NetBIOS協議基本上已經被絕大多數系統默認載入了。因為它和TCP/IP協議是綁定在一起的。那么如果不注意相關的設置，就會出現NetBIOS協議漏洞的問題。那么這篇文章就主要分析一下NetBIOS協議漏洞的問題。當安裝TCP/IP協 議時，NetBIOS協議也被Windows作為默認設置載入，我們的計算機也具有了NetBIOS本身的開放性。某些別有用心的人就利用這個功能來攻擊服務器，使管理員不能放心使用文件和打印機共享。

利用NetBIOS協議漏洞進行攻擊的端口分別為：

135端口開放實際上是一個WINNT漏洞，開放的135的端口情況容易引起自外部的“Snort”攻擊！！！

對于135端口開放的問題，可以在你的防火墻上，增加一條規則：拒絕所有的這類進入的UDP包，目的端口是135，源端口是7，19，或者135，這樣可以保護內部的系統，防止來自外部的攻擊。大多數防火墻或者包過濾器已經設置了很多嚴格的規則，已覆蓋了這條過濾規則，但任需注意：有一些NT的應用程序，它們依靠UDP135端口進行合法的通訊，而打開你135的端口與NT的RPC服務進行通訊。如果真是這樣，你一定要在那些原始地址的系統上（需要135口通訊），實施上述的規則，指定來自這些系統的通訊可以通過防火墻，或者，可以被攻擊檢測系統所忽略，以便維持那些應用程序的正常連接。為了保護你的信息安全，強烈建議你安裝微軟的最新補丁包。

上面我們說到Netbios（NETwork Basic Input/Output System）網絡基本輸入輸出系統。是1983年IBM開發的一套網絡標準，微軟在這基礎上繼續開發。微軟的客戶機／服務器網絡系統都是基于NetBIOS的。在利用Windows NT4.0 構建的網絡系統中，對每一臺主機的唯一標識信息是它的NetBIOS名。系統可以利用WINS服務、廣播及Lmhost文件等多種模式通過139端口將NetBIOS名解析為相應IP地址，從而實現信息通訊。在這樣的網絡系統內部，利用NetBIOS名實現信息通訊是非常方便、快捷的。但是在Internet上，它就和一個后門程序差不多了。因此，我們很有必要堵上這個可怕的漏洞。

利用NetBIOS協議漏洞攻擊

1.利用軟件查找共享資源

利用NetBrute Scanner 軟件掃描一段IP地址（如10.0.13.1~10.0.13.254）內的共享資源，就會掃描出默認共享

2. 用PQwak破解共享密碼 雙擊掃描到的共享文件夾，如果沒有密碼，便可直接打開。當然也可以在IE的地址欄直接輸入掃描到的帶上共享文件夾的IP地址，如“\\10.0.13.191”（或帶C＄，D＄等查看默認共享）。如果設有共享密碼，會要求輸入共享用戶名和密碼，這時可利用破解網絡鄰居密碼的工具軟件，如PQwak，破解后即可進入相應文件夾。

關閉NetBIOS協議漏洞

1. 解開文件和打印機共享綁定

鼠標右擊桌面上[網絡鄰居]→[屬性] →[本地連接] →[屬性]，去掉“Microsoft網絡的文件和打印機共享”前面的勾，解開文件和打印機共享綁定。這樣就會禁止所有從139和445端口來的請求，別人也就看不到本機的共享了。

2. 利用TCP/IP篩選

鼠標右擊桌面上[網絡鄰居] →[屬性]→[本地連接] →[屬性]，打開“本地連接屬性”對話框。選擇[Internet協議(TCP/IP)]→[屬性]→[高級]→[選項]， 在列表中單擊選中“TCP/IP篩選”選項。單擊[屬性]按鈕，選擇“只允許”，再單擊[添加]按鈕(如圖2)，填入除了139和445之外要用到的端口。這樣別人使用掃描器對139和445兩個端口進行掃描時，將不會有任何回應。 #p#

3. 使用IPSec安全策略阻止對端口139和445的訪問

選擇[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略，在本地機器]，在這里定義一條阻止任何IP地址從TCP139和TCP445端口訪問IP地址的IPSec安全策略規則，這樣別人使用掃描器掃描時，本機的139和445兩個端口也不會給予任何回應。

4. 停止Server服務

選擇[我的電腦]→[控制面板]→[管理工具]→[服務]，進入服務管理器，關閉Server服務。這樣雖然不會關閉端口，但可以中止本機對其他機器的服務，當然也就中止了對其他機器的共享。但是關閉了該服務會導致很多相關的服務無法啟動，如機器中如果有IIS服務，則不能采用這種方法。

5. 使用防火墻防范攻擊

在防火墻中也可以設置阻止其他機器使用本機共享。如在“天網個人防火墻”中，選擇一條空規則，設置數據包方向為“接收”，對方IP地址選“任何地址”，協議設定為“TCP”，本地端口設置為“139到139”，對方端口設置為“0到0”，設置標志位為“SYN”，動作設置為“攔截”，最后單擊[確定]按鈕，并在“自定義IP規則”列表中勾選此規則即可啟動攔截139端口攻擊了。

非局域網用戶如何防范NetBIOS協議漏洞攻擊

在windows9x下如果你是個撥號用戶。完全不需要登陸到nt局域網絡環境的話。只需要在控制面板→網絡→刪除microsoft網絡用戶，使用microsoft友好登陸就可以了。但是如果你需要登陸到nt網絡的話。那這一項就不能去處。因為nt網里需要使用netbios。

在windowsNT下你可以取消netbios與TCP/IP協議的綁定。控制面板→網絡→Netbios接口→WINS客戶（tcp/ip）→禁用。確定。重啟。這樣nt的計算機名和工作組名也隱藏了，不過會造成基于netbios的一些命令無法使用。如net等。

在windowsNT下你可以選中網絡鄰居→右鍵→本地連接→INTERNET協議（TCP/IP）→屬性→高級→選項→TCP/IP篩選→在“只允許”中填入除了137，138，139只外的端口。如果你在局域網中，會影響局域網的使用

在windowsXP下你可以在控制面板上點擊管理工具-本地安全策略,右擊"IP安全策略,在本地計算機"選擇"管理IP篩選器表和篩選器操作",點添加,在對話框里填,隨便寫.只要你記得住.最好還是寫"禁用135/139端口"比較看的懂.點右邊的添加->下一步->源地址為"任何地址"->目的地址"我的地址"->協儀為TCP->在到此端口里填135或139就可以.

還有一個辦法就是TCP/IP協儀里禁用NetBIOS.