Windows 安全基礎——NetBIOS篇

1. NetBIOS簡介

NetBIOS（Network Basic Input/Output System, 網絡基本輸入輸出系統）是一種接入服務網絡的接口標準。主機系統通過WINS服務、廣播及lmhosts文件多種模式，把NetBIOS名解析對應的IP地址，實現信息通信。因占用資源小、傳輸快的特點，NetBIOS被廣泛應用于局域網內部消息通信及資源共享。

2. NetBIOS服務類型

NetBIOS支持面向連接（TCP）和無連接（UDP）通信。它提供3個分開的服務：名稱服務（NetBIOS name）、會話服務（NetBIOS session）、數據報服務（NetBIOS datagram）。NetBIOS name 為其他兩個服務的基礎。

NetBIOS服務類型在TCP/IP上的基本架構如圖所示：

? 3種常見的NetBIOS服務類型

服務類型	端口	具體描述
NetBIOS name(NetBIOS名稱服務)	UDP 137	鑒別資源。程序、主機都有獨特的NetBIOS名稱
NetBIOS datagram（NetBIOS數據報服務）	UDP 138	無連接地數據報發送到特定的地點、組、整個局域網
NetBIOS session （NetBIOS 會話服務）	TCP 139	提供面向連接、可靠、完全雙重的信息服務

?

3. NetBIOS解析過程

NetBIOS協議進行名稱解析的過程如下：

1）主機檢查本地NetBIOS緩存。

2）如果緩存中沒有請求的名稱，但是配置了WINS服務器，則向WINS服務器發送請求。

3）如果沒有配置WINS服務器或WINS服務器無響應，則和LLMNR一樣向當前子網域發送廣播。

4）如果子域網的其他主機無響應，則讀取本地的lmhosts文件（C:\Windows\System32\drivers\etc\）。

NetBIOS協議通過發送UDP廣播包進行解析。如果不配置WINS服務器，則和LLMNR（鏈路本地多播名稱解析）一樣會有欺騙攻擊問題。

4. NetBIOS防御措施

1）執行命令ncpa.cpl打開網絡連接，如下圖所示:

2）依次選擇“本地連接” → “屬性” → “Internet協議版本4（TCP/IPv4）” → ”屬性“ → ”高級“選項來配置， 如下圖所示：

3）在WINS選項卡的NetBIOS設置中禁用NetBIOS，如下圖所示：

NetBIOS，如下圖所示：

[外鏈圖片轉存中…(img-eUCVsZac-1702185910530)]