SMB 中继
SMB 中继和 SMB 中继 2 是能够对远程计算机执行攻击的特殊程序。 它们利用了 NetBIOS 中的服务器消息块 (Server Message Block) 文件共享协议。 用户在 LAN 内共享任何文件夹或目录将很有可能使用此文件共享协议。
在本地网络通信中,密码哈希可以交换。
SMB 中继在 UDP 端口 139 和 445 上接收连接、中继客户端和服务器交换的数据包并修改它们。 连接并验证后,将断开客户端连接。 SMB 中继会创建新虚拟 IP 地址。 可以使用命令“net use \\192.168.1.1”访问新地址。 该地址可供任何 Windows 网络功能使用。 SMB 中继可中继除协商和验证以外的 SMB 协议通信。 只要连接了客户端计算机,远程攻击者就可以使用 IP 地址。
SMB 中继 2 与 SMB 中继的工作原理相同,区别在于前者使用 NetBIOS 名而不是 IP 地址。 它们两者都可以发起“中间人”攻击。 此类攻击允许远程攻击者在不被注意的情况下读取、插入和修改两个通信端点之间交换的消息。 受到此类攻击的计算机常常停止响应或意外重新启动。
要避免攻击,建议您使用验证密码或密钥。