Port 445 là gì ? Trên các hệ thống Windows Server 2003/Windows 2000/XP có một số cổng mới được sử dụng, như cổng (port) 445 TCP dùng cho dịch vụ SMB.
=> Xem thêm Uml là gì? Giới Thiệu về ngôn ngữ UML và các biểu đồ của nó
Port 445 là gì
Trên hệ thống của hệ điều hành Windows 2000/server 2003/XP sẽ có vài cổng mới được sử dụng, trong đó cổng được dùng cho dịch vụ Server Message Block(SMB) truyền qua TCP chính là cổng 445 TCP. SMB được sử dụng với mục chính là chia sẻ các file trên hệ thống.
Trên các hệ thống của hệ điều hành Windows cũ như Win NT thì nó sẽ sử dụng các port thông dụng như 139 (TCP), 138 (UDP), 137 và vận hành cùng với NetBIOS over TCP/IP (NetBT) . Còn trên hệ thống của Win 2003/XP/2000 thì Microsoft hỗ trợ khả năng vận hành trực tiếp SMB thông qua port 445(TCP/IP) mà không cần phải qua NetBT. NetBIOS cho phép thực hiện đơn giản việc chia sẻ file qua mạng nội bộ (LAN), tuy nhiên đó lại là mối nguy hiểm tiềm tàng khi hệ thống kết nối WAN hay Internet. Tất cả thông tin về mạng (như tên miền) và tài khoản truy cập mạng nội bộ của bạn đều có thể bị thu thập.
Bảo mật cổng 445 trong Windows 2000/XP/2003
Cấm NetBT
Trên Windows 2000/XP/2003 tiến hành cấm NetBT như sau:
- Nhấn phải chuột vào biểu tượng My Network Places tại Desktop sau đó chọn Properties; Tiếp tục nhấn phải vào Network Card, chọn Properties;
- Kế tiếp, nhấn vào Internet Protocol (TCP/IP) và Properties;
- Nhấn chọn tiếp Advanced và chọn tab WINS:
- Tại đây bạn sẽ chọn tùy chọn Disable NetBIOS over TCP/IP, các thay đổi có hiệu lực ngay mà không cần bạn phải restart lại hệ thống của mình.
** Lưu ý: các máy tính đang chạy hệ điều hành windows cũ (trước Win2000) sẽ không thể tìm kiếm, định vị hay thiết lập kết nối chia sẻ các file và in ấn đến các máy tính Win2000/XP/2003 khi NetBT bị cấm.
Cấm cổng 445
Port 445 này có tần suất bị tấn công cao nhất (Theo như báo cáo của SANS.Org), để cấm Port 445 các bạn hãy thực hiện theo các bước sau:
- Bước 1: Mở trình Registry Editor: vào Run, gõ regedit
- Bước 2: Tìm đến khóa HKLM\System\CurrentControlSet\Services\NetBT\Parameters
- Bước 3: Trong cửa sổ bên phải, chọn TransportBindName
- Bước 4: Nhấn đúp chuột (hay gõ Enter) và xóa giá trị của biến này (khung Value data được để trống)
- Bước 5: Đóng Registry editor
- Bước 6: Khởi động lại máy tính.
Sau khi bạn đã khởi động lại hệ thống và tiến hành đăng nhập lại máy tính, hãy vào Run, gõ lệnh "cmd", và nhập lệnh "netstat -an" vào==> Bạn sẽ nhận thấy máy tính của mình không còn "lắng nghe" ở cổng 445 nữa.
Khi nào thì Win 2003/XP/2000 sẽ dùng port 139 và 445
Để có thể giúp các bạn dễ dàng hiểu được điều này, chúng tôi sẽ dùng thuật ngữ "client" để chỉ các máy tính truy xuất các file được chia sẻ tại server(máy tính có nguồn tài nguyên) và các nguồn tài nguyên mạng như ổ đĩa.
Nếu bật server có NetBT nó sẽ lắng nghe trên 445 (TCP)/port 139/138 (UDP)/port 137, nhưng nếu bị cma61, server chỉ có thể lắng nghe duy nhất 1 cổng port 445 (TCP) mà thôi.
Nếu bật client có NetBT, nó sẽ thường xuyên thử kết nối đến server tại cổng port 445 và port 139. Nếu nhận lại được phản hồi từ port 445, nó sẽ gởi ngay phản hồi đến port 139 và tiếp tục phiên giao tiếp SMB chỉ với cổng port 445. Còn nếu không nó sẽ chỉ giao tiếp SMB với port 139 nếu không nhận được phản hồi từ 445. Còn nếu nó không nhận được bất kỳ phản hồi nào từ 2 port 445 và 139 thì kết nối sẽ hoàn toàn kết thúc.
Khi client có NetBT bị cấm, nó sẽ luôn kết nối đến server tại port 445, còn nếu server trả lời trên port 445, kết nối sẽ được thiết lập và kết nối kết thúc nếu không nhận được trả lời. Hy vọng các bạn đã hiểu được Port 445 là gì rồi phải không, cám ơn các bạn đã theo dõi bài viết của chúng tôi nhé.