РАСКЛАДКА ПРОТОКОЛА NetBIOS

NetBIOS по полочкам

Спецвыпуск Xakep, номер #023, стр. 023-038-4

Но в первозданном NetBIOS механизм квитирования есть и работает! Квитирование - подтверждение полученной информации специальными ответными пакетами (квитанциями).

На рисунках ты можешь поглядеть общий формат кадра сессий NetBIOS, чтобы узнать подробнее - читай доки. В случае NetBIOS over TCP/IP сессии устанавливаются через 139-й порт TCP/IP.

Через этот же порт работает излюбленный хакерами WinNuke, эта злобная программа передает в порт срочную служебную информацию (Out Of Band) TCP/IP. NetBIOS путается и виснет. Хотя это, скорее всего, не единственный способ завалить NetBIOS, ведь даже в спецификациях нетбиоса указаны буферы, критичные к переполнению. С незапамятных времен известны случаи зависания нетбиосовского драйвера, который валит за собой всю систему. С выхода Windows 3.11 прошло столько лет, а нюк все еще работает даже на самых современных версиях виндов в той или иной модификации. Поэтому надежнее закрыть вообще все порты NetBIOS, смотрящие в глобальную сеть.

Правда, некоторые фирмы не могут это сделать, поскольку используют NetBIOS и Интернет для объединения офисов в разных концах страны в единую корпоративную сеть через Интернет.

ИСТОРИЯ ПЯТАЯ (ПАТРИОТИЧЕСКАЯ)

В один конец

NetBIOS - очень продвинутый протокол. У него даже есть тип сообщений, которые не требуют подтверждения. Такие сообщения часто используются для того, чтобы быстро передавать какую-нибудь не очень критичную к потере информацию. Сообщения, не требующие подтверждения, называются дейтаграммами. Зачем же они нужны? Допустим, ты отправляешь широковещательный запрос, который получат все станции, и если каждая начнет высылать тебе подтверждение, то сеть перегрузится.

Запросы в NetBIOS бывают трех видов. Direct Unique - это персональный запрос только к одной станции. Broadcast - широковещательный запрос ко всем станциям. Direct Group - запрос к станциям с одним групповым именем. Дейтаграммы работают по 138-му порту.

Дейтаграммы применяются, когда мы не боимся потерять часть информации, но когда для нас критичны задержки и размер отправляемого пакета. Не нужно забывать, что все навороты типа установления соединения увеличивают задержки и размер передаваемой инфы. Поэтому реальное видео и аудио через Интернет передается дейтаграммами. Если ты потеряешь пару кадров или пару звуков - это не критично. Но если изображение или звук будут заедать - это не годится. Получается, что NetBIOS способен передавать изображение и звук в небольших сетях, по нему даже можно устраивать мультимедиа конференции.

Перед посылкой дейтаграмм NetBIOS позволяет проверить способности источника принимать этот вид пакетов. Для этого источнику отсылается пробная дейтаграмма, в ответ должно придти либо сообщение об ошибке, либо подтверждение нормальной работы дейтаграммного сервиса.