Trình tự các cổng Windows RPC 135, 137, 139 (và các cổng cao hơn) là gì? Có gì thay đổi với Cổng 145?

10

Ai đó có thể giải thích khi nào và tần suất mỗi cổng Windows RPC được sử dụng không? Những cái "cốt lõi" mà tôi hiểu là:

  • Cảng 135
  • Cảng 137
  • Cảng 139
  • Các cổng cao hơn được xuất bản bởi "danh mục" của Cổng 135

Sau đó, tôi nghe nói rằng Cổng 145 được đưa vào hỗn hợp để "làm cho mọi thứ tốt hơn" với NBT / TCP nhưng tôi không chắc cách này phù hợp với trình tự của máy khách Windows khởi tạo hành động RPC.

Ai đó có thể giúp tôi sửa chữa sự hiểu biết của tôi về các cổng RPC một lần và mãi mãi không?

windows  netbios  rpc 
goodguys_activate
nguồn
3
Bạn đã nhìn ở đâu? MS có một bài viết cơ sở kiến ​​thức tại support.microsoft.com/kb/832017
Bart Silverstrim
Bài viết đó sẽ đi sâu vào chi tiết hơn bạn từng muốn về những gì máy chủ Windows sử dụng cho các cổng mạng.
Bart Silverstrim
@BartSilverstrim Tôi ước tôi có thể đưa ra nhận xét một câu trả lời :) PS - bạn có biết làm thế nào tôi có thể liệt kê mọi thứ nghe trên cổng thư mục (tôi nghĩ 135?)
goodguys_activate
Netstat có cho bạn biết những gì bạn đang tìm kiếm trên Windows không?
Bart Silverstrim

Câu trả lời:

22

Bài viết này của TechNet thật tuyệt vời , tôi khuyên bạn nên đánh dấu nó. Nó liệt kê các cổng được sử dụng bởi các dịch vụ Windows khác nhau và khá kỹ lưỡng.

Trong các phiên bản Windows sớm hơn Vista / 2008, NetBIOS đã được sử dụng cho dịch vụ "RPC Locator", nơi quản lý cơ sở dữ liệu dịch vụ tên RPC. Nhưng trong Vista / 2008 và hơn thế nữa, dịch vụ Định vị RPC không còn cần thiết hoặc hữu ích. Đó là vết tích. Từ thời điểm này tôi sẽ chỉ nói về MSRPC trên Vista / 2008 +.

Các cổng 137, 138 và 139 dành cho NetBIOS và không bắt buộc đối với chức năng của MSRPC.

Tất cả các cổng được sử dụng bởi RPC như sau:

RPC EPM                  TCP 135 
RPC over HTTPS           TCP 593 
SMB (for named pipes)    TCP 445
Ephemeral Range, Dynamic *

Các ứng dụng khác, như Remote Desktop Gateway, sẽ sử dụng RPC qua HTTP proxy và sử dụng cổng 443, v.v.

Mặc dù bài viết tôi liên kết ở trên liệt kê các cổng NetBIOS, những cổng đó là di sản và không bắt buộc đối với RPC, giả sử bạn có thể có được độ phân giải tên thông qua các phương tiện khác (DNS,) và giả sử bản thân dịch vụ từ xa không phụ thuộc vào NetBIOS.

Cổng 145 là không có thật. Nó không được sử dụng cho bất cứ điều gì. Bất cứ nơi nào bạn nghe rằng nó "làm cho mọi thứ tốt hơn", là sai.

MSRPC cơ bản sử dụng các cổng 135 và dải động được đánh số cao. Dải động được đánh số cao đó là các cổng 1024-5000 trên XP / 2003 trở xuống và 49152-65535 trên Vista / 2008 trở lên. Bạn cũng có thể gọi cổng đó là cổng phù du.

Bạn có thể xác định một phạm vi cổng tùy chỉnh nếu bạn muốn, như vậy:

reg add HKLM\SOFTWARE\Microsoft\Rpc\Internet /v Ports /t REG_MULTI_SZ /f /d 8000-9000
reg add HKLM\SOFTWARE\Microsoft\Rpc\Internet /v PortsInternetAvailable /t REG_SZ /f /d Y
reg add HKLM\SOFTWARE\Microsoft\Rpc\Internet /v UseInternetPorts /t REG_SZ /f /d Y

Và / Hoặc

netsh int ipv4 set dynamicport tcp start=8000 num=1001
netsh int ipv4 set dynamicport udp start=8000 num=1001
netsh int ipv6 set dynamicport tcp start=8000 num=1001
netsh int ipv6 set dynamicport udp start=8000 num=1001

Cổng TCP 135 là bộ ánh xạ điểm cuối MSRPC. Bạn có thể liên kết với cổng đó trên một máy tính từ xa, ẩn danh và liệt kê tất cả các dịch vụ (điểm cuối) có sẵn trên máy tính đó hoặc bạn có thể yêu cầu cổng dịch vụ cụ thể nào đang chạy nếu bạn biết bạn đang tìm kiếm cái gì.

Để tôi chỉ cho bạn một ví dụ về truy vấn RPC Enpoint Mapper:

C:\>PortQry.exe -n 192.168.1.1 -e 135

Querying target system called:

 192.168.1.1

Attempting to resolve IP address to a name...    

IP address resolved to host01.labs.myotherpcisacloud.com

querying...

TCP port 135 (epmap service): LISTENING

Using ephemeral source port
Querying Endpoint Mapper Database...
Server's response:

UUID: d95afe70-a6d5-4259-822e-2c84da1ddb0d
ncacn_ip_tcp:192.168.1.1[49152]

UUID: 12345778-1234-abcd-ef00-0123456789ac
ncacn_np:192.168.1.1[\\pipe\\lsass]

UUID: 12345778-1234-abcd-ef00-0123456789ac
ncacn_ip_tcp:192.168.1.1[49159]

UUID: 6b5bdd1e-528c-422c-af8c-a4079be4fe48 Remote Fw APIs
ncacn_ip_tcp:192.168.1.1[49158]

UUID: 367abb81-9844-35f1-ad32-98f038001003
ncacn_ip_tcp:192.168.1.1[49157]

UUID: 12345678-1234-abcd-ef00-0123456789ab
ncacn_ip_tcp:192.168.1.1[49155]

UUID: 0b6edbfa-4a24-4fc6-8a23-942b1eca65d1
ncacn_ip_tcp:192.168.1.1[49155]

UUID: ae33069b-a2a8-46ee-a235-ddfd339be281
ncacn_ip_tcp:192.168.1.1[49155]

UUID: 4a452661-8290-4b36-8fbe-7f4093a94978
ncacn_ip_tcp:192.168.1.1[49155]

UUID: 76f03f96-cdfd-44fc-a22c-64950a001209
ncacn_ip_tcp:192.168.1.1[49155]

UUID: 7f1343fe-50a9-4927-a778-0c5859517bac DfsDs service
ncacn_np:192.168.1.1[\\PIPE\\wkssvc]

UUID: 3473dd4d-2e88-4006-9cba-22570909dd10 WinHttp Auto-Proxy Service
ncacn_np:192.168.1.1[\\PIPE\\W32TIME_ALT]

UUID: 1ff70682-0a51-30e8-076d-740be8cee98b
ncacn_np:192.168.1.1[\\PIPE\\atsvc]

...

Total endpoints found: 50

==== End of RPC Endpoint Mapper query response ====

Bạn sẽ nhận thấy rằng nếu bạn thực hiện truy vấn đó trên máy tính cục bộ, bạn sẽ tìm thấy nhiều điểm cuối hơn so với khi bạn thực hiện truy vấn từ một máy tính từ xa. Đó là bởi vì nhiều điểm cuối RPC không được hiển thị từ xa và chỉ được sử dụng cho giao tiếp giữa các quá trình cục bộ.

Đọc thêm: http://technet.microsoft.com/en-us/l Library / cc738291 (v = WS.10) .aspx

Và cũng: https://www.myotherpcisacloud.com/post/2014/02/16/verifying-rpc-network-connectivity-like-a-boss.aspx

Ryan Ries
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.