SMB là gì? Cách chặn tấn công qua SMB | BKHOST

Smb là gì?

Giao thức smb là gì – là một giao thức chia sẻ file rất phổ biến hiện nay khi người dùng sử dụng hệ điều hành windows. Khi share file trên nền windows 7/8/10 mặc định sẽ dùng smb.

Nhưng đối với nhiều người dùng thì việc nhắc đến smb vẫn còn tương đối xa lạ nên bkhost sẽ giới thiệu khái niệm về smb, các thông tin liên quan và giao thức smb là gì cho bạn đọc.

Năm 1984, ibm đã giới thiệu smb với thế giới trong việc phát hành tài liệu kỹ thuật của mình. Mục đích ban đầu của thiết kế này là triển khai thiết kế giao thức mạng cho phép đặt tên và duyệt. Mãi cho đến khi Microsoft mua lại smb sau đó, Microsoft mới biến smb thành giao thức chia sẻ tệp được sử dụng rộng rãi như ngày nay. Giao thức smb này tương thích với người dùng sử dụng hệ điều hành ibm hoặc microsoft.

Giờ đây, smb đã được đổi tên thành cifs, viết tắt của common internet file sharing (nghĩa đen là công cụ chia sẻ file phổ biến nhất trên Internet. cifs được thiết kế dựa trên sự đơn giản và các tiêu chuẩn khác), dễ sử dụng và có thể đáp ứng được nhu cầu của số lượng lớn người dùng cifs là phù hợp Trong mô hình tập trung 1 máy chủ, dữ liệu do người dùng xử lý được khuyến khích lưu trữ trên máy chủ.

Trong mô hình mạng osi, smb được gọi là giao thức lớp ứng dụng hoặc lớp trình bày, được truyền từ giao thức lớp thấp hơn. Giao thức truyền tải (l4) trước đây thường được smb sử dụng là netbeui, nhưng bây giờ là nbt hoặc netbt.

Tuy nhiên, giao thức smb có thể được sử dụng mà không cần sự hỗ trợ của các giao thức truyền tải khác bằng cách kết hợp smb với nbt, giao thức này phải được kết hợp để đảm bảo khả năng tương thích với nhiều phiên bản của các hệ điều hành windows khác nhau. Giao thức smb được sử dụng trên windows buộc phải sử dụng các cổng 137, 138 (udp), 139 (tcp) trên netbt để vận chuyển. Kể từ windows 2000/xp, microsoft đã cấp khả năng chạy smb trực tiếp trên tcp/ip, chỉ sử dụng cổng 445 (tcp).

Giao thức smb hoạt động như thế nào?

Trong phiên bản đầu tiên của windows, smb chạy trên nền tảng kiến ​​trúc mạng netbios. Từ phiên bản 2000 nhà sản xuất microsoft đã thay đổi smb để giúp nó chạy trên giao thức tcp, họ sử dụng cổng chuyên dụng, các phiên bản windows hiện tại khác vẫn sử dụng cổng smb.

Trong quá trình hoạt động, Microsoft luôn có rất nhiều cải tiến và cập nhật cho smb, giúp nâng cao không chỉ hiệu năng mà còn cả tính bảo mật của hệ thống. smb2, phiên bản mới nhất smb3 có những cải tiến rất mạnh mẽ và hiệu suất của môi trường ảo hóa cũng được cải thiện rất nhiều.

Vai trò của giao thức smb

Một điểm mạnh của smb mà nhiều công cụ khác không có là giao thức smb cũng hỗ trợ unicode. Ngoài ra, một số vị trí khác có thể kể đến như:

• Hỗ trợ tìm kiếm các máy chủ sử dụng các giao thức smb khác.
• Hỗ trợ in qua mạng.
• Cho phép bạn thực hiện xác thực thư mục và tệp được chia sẻ.
• Thông báo ngay lập tức về các thay đổi của tệp và thư mục.
• Xử lý các thuộc tính mở rộng của tệp.
• Hỗ trợ đàm phán và giải quyết vấn đề tương thích giữa các dạng smb khác nhau.
• Hỗ trợ Unicode.
• Cho phép bạn khóa ngay tệp đang được truy cập theo yêu cầu.

Khi sử dụng dịch vụ smb với giao thức xác thực ntlm, gói chia sẻ máy in và tệp cấp người dùng sẽ được cung cấp. Bất cứ khi nào người dùng đăng nhập để kết nối với tài nguyên được chia sẻ trên máy khác, windows sẽ tự động gửi thông tin đăng nhập của người dùng đó tới smb trước khi yêu cầu tên người dùng và mật khẩu.

Cách tắt smb

Vô hiệu hóa smb sẽ giúp bạn giữ an toàn cho thông tin của mình bằng cách ngăn chặn khả năng vi-rút xâm nhập vào máy tính của bạn. giao thức smb bị vi-rút tấn công vì đây là giao thức chia sẻ tệp nên nó phải có cổng mạng để kết nối với các hệ thống khác và các cổng mà smb sử dụng là cổng 139 và 445.

• Cập nhật windows: cập nhật windows ms17-010, kiểm tra cẩn thận các lỗ hổng bản vá cập nhật của trung tâm cập nhật, đặc biệt là lỗ hổng Eternalblue
• Tắt hỗ trợ cho smbv1: Để thực hiện việc này, hãy chạy lệnh sau trong cửa sổ nhắc lệnh:

dism /online /norestart /disable-feature/featurename:smb1protocol

• Chặn cổng 135 và 445: Virus thường xâm nhập vào hệ thống thông qua các cổng smb nên nếu không có nhu cầu sử dụng thì nên đóng các cổng này lại. Mở cửa sổ nhắc lệnh và chạy lệnh:

Tường lửa netsh advfirewall thêm quy tắc dir=in action=block protocol=tcp localport=135

name=”block_tcp-135″

Tường lửa netsh advfirewall thêm quy tắc dir=in action=block protocol=tcp localport=445 name=”block_tcp-445″

Lưu ý khi sử dụng giao thức smb

Tuy nhiên, nếu bạn muốn vẫn có thể sử dụng chức năng smb và bảo vệ tốt nhất hệ thống máy tính của mình khỏi nguy cơ bị tấn công, bạn có thể thực hiện các bước sau:

• Tường lửa hoạt động hoặc chế độ bảo vệ điểm cuối để bảo vệ các cổng smb. Cập nhật danh sách đen để ngăn chặn các kết nối từ các địa chỉ ip bị tấn công trước đó.
• Thiết lập VPN để giúp mã hóa và bảo mật lưu lượng truy cập web của bạn.
• Sử dụng vlan khác với lưu lượng truy cập mạng cục bộ.
• Sử dụng bộ lọc địa chỉ mac để phát hiện và chặn các địa chỉ không xác định nhưng muốn truy cập.

bkhost giới thiệu giao thức smb là gì thông qua các bài viết. Có thể nói smb đóng vai trò quan trọng giúp công việc của bạn trở nên dễ dàng hơn, đồng thời chúng ta cũng cần biết cách bảo vệ hệ thống khi có nguy cơ bị tấn công gián tiếp qua cổng smb và website thì sao bạn. nên biết chứng chỉ ssl là gì để bảo vệ trang web của bạn. Chúc may mắn!