1.4.2 NetBIOS
1.NetBIOS简介
NetBIOS(Network Basic Input/Output System,网络基本输入输出系统)是一种接入服务网络的接口标准。主机系统通过WINS服务、广播及lmhosts文件等多种模式,把NetBIOS名解析成对应的IP地址,实现信息通信。因占用资源小、传输快的特点,NetBIOS被广泛应用于局域网内部消息通信及资源共享。
2.NetBIOS服务类型
NetBIOS支持面向连接(TCP)和无连接(UDP)通信。它提供3个分开的服务:名称服务(NetBIOS name)、会话服务(NetBIOS session)、数据报服务(NetBIOS datagram)。NetBIOS name为其他两个服务的基础。
NetBIOS服务类型在TCP/IP上的基本架构如图1-32所示。
图1-32 NetBIOS服务类型在TCP/IP上的基本架构
表1-7对3种常见的NetBIOS服务类型进行了详细说明。
表1-7 3种常见的NetBIOS服务类型
3.NetBIOS解析过程
NetBIOS协议进行名称解析的过程如下。
1)主机检查本地NetBIOS缓存。
2)如果缓存中没有请求的名称,但是配置了WINS服务器,则向WINS服务器发送请求。
3)如果没有配置WINS服务器或WINS服务器无响应,则和LLMNR一样向当前子网域发送广播。
4)如果子网域的其他主机无响应,则读取本地的lmhosts文件(C:\Windows\System32\drivers\etc\)。
NetBIOS协议通过发送UDP广播包进行解析。如果不配置WINS服务器,则和LLMNR一样会有欺骗攻击问题。
4.NetBIOS防御措施
1)执行命令ncpa.cpl打开网络连接,如图1-33所示。
图1-33 执行命令ncpa.cpl打开网络连接
2)依次选择“本地连接”→“属性”→“Inter-net协议版本4(TCP/IPv4)”→“属性”→“高级”选项来配置,如图1-34、图1-35、图1-36所示。
图1-34 打开网络连接属性
图1-35 配置TCP/IPv4
图1-36 配置IP地址
3)在WINS选项卡的NetBIOS设置中禁用NetBIOS,如图1-37所示。
图1-37 在WINS选项卡的NetBIOS设置中禁用NetBIOS