请教一下MSDS协议是做什么的？

randyxing

如题，请教一下MSDS协议是做什么的？监测发现有个ip地址总有个大约300左右的连接数

疯狂的兔子

MSDS（Microsoft Domain Sharing）是微软局域网共享协议，利用445端口通信的一种协议，该协议允许计算机上的应用程序读取文件和向服务器请求服务。同时，该协议的漏洞非常多，存在各个版本的Windows系统里。大名鼎鼎的“永恒之蓝”就是利用这个协议的漏洞进行传播的。由于在这个协议存在大量漏洞，同时在网络出口位置，这个协议是不应该产生的，因此，如果内网存在大量的由内到外的MSDS协议连接需要各位重视。

——从panalog上复制的

hlzml

1000以上链接很有可能是病毒，前期我局域网里遇到过这情况，这个445端口如果是企业内部局域网用户建议关闭！

957858993

MS17-010漏洞通过利用445端口进行攻击，Panabit上的表现为MSDS协议（但MSDS协议不一定一定是病毒），攻击成功后可以完全控制受害主机成为“傀儡机”，该漏洞就是“永恒之蓝”（注：经常把对方电脑搞到蓝屏的原因）

MSDS协议存在以下两种情况：
内网：
1.如果发起MSDS连接的IP来自于内网，判断发起MSDS协议的IP的业务类型是否为打印机、传真机，毕竟微软使用MSDS协议用于打印机、传真机方面。

2.如果发起MSDS协议的连接IP不属于上述打印机、传真机的IP,此时该IP业务就需要重点检查，首先需要检查该IP是否向其它IP也发起了MSDS协议的连接，判断其是否为MSDS扫描方法如下：

(1)TOP应用——搜索MSDS协议——点击协议看看关联IP包含哪些IP
(2)连接信息搜索发起MSDS协议的IP——点击进入连接信息——检查MSDS连接观察其特征如：所有会话流量基本相同、包长大小基本相等、会话维持时间基本相等等

3.如果出现上述情况基本可以确定对端IP为异常内网IP，需要对其进行杀毒处理，但是WIN7以上版本早已修复了“永恒之蓝”的漏洞，因此这种情况横有可能是内网其它主机接受了病毒文件或恶意程序导致的。

4.内网扫描的情况下即使对一个发起IP进行杀毒也无法根本上解决问题，因此需要对内网IP进行朔源，通过Panalog或者NTM检查MSDS协议最早和发起者IP交互的会话，确定被感染主机的时间，通过时间确定攻击者的源IP，根据源IP在威胁情报社区网站上进行检查确定其是否已被公布。（天际友盟威胁情报社区：https://redqueen.tj-un.com/IntelHome.html）

5.根据结果判断对其实行封禁，（存在其未被公布的情况），同时在Panalog或NTM的HTTP连接种查询源IP溯源攻击者手段，检查其是否有文件上传行为，过滤方法为POST +源IP的方式，同时判断根据返回数据包内容检查其是否有其它攻击行为和内容获取手段，判断其是否获取数据成功(注：不能根据状态码去判断，即使是返回200也有可能为伪造的状态码)
外网：
1.不要信任任何来自于外网IP的MSDS协议的连接，直接对其进行封禁，但是在封禁之前需要先检查你的Panabit是否为最新版，排除节点跟踪或版本过久导致的误封禁行为

2.检查内网和外网MSDS发起IP交互的IP，短时间内隔离其对其它内网主机，同时对其进行杀毒处理

3.在Panalog或NTM的HTTP连接种查询源IP溯源攻击者手段，检查其是否有文件上传行为，过滤方法为POST +源IP的方式，同时判断根据返回数据包内容检查其是否有其它攻击行为和内容获取手段，判断其是否获取数据成功