพิจารณาถึงอันตรายข้างต้น เราสนใจที่จะไม่เปิดเผยพอร์ต 445(Port 445)กับอินเทอร์เน็ต(Internet)แต่เช่นเดียวกับWindows Port 135 พอร์ต 445(Port 445)นั้นฝังลึกในWindowsและปิดได้ยากอย่างปลอดภัย ที่กล่าวว่าการปิดเป็นไปได้ อย่างไรก็ตาม บริการที่ขึ้นต่อกันอื่นๆ เช่นDHCP ( Dynamic Host Configuration Protocol ) ซึ่งมักใช้เพื่อรับที่อยู่ IP โดยอัตโนมัติจาก เซิร์ฟเวอร์ DHCPที่ใช้โดยบริษัทและISP(ISPs) จำนวนมาก จะหยุดทำงาน โพสต์เหล่านี้แสดงวิธีปิดใช้งาน SMBv1และ SMBv2

เมื่อพิจารณาถึงเหตุผลด้านความปลอดภัยทั้งหมดที่อธิบายไว้ข้างต้นแล้วISP(ISPs) จำนวนมาก รู้สึกว่าจำเป็นต้องบล็อกพอร์ต(Port) นี้ ในนามของผู้ใช้ สิ่งนี้จะเกิดขึ้นเมื่อไม่พบพอร์ต 445 ที่ได้รับการปกป้องโดย เราเตอร์ NATหรือไฟร์วอลล์ส่วนบุคคล ในสถานการณ์เช่นนี้ISP ของคุณ อาจป้องกันไม่ให้ทราฟฟิกพอร์ต 445 เข้าถึงคุณได้



ขวัญแก้ว กำธรเจริญ

About the author

ฉันเป็นผู้ตรวจทานมืออาชีพและเพิ่มประสิทธิภาพการทำงาน ฉันชอบใช้เวลาออนไลน์เล่นวิดีโอเกม สำรวจสิ่งใหม่ ๆ และช่วยเหลือผู้คนเกี่ยวกับความต้องการด้านเทคโนโลยีของพวกเขา ฉันมีประสบการณ์กับ Xbox มาบ้างแล้วและได้ช่วยเหลือลูกค้าในการรักษาระบบของพวกเขาให้ปลอดภัยมาตั้งแต่ปี 2552


Related posts