Warum sucht ein Windows-Computer nach Port 137?

922
WoJ

Ich habe einige Honeypots, die in einem internen Netzwerk verstreut sind, und sehe gelegentlich Zufallscomputer, die versuchen, eine Verbindung zu Port 137 herzustellen . Dies ist eine (alte) Windows-Auflösungslösung.

Bei den Computern, die eine Verbindung herstellen, handelt es sich um Windows 7 oder 10, wobei NetBIOS über TCP aus (gültigen) Gründen aktiviert ist.

Meine Frage ist, warum sie versuchen, eine Verbindung zu nicht verwandten IPs (den IPs meiner Honeypots) herzustellen, da sie keine direkten Gründe haben, sich mit ihnen in Verbindung zu setzen (sie sitzen nur in einer Ecke und warten auf Verbindungen).

Gibt es einen in NetBIOS integrierten Scanmechanismus? Dies ist kein IP-Broadcast, da er vom Honeypot verworfen wird, wodurch nur beabsichtigte Verbindungen übrig bleiben.

0
Der Port 137 ist ein UDP-Port, der von NetBios verwendet wird. Laufen Ihre Honeypots WINS? Ja, es gibt Scan- oder Abfragemechanismen. Weitere Informationen erhalten Sie unter https://technet.microsoft.com/en-us/library/cc958811.aspx und https://www.techrepublic.com/article/how-netbios-name-resolution-really-works/ Epoxy vor 6 Jahren 0
@ Epoxy: danke für die artikel, ich habe auch den standard gelesen. Wo sehen Sie das Scannen? Ich sehe Broadcast (was in meinem Fall sowieso verworfen wird, da es keine gerichtete Verbindung ist), aber keine aktive Suche über einen Scan. WoJ vor 6 Jahren 0
Du bist immer willkommen! Nun, dieser Port 137 dient nur zur Unterstützung der Namensregistrierung und zum Auffinden von Namen während der NBT. Dies ist eigentlich kein Sitzungsmodus. Dies ist einfach ein Weg, um Namen zu finden (Name suchen). Der Port 137 kann von TCP oder UDP verwendet werden. In diesem Fall wird der "nbname" für den Namensdienst verwendet, Name-Broadcasts zum Erstellen von Suchlisten. In diesem Fall werden 3 Ports verwendet (NBT), und die anderen Ports 138, 139 haben andere Verantwortlichkeiten. NBT hängt auch vom DNS ab. SMB hängt auch von NetBIOS ab, sofern es nicht direkt gehostet wird. Verwenden Sie in Ihrem Fall Wireshark, um festzustellen, welche Art von Abfrage sie empfängt. Epoxy vor 6 Jahren 0
@Epoxy: Dies erklärt immer noch nicht, warum eine Verbindung zu meinem Gerät absichtlich hergestellt wurde (was nur eine IP ist, ohne Funktionen und nirgendwo angekündigt wird). WoJ vor 6 Jahren 0
Ich denke, dass wir dies mit einem Netzwerk-Paketanalysator herausfinden können. In diesem Fall habe ich immer noch Zweifel. :) Epoxy vor 6 Jahren 0

0 Antworten auf die Frage

Verwandte Probleme