Почему компьютер Windows сканирует порт 137?

811
WoJ

У меня есть несколько honeypots, разбросанных по внутренней сети, и время от времени вижу случайные машины, пытающиеся подключиться к порту 137 . Это (устаревшее) решение для разрешения Windows.

Компьютерами, которые будут подключаться, будет Windows 7 или 10 с NetBIOS через TCP по некоторым (действительным) причинам.

Мой вопрос о том, почему они пытаются подключиться к несвязанным IP-адресам (IP-адресам моих honeypots), поскольку у них нет прямых причин с ними связываться (они просто сидят в углу и ждут подключения).

Есть ли механизм сканирования, встроенный в NetBIOS? Это не широковещательная рассылка IP, поскольку она отклоняется приманкой, которая оставляет только преднамеренные соединения.

0
Порт 137 - это порт UDP, используемый NetBios. Ваши приманки бегут ПОБЕДЫ? Да, у него есть механизмы сканирования или запроса. Вы можете получить более подробную информацию с https://technet.microsoft.com/en-us/library/cc958811.aspx и https://www.techrepublic.com/article/how-netbios-name-resolution-really-works/ Epoxy 6 лет назад 0
@Epoxy: спасибо за статьи, я тоже читал стандарт. Где вы видите, что происходит сканирование? Я вижу трансляцию (которая в моем случае игнорируется, так как это не направленное соединение), но не активные исследования с помощью сканирования. WoJ 6 лет назад 0
Добро пожаловать! Ну, единственная цель этого порта 137 состоит в том, чтобы помочь регистрации имени и найти имена во время NBT. На самом деле это не режим сеанса. Это просто способ найти имена (найти имя). Порт 137 может использоваться TCP или UDP. В этом случае «nbname» используется для службы имен, трансляции имен для построения списков просмотра. В этом случае будут использоваться 3 порта (NBT), а другие порты 138, 139 имеют другие обязанности. NBT также зависит от DNS. SMB также зависит от NetBIOS, если не размещен напрямую. В вашем случае, чтобы определить, какой тип запроса он получает, используйте Wireshark. Epoxy 6 лет назад 0
@ Эпоксидная смола: это все еще не объясняет, почему было преднамеренное подключение к моему устройству (это просто IP, без каких-либо функций и нигде не рекламируемый) WoJ 6 лет назад 0
Я думаю, что мы сможем выяснить это с помощью сетевого анализатора пакетов. В этом случае у меня все еще есть сомнения. :) Epoxy 6 лет назад 0

0 ответов на вопрос

Похожие вопросы