NBNS协议.pdfVIP

NBNS 协议协议 协议协议 刚刚抓包发现了一个NBNS 协议的数据包，出于兴趣查了一下资料，原来是这 么一回事情。 NBNS=NetBIOSNameService，应该是在做命名查询。微软WINS 的实现就 是一个例子。例如开启了WINS 的主机就会发出目的地址地址.*.*.255 进行广 播，使用UDP 协议，连137 端口。 可是很多人，尤其是一些网管经常发现大量的这样报文，最终影响网络，甚至导 致交换机的瘫痪，这是为什么呢？ 一下就有一个例子： 最近也发现很多接入交换机出现类似的情况，因为接入交换机端口所属VLAN 在核心交换机上也有，最终竟然导致接入交换机和汇聚交换机、核心交换机间的 链路阻塞，使得网络变得基本不通 初步分析了一下捕获到的数据，基本认定原因在于好多个人计算机内包含恶意/ 流氓软件，会不停地访问、、 等域 名，同时，windows 的名字解析机制的顺序是： 1.hosts 2.netbios,wins,lmhosts 3.dns 所以，就会在网络中产生大量nbns 的数据包 解决办法 （准备测试）： 设置交换机的ACL 禁用源端口137、目的端口137，如果要用到wins 服务，另 当别论。 NetBIOS: 是NetworkBasicInput/OutputSystem 的简称，一般指用于局域网通信的一套 API 历史 NetBIOS 是一个网络协议，在上世纪80 年代早期由IBM 和Sytec 联合开发，用 于所谓的PCNetwork。虽然公开发表的文档很少，协议的API 却成为了事实上 的标准。 随着PCNetwork 被令牌环和以太网取代，NetBIOS 也应该退出历史舞台。但 是，由于很多软件使用了NetBIOS 的API，所以NetBIOS 被适配到了各种其他 的协议上，比如IPX/SPX 和TCP/IP 。 使用令牌环和以太网传输的NetBIOS 现在被称为NetBEUI。在Micrsoft Windows98 发布之前，一直广泛使用。在TCP/IP 上运行的NetBIOS 称为NBT， 由RFC1001 和RFC1002 定义。NBT 的基本思想是在基于IP 的络上模拟基于 NetBIOS 的PCNetwork。NBT 在Windows2000 中引入，是现在首选的NetBIOS 传输。 概述 不管使用哪一种传输方式，NetBIOS 提供三种不同的服务： 名字服务：名字登记和解析 会话服务：可靠的基于连接的通信 数据包服务：不可靠的无连接通信 当NetBIOS 是数据链路层协议时，可以通过5Ch 中断访问其功能。传递给这些 函数的消息使用NCB 格式。 NetBIOS 和NetBEUI 被设计为仅仅用于局域网，因此不支持路由，并且最多只 能处理72 个节点或者设备。NetBIOS 和NetBEUI 经常使用广播实现，尤其是 名字服务的相关操作。 NBT 使用一个或多个NBNS(NetBIOSNameServer(s))将名字服务扩展到多个 子网。NBNS 是动态DNS 的一种，Microsoft 的NBNS 实现称为WINS。另外， 为了将虚拟的NetBIOS 网络扩展到多个IP 子网，WINS 标准还引入了一个或者 多个NBDD(NetBIOSDatagramDistribution) 服务器。不幸的是，微软的NBDD 实现从来没有工作过。 NBNS(NetBIOSNameService) 名字服务。名字服务器。 类似于TCP/IP 协议中的DNS，它负责查找目标机器相应的节点地址 （TCP/IP 协议中为IP 地址），并赋予一个NetBIOS 名称。 NetBIOS 的缺陷危及到NBNS （NetBIOSNameService）。特定情况下，对于 NBNS （NetBIOSNameService）请求，目标系统内存的随机数据会做出响应。 这些数据可以是目标系统用户正在浏览的htm 页面数据的一部分，也可以是存 在于目标系统内存的数据。攻击者可以发送一个特定的NBNS 请求到目标系统， 然后可以获得可能包含目标系统内存的数据。如果用户涉及的安全级别很高，关 闭了 UDP137 端口，那么基于Internet 的攻击就不可能实现。 NetBIOSNameServer 最近也发现很多接入交换机出现类似的情况，因为接入交换机端口所属VLAN 在核心交换机上也有，最终竟然导致接入交