SMB Relay

SMB Relay 及 SMB Relay 2 是可對遠端電腦發動攻擊的特殊程式。 這二種程式會利用伺服器訊息區檔案共用通訊協定 (上至 NetBIOS 層級)。 共用 LAN 中任何資料夾和目錄的使用者極可能使用此檔案共用通訊協定。

在區域網路通訊中,會交換密碼雜湊。

SMB Relay 會在 UDP 通訊埠 139 及 445 上接收連線,轉送用戶端和伺服器所交換的封包,再加以修改。 連線並驗證之後,即中斷用戶端的連線。 SMB Relay 會建立新的虛擬 IP 位址。 使用「net use \\192.168.1.1」命令即可存取新位址。 而任何 Windows 網路功能都可以使用該位址。 SMB Relay 會轉送 SMB 通訊協定通訊,但交涉及驗證除外。 用戶端電腦一經連線,遠端攻擊者即可使用該 IP 位址。

SMB Relay2 作用的原理與 SMB Relay 相同,只是它是使用 NetBIOS 名稱,而不是 IP 位址。 這兩種方式都會執行「中間人」(man-in-the-middle) 攻擊。 這些攻擊可讓遠端攻擊者讀取、插入及修改在二個通訊端點之間交換的郵件,而不被發現。 暴露在這種攻擊下的電腦常會停止回應或突然重新啟動。

為避免這些攻擊,建議您使用驗證密碼或金鑰。