從網(wǎng)絡(luò)級別阻止訪問

如果你不能對上述注冊表進行修改，那么你可以通過windows防火墻或者網(wǎng)絡(luò)防火墻阻止空會話攻擊，這可以通過組織與NetBIOS和SMB TCP/IP有關(guān)的端口來實現(xiàn)，這些端口包括：

· TCP Port 135

· UDP Port 137

· UDP Port 138

· TCP Port 139

· TCP和 UDP Port 445

這些端口用于windows的各種網(wǎng)絡(luò)功能，包括文件共享，網(wǎng)絡(luò)打印功能、集群和遠程管理等。話雖如此，在關(guān)閉這些端口之前應(yīng)該進行全面的測試，以確保系統(tǒng)正常運行。

使用IDS識別空會話

如果上述注冊表修改或者防火墻政策破壞了網(wǎng)絡(luò)應(yīng)用程序的功能性，那么你必須將防御工作調(diào)整為被動方式，而不是主動方式。除了阻止空會話枚舉之外，最后的希望就是在發(fā)生枚舉的時候我們能夠阻止它。

如果你正在使用Snort，也就是現(xiàn)在最常用的IDS，那么進行以下操作就可以檢測所有空會話枚舉：

alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg:”NETBIOS NT NULL session”; flow:to_server.establshed;

content: ‘|00 00 00 00 57 00 69 00 6E 00 64 00 6F 00 77 00 73 00 20 00 4E 00 54 00 20 00 31 00 33 00 38 00 31|’; classtype:attempted-recon;)

這不能夠阻止空會話枚舉的發(fā)生，但是會提醒你枚舉的發(fā)生，從而采取適當(dāng)行動。

總結(jié)

空會話攻擊概念并不是新的攻擊方式，但是卻常常被忘記和誤解。這種方式對于攻擊者而言，仍然是非常可行的攻擊策略，了解空會話攻擊的方式是系統(tǒng)管理員的必修課。