Apa urutan port Windows RPC 135, 137, 139 (dan port yang lebih tinggi)? Apa yang berubah dengan Port 145?

10

Adakah yang bisa menjelaskan kapan dan seberapa sering masing-masing port RPC Windows digunakan? Yang "inti" yang saya pahami adalah:

  • Port 135
  • Port 137
  • Port 139
  • Port yang lebih tinggi yang diterbitkan oleh "katalog" Port 135

Kemudian saya mendengar bahwa Port 145 masuk ke dalam campuran untuk "membuat segalanya lebih baik" dengan NBT / TCP tapi saya tidak yakin bagaimana ini cocok dengan urutan klien Windows yang memulai tindakan RPC.

Adakah yang bisa membantu saya memperbaiki pemahaman saya tentang port RPC sekali dan untuk semua?

goodguys_activate
sumber
3
Di mana Anda melihat? MS memiliki artikel basis pengetahuan di support.microsoft.com/kb/832017
Bart Silverstrim
Artikel itu harus masuk ke detail lebih dari yang Anda inginkan pada apa yang digunakan server Windows untuk port jaringan.
Bart Silverstrim
@ BartSilverstrim Saya berharap saya bisa membuat komentar sebagai jawaban :) PS - apakah Anda tahu bagaimana saya bisa menghitung semuanya mendengarkan pada port direktori (saya pikir 135?)
goodguys_activate
Apakah netstat memberi tahu Anda apa yang Anda cari di Windows?
Bart Silverstrim

Jawaban:

22

Artikel TechNet ini sangat fantastis , saya sarankan Anda menandainya. Ini daftar port yang digunakan oleh berbagai layanan Windows dan cukup menyeluruh.

Dalam versi Windows lebih awal dari Vista / 2008, NetBIOS digunakan untuk layanan "RPC Locator", yang mengelola basis data layanan nama RPC. Tetapi di Vista / 2008 dan selanjutnya, layanan Locator RPC tidak lagi diperlukan atau berguna. Ini asli. Dari titik ini saya hanya akan berbicara tentang MSRPC di Vista / 2008 +.

Port 137, 138 dan 139 adalah untuk NetBIOS, dan tidak diperlukan untuk fungsionalitas MSRPC.

Semua port yang digunakan oleh RPC adalah sebagai berikut:

RPC EPM                  TCP 135 
RPC over HTTPS           TCP 593 
SMB (for named pipes)    TCP 445
Ephemeral Range, Dynamic *

Aplikasi lain, seperti Remote Desktop Gateway, akan menggunakan RPC melalui proxy HTTP dan menggunakan port 443, dll.

Meskipun artikel yang saya tautkan di atas mencantumkan port NetBIOS, itu adalah warisan dan tidak diperlukan untuk RPC, dengan asumsi Anda dapat memperoleh resolusi nama melalui cara lain (DNS,) dan dengan asumsi layanan jarak jauh itu sendiri tidak bergantung pada NetBIOS.

Port 145 adalah palsu. Itu tidak digunakan untuk apa pun. Di mana pun Anda mendengar bahwa itu "membuat segalanya lebih baik," itu salah.

MSRPC dasar menggunakan port 135, dan rentang dinamis nomor tinggi. Kisaran dinamis nomor tinggi itu adalah port 1024-5000 pada XP / 2003 dan di bawahnya, dan 49152-65535 pada Vista / 2008 dan di atasnya. Anda juga dapat memanggil porta porta rentang sementara.

Anda dapat menentukan rentang port khusus jika diinginkan, seperti:

reg add HKLM\SOFTWARE\Microsoft\Rpc\Internet /v Ports /t REG_MULTI_SZ /f /d 8000-9000
reg add HKLM\SOFTWARE\Microsoft\Rpc\Internet /v PortsInternetAvailable /t REG_SZ /f /d Y
reg add HKLM\SOFTWARE\Microsoft\Rpc\Internet /v UseInternetPorts /t REG_SZ /f /d Y

Dan / atau

netsh int ipv4 set dynamicport tcp start=8000 num=1001
netsh int ipv4 set dynamicport udp start=8000 num=1001
netsh int ipv6 set dynamicport tcp start=8000 num=1001
netsh int ipv6 set dynamicport udp start=8000 num=1001

TCP port 135 adalah mapper endpoint MSRPC. Anda dapat mengikat port itu pada komputer jarak jauh, secara anonim, dan menghitung semua layanan (titik akhir) yang tersedia di komputer itu, atau Anda dapat meminta port apa yang menjalankan layanan tertentu jika Anda tahu apa yang Anda cari.

Izinkan saya menunjukkan kepada Anda contoh meminta RPC Enpoint Mapper:

C:\>PortQry.exe -n 192.168.1.1 -e 135

Querying target system called:

 192.168.1.1

Attempting to resolve IP address to a name...    

IP address resolved to host01.labs.myotherpcisacloud.com

querying...

TCP port 135 (epmap service): LISTENING

Using ephemeral source port
Querying Endpoint Mapper Database...
Server's response:

UUID: d95afe70-a6d5-4259-822e-2c84da1ddb0d
ncacn_ip_tcp:192.168.1.1[49152]

UUID: 12345778-1234-abcd-ef00-0123456789ac
ncacn_np:192.168.1.1[\\pipe\\lsass]

UUID: 12345778-1234-abcd-ef00-0123456789ac
ncacn_ip_tcp:192.168.1.1[49159]

UUID: 6b5bdd1e-528c-422c-af8c-a4079be4fe48 Remote Fw APIs
ncacn_ip_tcp:192.168.1.1[49158]

UUID: 367abb81-9844-35f1-ad32-98f038001003
ncacn_ip_tcp:192.168.1.1[49157]

UUID: 12345678-1234-abcd-ef00-0123456789ab
ncacn_ip_tcp:192.168.1.1[49155]

UUID: 0b6edbfa-4a24-4fc6-8a23-942b1eca65d1
ncacn_ip_tcp:192.168.1.1[49155]

UUID: ae33069b-a2a8-46ee-a235-ddfd339be281
ncacn_ip_tcp:192.168.1.1[49155]

UUID: 4a452661-8290-4b36-8fbe-7f4093a94978
ncacn_ip_tcp:192.168.1.1[49155]

UUID: 76f03f96-cdfd-44fc-a22c-64950a001209
ncacn_ip_tcp:192.168.1.1[49155]

UUID: 7f1343fe-50a9-4927-a778-0c5859517bac DfsDs service
ncacn_np:192.168.1.1[\\PIPE\\wkssvc]

UUID: 3473dd4d-2e88-4006-9cba-22570909dd10 WinHttp Auto-Proxy Service
ncacn_np:192.168.1.1[\\PIPE\\W32TIME_ALT]

UUID: 1ff70682-0a51-30e8-076d-740be8cee98b
ncacn_np:192.168.1.1[\\PIPE\\atsvc]

...

Total endpoints found: 50

==== End of RPC Endpoint Mapper query response ====

Anda akan melihat bahwa jika Anda melakukan kueri itu di komputer lokal, Anda akan menemukan lebih banyak titik akhir daripada jika Anda melakukan kueri dari komputer jarak jauh. Itu karena banyak titik akhir RPC tidak terpapar jarak jauh dan hanya digunakan untuk komunikasi antar proses lokal.

Bacaan lebih lanjut: http://technet.microsoft.com/en-us/library/cc738291(v=WS.10).aspx

Dan juga: https://www.myotherpcisacloud.com/post/2014/02/16/verifying-rpc-network-connectivity-like-a-boss.aspx

Ryan Ries
sumber