從網(wǎng)絡(luò)級(jí)別阻止訪問

如果你不能對(duì)上述注冊(cè)表進(jìn)行修改，那么你可以通過windows防火墻或者網(wǎng)絡(luò)防火墻阻止空會(huì)話攻擊，這可以通過組織與NetBIOS和SMB TCP/IP有關(guān)的端口來(lái)實(shí)現(xiàn)，這些端口包括：

· TCP Port 135

· UDP Port 137

· UDP Port 138

· TCP Port 139

· TCP和 UDP Port 445

這些端口用于windows的各種網(wǎng)絡(luò)功能，包括文件共享，網(wǎng)絡(luò)打印功能、集群和遠(yuǎn)程管理等。話雖如此，在關(guān)閉這些端口之前應(yīng)該進(jìn)行全面的測(cè)試，以確保系統(tǒng)正常運(yùn)行。

使用IDS識(shí)別空會(huì)話

如果上述注冊(cè)表修改或者防火墻政策破壞了網(wǎng)絡(luò)應(yīng)用程序的功能性，那么你必須將防御工作調(diào)整為被動(dòng)方式，而不是主動(dòng)方式。除了阻止空會(huì)話枚舉之外，最后的希望就是在發(fā)生枚舉的時(shí)候我們能夠阻止它。

如果你正在使用Snort，也就是現(xiàn)在最常用的IDS，那么進(jìn)行以下操作就可以檢測(cè)所有空會(huì)話枚舉：

alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg:”NETBIOS NT NULL session”; flow:to_server.establshed;

content: ‘|00 00 00 00 57 00 69 00 6E 00 64 00 6F 00 77 00 73 00 20 00 4E 00 54 00 20 00 31 00 33 00 38 00 31|’; classtype:attempted-recon;)

這不能夠阻止空會(huì)話枚舉的發(fā)生，但是會(huì)提醒你枚舉的發(fā)生，從而采取適當(dāng)行動(dòng)。

總結(jié)

空會(huì)話攻擊概念并不是新的攻擊方式，但是卻常常被忘記和誤解。這種方式對(duì)于攻擊者而言，仍然是非�？尚械墓�擊策略，了解空會(huì)話攻擊的方式是系統(tǒng)管理員的必修課。