2017年,WannaCry勒索病毒中止了成千上万台服务器,445端口是常用的感染渠道。
TCP 445端口可以直接用TCP/IP访问网络,不需要使用NetBIOS层。这项服务从Windows 2000和Windows XP开始,在Windows中使用。在Windows NT/2K/XP中,SMB(服务器信息块)协议被用于文件共享等方面。它在Windows NT中运行于NetBT(NetBIOS over TCP/IP,端口137、139和138/UDP)之上。微软在Windows 2000/XP中启用了直接通过TCP/IP运行SMB的能力,而不需要额外的NetBT层,TCP端口445被用于此。
SMB(服务器信息块)也可以在数据通信协议中,用于经过验证的进程间通信。445端口被较新版本的SMB(Windows 2000之后)利用在TCP堆栈之上,允许SMB在互联网上互动。这也意味着你可以利用IP地址来使用类似SMB的文件共享。
WannaCry使用的是运行过期的SMB协议版本的传统版本的Windows机器。它是一种网络蠕虫,其传输机制使其能够自主地传播。
互联网上和微软公司有一些说法,认为445端口有严重的缺陷,因此容易受到黑客攻击。恶意软件也可以渗透进来,因此通常建议停用它。然而,它也会阻止你进行文件和打印机共享,因此你可能需要在内部防火墙中允许该端口使用此类共享服务。
检测你的电脑是否开启了445端口:
netstat -n -a | findstr "LISTENING" | findstr ":445"如不需要,用下列两种方法之一关闭它:
1、在防火墙上这样做:找到 "文件和打印机共享(SMB-In)"私有和域。双击它们,然后选择 "阻止连接"。
2、使用超管模式运行命令:
sc stop lanmanserver
Set-Service lanmanserver -StartupType Disabled 然后重启。