Яка послідовність портів Windows RPC 135, 137, 139 (і новіших портів)? Що змінюється з портом 145?

Чи може хтось пояснити, коли і як часто використовується кожен з портів RPC Windows? "Основні", які я розумію, це:

Порт 135
Порт 137
Порт 139
Більш високі порти, які публікує "Каталог" Порта 135

Потім я почув, що Порт 145 увійшов у суміш, щоб "покращити справи" з NBT / TCP, але я не впевнений, як це відповідає послідовності клієнта Windows, який ініціює RPC-дію.

Хтось може допомогти мені виправити своє розуміння портів RPC раз і назавжди?

windows netbios rpc

— goodguys_activate
джерело

Куди ви подивилися? У MS є стаття бази знань на support.microsoft.com/kb/832017

— Барт Сільверстрім

Ця стаття повинна детальніше, ніж ви коли-небудь хотіли, про те, які сервери Windows використовують для мережевих портів.

— Барт Сільверстрім

@BartSilverstrim Я б хотів, щоб я міг прокоментувати відповідь :) PS - чи знаєте ви, як я можу перерахувати все прослуховування в порту каталогу (я думаю, що 135?)

— goodguys_activate

Чи говорить вам netstat, що ви шукаєте в Windows?

— Барт Сільверстрім

Ця стаття TechNet є фантастичною , я рекомендую вам зробити закладку. У ньому перераховані порти, які використовуються різними службами Windows, і досить ретельно.

У версіях Windows раніше Vista / 2008 NetBIOS використовувався для служби "RPC Locator", яка керувала базою даних RPC імен. Але в Vista / 2008 і далі служба RPC Locator більше не потрібна і не корисна. Це вестигіально. З цього моменту я буду лише говорити про MSRPC на Vista / 2008 +.

Порти 137, 138 і 139 призначені для NetBIOS, і не потрібні для функціональності MSRPC.

Усі порти, які використовує RPC, є такими:

RPC EPM                  TCP 135 
RPC over HTTPS           TCP 593 
SMB (for named pipes)    TCP 445
Ephemeral Range, Dynamic *

Інші додатки, такі як шлюз віддаленого робочого столу, використовуватимуть RPC через проксі-сервер HTTP та використовуватимуть порт 443 тощо.

Хоча стаття, до якої я посилався вище, перераховує порти NetBIOS, вони є застарілими і не потрібні для RPC, припускаючи, що ви можете отримати дозвіл імен за допомогою інших засобів (DNS,) та припускаючи, що сама віддалена служба не залежить від NetBIOS.

Порт 145 - фальшивий. Він не використовується ні для чого. Де б ви не чули, що це "покращує справи", це неправильно.

Базовий MSRPC використовує порти 135 та динамічний діапазон з великим числом. Динамічний діапазон з великим номером - це порти 1024-5000 для XP / 2003 і нижче, а 49152-65535 для Vista / 2008 і вище. Ви також можете викликати ефемерні порти цього діапазону.

За бажанням можна визначити спеціальний діапазон портів:

reg add HKLM\SOFTWARE\Microsoft\Rpc\Internet /v Ports /t REG_MULTI_SZ /f /d 8000-9000
reg add HKLM\SOFTWARE\Microsoft\Rpc\Internet /v PortsInternetAvailable /t REG_SZ /f /d Y
reg add HKLM\SOFTWARE\Microsoft\Rpc\Internet /v UseInternetPorts /t REG_SZ /f /d Y

І / Або

netsh int ipv4 set dynamicport tcp start=8000 num=1001
netsh int ipv4 set dynamicport udp start=8000 num=1001
netsh int ipv6 set dynamicport tcp start=8000 num=1001
netsh int ipv6 set dynamicport udp start=8000 num=1001

TCP-порт 135 - це відображувач кінцевих точок MSRPC. Ви можете прив’язати до цього порту на віддаленому комп’ютері анонімно та або перелічити всі послуги (кінцеві точки), доступні на цьому комп’ютері, або ви можете запитати, на якому порту працює певна служба, якщо ви знаєте, що шукаєте.

Дозвольте показати вам приклад запиту на RPC Enpoint Mapper:

C:\>PortQry.exe -n 192.168.1.1 -e 135

Querying target system called:

 192.168.1.1

Attempting to resolve IP address to a name...    

IP address resolved to host01.labs.myotherpcisacloud.com

querying...

TCP port 135 (epmap service): LISTENING

Using ephemeral source port
Querying Endpoint Mapper Database...
Server's response:

UUID: d95afe70-a6d5-4259-822e-2c84da1ddb0d
ncacn_ip_tcp:192.168.1.1[49152]

UUID: 12345778-1234-abcd-ef00-0123456789ac
ncacn_np:192.168.1.1[\\pipe\\lsass]

UUID: 12345778-1234-abcd-ef00-0123456789ac
ncacn_ip_tcp:192.168.1.1[49159]

UUID: 6b5bdd1e-528c-422c-af8c-a4079be4fe48 Remote Fw APIs
ncacn_ip_tcp:192.168.1.1[49158]

UUID: 367abb81-9844-35f1-ad32-98f038001003
ncacn_ip_tcp:192.168.1.1[49157]

UUID: 12345678-1234-abcd-ef00-0123456789ab
ncacn_ip_tcp:192.168.1.1[49155]

UUID: 0b6edbfa-4a24-4fc6-8a23-942b1eca65d1
ncacn_ip_tcp:192.168.1.1[49155]

UUID: ae33069b-a2a8-46ee-a235-ddfd339be281
ncacn_ip_tcp:192.168.1.1[49155]

UUID: 4a452661-8290-4b36-8fbe-7f4093a94978
ncacn_ip_tcp:192.168.1.1[49155]

UUID: 76f03f96-cdfd-44fc-a22c-64950a001209
ncacn_ip_tcp:192.168.1.1[49155]

UUID: 7f1343fe-50a9-4927-a778-0c5859517bac DfsDs service
ncacn_np:192.168.1.1[\\PIPE\\wkssvc]

UUID: 3473dd4d-2e88-4006-9cba-22570909dd10 WinHttp Auto-Proxy Service
ncacn_np:192.168.1.1[\\PIPE\\W32TIME_ALT]

UUID: 1ff70682-0a51-30e8-076d-740be8cee98b
ncacn_np:192.168.1.1[\\PIPE\\atsvc]

...

Total endpoints found: 50

==== End of RPC Endpoint Mapper query response ====

Ви помітите, що якщо ви виконаєте цей запит на локальному комп'ютері, ви знайдете набагато більше кінцевих точок, ніж якщо будете виконувати запит із віддаленого комп'ютера. Це тому, що багато кінцевих точок RPC не піддаються віддаленій дії і використовуються лише для локального міжпроцесорного зв'язку.

Подальше читання: http://technet.microsoft.com/en-us/library/cc738291(v=WS.10).aspx

А також: https://www.myotherpcisacloud.com/post/2014/02/16/verifying-rpc-network-connectivity-like-a-boss.aspx

— Райан Різ
джерело