NetBios 137

Realizando un control de tráfico, de nuevo observo que los Win establecen una conexion UDP al 137 de máquinas externas...

Alguién sabe el pq de este uso sin preaviso por parte del sistema ???

De igual forma observo que el listado de las maquina a la que se conecta es variable, ¿de donde pilla el listado de la máquina netbios?

Si no fuera pq es WIN lo asociaría con un troyano.

Byez

http://www.iana.org/assignments/port-numbers

netbios-ns 137/tcp NETBIOS Name Service
netbios-ns 137/udp NETBIOS Name Service
netbios-dgm 138/tcp NETBIOS Datagram Service
netbios-dgm 138/udp NETBIOS Datagram Service
netbios-ssn 139/tcp NETBIOS Session Service
netbios-ssn 139/udp NETBIOS Session Service

se entiende.. lo que hace es resolver nombres en la red .

salu2

Eso se entiende, pero si tu cuando configuras la interficie le indicas que utilizas un server de DNS especificado, no entiendo pq Win pasa del tema y sigue realizando consultas externas por socket 137, lo que permite tener un Bug de seguridad q te cagas...

Lo he comprovado con Win 2000, Xp ....


Y el listado de puertos es muy bonito , pero tienes q tener en cuenta q si ves un socket en uso como este no significa forzosamente q tengas el NetBios, sin mas no se que troyano utilizaba el 137 / 138 /139 para proporcionar al atacante todo lo que tu tecleabas en tu Station....


Gracias.

el netbios es un puerto que usa windows para proporcionar informacion de red con respecto a otras maquinas , si usas una conexion ethernet , o estas conectadoa una red y ussa el sistema para compartir archivos e impresoras de microsoft esnormal que este abierto , no te sabria decir pero quiza desactivando compartir impresoras y archivos deje de estar abierto , no te se decir a ciencia cierta , pero lo mas seguro ese sea el motivo por el cual este abierto


Saludos ;)

ajap. si desactivas el compartir archivos e impresoras te cierra los puertos.
ahora todas las consultas que deberia hacer el netbios son para las redes locales .. no deberia pasar a alguna ip externa..
por lo que vos decis estan pasando paquetes a una ip externa...

o sea el puert 137 lo usa para resolver los nombres de las pcs dentro de la LAN por eso por mas que uses un DNS ese puerto te va a seguir abierto.

seria bueno que postees lo que capturastes para ver como esta trabajando..
igual te recomendaria que mires de que pc o a cual pc estan pasando paquetes udp por ese puerto desde la ip externa
y como decis suelen haber bastantes programitas que habren esos puertos.

salu2

Windows utiliza este puerto para su servicio "Compartir impresoras y archivos para redes Microsoft" a través de NetBEUI (una implementación propia de NETBIOS), al traducir una dirección IP en un "nombre de Windows".

Estas conexiones UDP se pueden considerar en principio tráfico normal.

De cualquier manera el hecho de deshabilitar NetBios dentro de una red trae consecuencias que sobra comentar. Dehabilitar Netbios si es recomendable en equpios ( doble intreface de red ) con una de las interfaces apuntando hacia la red externa ( internet ).

Osea el problema no esta en que los utilice en la Intranet, si no que veo que intenta resolver conectandose a máquinas de ip's como 80.38.X.X o 80.59.X.X , y eso es lo que no me acaba de gustar...

Mi primera impresion es que no fuera un troyano, pero el único que sigue dicho comportamiento utiliza además el 138/139 ...

Intentaré pasaros un volcado de tráfico...

Gracias por vuestro interés.

seguramente tenes habilitado el netbios sobre la interfaz de red con salida a internet y por eso tenes ese tipo de trafico.. chequealo

salu2