Tips：  HOSTS：提供主机名到IP地址的解析       LMHOSTS：提供NetBIOS名到IP地址的解析       NETWORKS：提供网络名到网络ID的解析       PROTOCOL：提供协议名到协议RFC编码的解析

　　SERVICES：提供服务名到协议名及端口号的解析

　　当安装TCP/IP协议时，NetBIOS 也被Windows作为默认设置载入，我们的计算机也具有了NetBIOS本身的开放性。某些别有用心的人就利用这个功能来攻击服务器，使管理员不能放心使用文件和打印机共享。

　　利用NETBIOS漏洞进行攻击的端口分别为：

　　135端口开放实际上是一个WINNT漏洞，开放的135的端口情况容易引起自外部的“Snort”攻击！！！

　　对于135端口开放的问题，可以在你的防火墙上，增加一条规则：拒绝所有的这类进入的UDP包，目的端口是135，源端口是7，19，或者135，这样可以保护内部的系统，防止来自外部的攻击。大多数防火墙或者包过滤器已 经设置了很多严格的规则，已覆盖了这条过滤规则，但仍需注意：有一些NT的应用程序，它们依靠UDP135端口进行合法的通讯，而打开你135的端口与 NT的RPC服务进行通讯。如果真是这样，你一定要在那些原始地址的系统上(需要135口通讯)，实施上述的规则，指定来自这些系统的通讯可以通过防火墙，或者，可以被攻击检测系统所忽略，以便维持那些应用程序的正常连接。为了保护你的信息安全，强烈建议你安装微软的最新补丁包。

　　上面我们说到Netbios(NETwork Basic Input/Output System)网络基本输入输出系统。是1983年IBM开发的一套网络标准，微软在这基础上继续开发。微软的客户机/服务器网络系统都是基于NetBIOS的。在利用Windows NT4.0 构建的网络系统中，对每一台主机的唯一标识信息是它的NetBIOS名。系统可以利用WINS服务、广播及Lmhost文件等多种模式通过139端口将NetBIOS名解析为相应IP地址，从而实现信息通讯。在这样的网络系统内部，利用NetBIOS名实现信息通讯是非常方便、快捷的。但是在Internet上，它就和一个后门程序差不多了。因此，我们很有必要堵上这个可怕的漏洞。

　　漏洞攻击

　　1.利用软件查找共享资源

　　利用NetBrute Scanner 软件扫描一段IP地址(如10.0.13.1~10.0.13.254)内的共享资源，就会扫描出默认共享

　　2. 用PQwak破解共享密码

　　双击扫描到的共享文件夹，如果没有密码，便可直接打开。当然也可以在IE的地址栏直接输入扫描到的带上共享文件夹的IP地址，如“\10.0.13.191”(或带C$，D$等查看默认共享)。如果设有共享密码，会要求输入共享用户名和密码，这时可利用破解网络邻居密码的工具软件，如PQwak，破解后即可进入相应文件夹。

　　关闭漏洞

　　1. 解开文件和打印机共享绑定

　　鼠标右击桌面上[网络邻居]→[属性] →[本地连接] →[属性]，去掉“Microsoft网络的文件和打印机共享”前面的勾，解开文件和打印机共享绑定。这样就会禁止所有从139和445端口来的请求，别人也就看不到本机的共享了。

　　2. 利用TCP/IP筛选

　　鼠标右击桌面上[网络邻居] →[属性]→[本地连接] →[属性]，打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[选项]， 在列表中单击选中“TCP/IP筛选”选项。单击[属性]按钮，选择“只允许”，再单击[添加]按钮(如图2)，填入除了139和445之外要用到的端 口。这样别人使用扫描器对139和445两个端口进行扫描时，将不会有任何回应。

　　3. 使用IPSec安全策略

　　3.1 使用IPSec安全策略阻止对端口139和445的访问

　　选择[我的电脑]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略，在本地机器]，在这里定义一条阻止任何IP地址从TCP139和TCP445端口访问IP地址的IPSec安全策略规则，这样别人使用扫描器扫描时，本机的139和445两个端口也不会给予任何回应。

　　4. 停止Server服务

　　选择[我的电脑]→[控制面板]→[管理工具]→[服务]，进入服务管理器，关闭Server服务。这样虽然不会关闭端口，但可以中止本机对其他机器的服务，当然也就中止了对其他机器的共享。但是关闭了该服务会导致很多相关的服务无法启动，如机器中如果有IIS服务，则不能采用这种方法。

　　5. 使用防火墙防范攻击

　　在防火墙中也可以设置阻止其他机器使用本机共享。如在“天网个人防火墙” 中，选择一条空规则，设置数据包方向为“接收”，对方IP地址选“任何地址”，协议设定为“TCP”，本地端口设置为“139到139”，对方端口设置为 “0到0”，设置标志位为“SYN”，动作设置为“拦截”，最后单击[确定]按钮，并在“自定义IP规则”列表中勾选此规则即可启动拦截139端口攻击 了。

　　防范方法

　　在windows9x下如果你是个拨号用户。完全不需要登陆到nt局域网络环境的话。只需要在控制面板→网络→删除microsoft网络用户，使用microsoft友好登陆就可以了。但是如果你需要登陆到nt网络的话。那这一项就不能去处。因为nt网里需要使用netbios。

　　在windowsNT下你可以取消netbios与TCP/IP协议的绑定。控制面板→网络→Netbios接口→WINS客户(tcp/ip)→禁用。确定。重启。这样nt的计算机名和工作组名也隐藏了，不过会造成基于netbios的一些命令无法使用。如net等。

　　在windowsNT下你可以选中网络邻居→右键→本地连接→INTERNET协议(TCP/IP)→属性→高级→选项→TCP/IP筛选→在“只允许”中填入除了137，138，139只外的端口。如果你在局域网中，会影响局域网的使用

　　在windowsXP下你可以在控制面板上 点击管理工具-本地安全策略，右击”IP安全策略，在本地计算机”选择”管理IP筛选器表和筛选器操作”，点添加，在对话框里填，随便写.只要你记得住. 最好还是写”禁用135/139端口”比较看的懂.点右边的添加->下一步->源地址为”任何地址”->目的地址”我的地 址”->协仪为TCP->在到此端口里填135或139就可以.

　　还有一个办法就是TCP/IP协议里禁用NETBIOS.