Foros del Web » Administración de Sistemas » Seguridad y redes »

NetBios 137

Estas en el tema de NetBios 137 en el foro de Seguridad y redes en Foros del Web. Realizando un control de tráfico, de nuevo observo que los Win establecen una conexion UDP al 137 de máquinas externas... Alguién sabe el pq de ...
  #1 (permalink)  
Antiguo 14/03/2003, 11:25
Avatar de Necros  
Fecha de Ingreso: enero-2002
Ubicación: Catalunya
Mensajes: 431
Antigüedad: 22 años, 10 meses
Puntos: 0
NetBios 137

Realizando un control de tráfico, de nuevo observo que los Win establecen una conexion UDP al 137 de máquinas externas...

Alguién sabe el pq de este uso sin preaviso por parte del sistema ???

De igual forma observo que el listado de las maquina a la que se conecta es variable, ¿de donde pilla el listado de la máquina netbios?

Si no fuera pq es WIN lo asociaría con un troyano.

Byez
__________________
By NeCrOS
FrEe WoRlD is FrEe CoDE
http://www.NeCrOS.com
  #2 (permalink)  
Antiguo 15/03/2003, 09:32
Avatar de Giondo  
Fecha de Ingreso: diciembre-2002
Ubicación: en algun lugar del mundo
Mensajes: 565
Antigüedad: 22 años
Puntos: 0
http://www.iana.org/assignments/port-numbers

netbios-ns 137/tcp NETBIOS Name Service
netbios-ns 137/udp NETBIOS Name Service
netbios-dgm 138/tcp NETBIOS Datagram Service
netbios-dgm 138/udp NETBIOS Datagram Service
netbios-ssn 139/tcp NETBIOS Session Service
netbios-ssn 139/udp NETBIOS Session Service

se entiende.. lo que hace es resolver nombres en la red .

salu2
__________________
Welcome to The Human Race
  #3 (permalink)  
Antiguo 15/03/2003, 11:37
Avatar de Necros  
Fecha de Ingreso: enero-2002
Ubicación: Catalunya
Mensajes: 431
Antigüedad: 22 años, 10 meses
Puntos: 0
Eso se entiende, pero si tu cuando configuras la interficie le indicas que utilizas un server de DNS especificado, no entiendo pq Win pasa del tema y sigue realizando consultas externas por socket 137, lo que permite tener un Bug de seguridad q te cagas...

Lo he comprovado con Win 2000, Xp ....


Y el listado de puertos es muy bonito , pero tienes q tener en cuenta q si ves un socket en uso como este no significa forzosamente q tengas el NetBios, sin mas no se que troyano utilizaba el 137 / 138 /139 para proporcionar al atacante todo lo que tu tecleabas en tu Station....


Gracias.
__________________
By NeCrOS
FrEe WoRlD is FrEe CoDE
http://www.NeCrOS.com
  #4 (permalink)  
Antiguo 16/03/2003, 07:27
Avatar de Energy  
Fecha de Ingreso: abril-2002
Ubicación: Juangriego, Margarita
Mensajes: 468
Antigüedad: 22 años, 8 meses
Puntos: 0
el netbios es un puerto que usa windows para proporcionar informacion de red con respecto a otras maquinas , si usas una conexion ethernet , o estas conectadoa una red y ussa el sistema para compartir archivos e impresoras de microsoft esnormal que este abierto , no te sabria decir pero quiza desactivando compartir impresoras y archivos deje de estar abierto , no te se decir a ciencia cierta , pero lo mas seguro ese sea el motivo por el cual este abierto


Saludos ;)
__________________
Gabriel Ferragut
Energy Systems
Linux Registered User Nº #292911
  #5 (permalink)  
Antiguo 16/03/2003, 21:49
Avatar de Giondo  
Fecha de Ingreso: diciembre-2002
Ubicación: en algun lugar del mundo
Mensajes: 565
Antigüedad: 22 años
Puntos: 0
ajap. si desactivas el compartir archivos e impresoras te cierra los puertos.
ahora todas las consultas que deberia hacer el netbios son para las redes locales .. no deberia pasar a alguna ip externa..
por lo que vos decis estan pasando paquetes a una ip externa...

o sea el puert 137 lo usa para resolver los nombres de las pcs dentro de la LAN por eso por mas que uses un DNS ese puerto te va a seguir abierto.

seria bueno que postees lo que capturastes para ver como esta trabajando..
igual te recomendaria que mires de que pc o a cual pc estan pasando paquetes udp por ese puerto desde la ip externa
y como decis suelen haber bastantes programitas que habren esos puertos.

salu2
__________________
Welcome to The Human Race
  #6 (permalink)  
Antiguo 17/03/2003, 02:07
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 2 meses
Puntos: 14
Windows utiliza este puerto para su servicio "Compartir impresoras y archivos para redes Microsoft" a través de NetBEUI (una implementación propia de NETBIOS), al traducir una dirección IP en un "nombre de Windows".

Estas conexiones UDP se pueden considerar en principio tráfico normal.

De cualquier manera el hecho de deshabilitar NetBios dentro de una red trae consecuencias que sobra comentar. Dehabilitar Netbios si es recomendable en equpios ( doble intreface de red ) con una de las interfaces apuntando hacia la red externa ( internet ).
__________________
Un saludo,

Alfon
http://seguridadyredes.nireblog.com
  #7 (permalink)  
Antiguo 17/03/2003, 12:04
Avatar de Necros  
Fecha de Ingreso: enero-2002
Ubicación: Catalunya
Mensajes: 431
Antigüedad: 22 años, 10 meses
Puntos: 0
Osea el problema no esta en que los utilice en la Intranet, si no que veo que intenta resolver conectandose a máquinas de ip's como 80.38.X.X o 80.59.X.X , y eso es lo que no me acaba de gustar...

Mi primera impresion es que no fuera un troyano, pero el único que sigue dicho comportamiento utiliza además el 138/139 ...

Intentaré pasaros un volcado de tráfico...

Gracias por vuestro interés.
__________________
By NeCrOS
FrEe WoRlD is FrEe CoDE
http://www.NeCrOS.com
  #8 (permalink)  
Antiguo 17/03/2003, 19:49
Avatar de Giondo  
Fecha de Ingreso: diciembre-2002
Ubicación: en algun lugar del mundo
Mensajes: 565
Antigüedad: 22 años
Puntos: 0
seguramente tenes habilitado el netbios sobre la interfaz de red con salida a internet y por eso tenes ese tipo de trafico.. chequealo

salu2
__________________
Welcome to The Human Race
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 21:04.