NetBIOS 보안 문제로 인해 네트워크 충돌 시 이름이 중복될 수 있다

기술 자료 번역 기술 자료 번역
기술 자료: 269239 - 이 문서가 적용되는 제품 보기.
이 문서는 이전에 다음 ID로 출판되었음: KR269239
중요: 이 문서에는 레지스트리 편집 방법이 설명되어 있습니다. 레지스트리를 편집하려면 문제가 발생한 경우 복원하는 방법을 알고 있어야 합니다. 복원 방법에 대한 자세한 내용은 Regedit.exe의 "레지스트리 복원" 도움말 항목 또는 Regedt32.exe의 "레지스트리 키 복원" 도움말 항목을 참조하십시오.
모두 확대 | 모두 축소

이 페이지에서

현상

Microsoft는 서비스 거부 공격으로부터 Windows NT 4.0과 Windows 2000 기반 컴퓨터를 보호하도록 관리자 기능을 개선하는 패치를 출시했습니다.

TCP/IP(NBT) 프로토콜에서 NetBIOS는 인증되지 않도록 설계되었으므로 쉽게 "스푸핑(spoofing)"의 영향을 받습니다. 악의 있는 사용자가 프로토콜의 인증되지 않은 특성을 악용하여 이름 충돌 데이터그램을 대상 컴퓨터로 보내 해당 이름을 사용하지 못하고 쿼리에 응답하지 못하게 할 수 있습니다.

예기치 않은 이름 충돌 데이터그램을 수신하면 컴퓨터는 충돌한 NetBIOS 이름에 대한 응답을 중지하고 네트워크에 중복 이름이 존재한다는 오류 메시지를 표시할 수 있습니다. 또한 관련 컴퓨터에 다음과 같은 문제가 발생할 수 있습니다.

일시적인 연결 문제

다른 컴퓨터와 통신할 때 일시적인 문제가 발생할 수 있습니다.

NetBIOS 이름 서비스 충돌

  • 네트워크 환경 등의 도구가 작동하지 않습니다.
  • net send 명령이 작동하지 않습니다.
  • 관련 서버에서 도메인 로그온을 인증하지 않습니다.
  • NetBIOS 이름 확인 등의 기본 NetBIOS 서비스와 공유 리소스에 액세스하지 못합니다.
또한, nbtstat -n 명령을 실행하면 NetBIOS 이름 서비스가 "충돌" 상태인 것으로 나타날 수 있습니다.

이 패치는 이름 등록 시도에 직접 응답하는 경우에만 이름 충돌 데이터그램을 받아들이도록 Windows의 동작을 변경합니다.

원인

일시적인 연결 문제

컴퓨터에서 예기치 않은 NetBT 데이터그램 서비스 데이터그램을 수신하여 여기에 지정된 TCP/IP 주소의 원격 NetBIOS 이름 캐시로 데이터그램을 캐시합니다.

데이터그램 서비스 데이터그램은 여러 컴퓨터 간에 데이터를 전송하는 데 사용되며 UDP 포트 138의 NetBT를 통해서만 송수신됩니다.

NetBIOS 이름 서비스 충돌

컴퓨터에서 로컬로 등록되는 이름에 대한 예기치 않은 부정적인 이름 등록 응답과 함께 이름 서비스 데이터그램을 수신합니다. 예를 들어, 다음 목록은 이 문제로 인해 영향을 받을 수 있는 몇 가지 NetBIOS 이름 서비스를 설명합니다.
  • 컴퓨터 브라우저 이름 충돌로 인해 네트워크 환경 등의 도구를 사용하지 못하게 될 수 있습니다.
  • 메신저 서비스 이름 충돌로 인해 net send 명령을 사용하지 못하게 될 수 있습니다.
  • NetLogon 서비스 이름 충돌로 인해 도메인 서비스가 거부될 수 있습니다.
  • 서버 서비스와 워크스테이션 서비스 이름 충돌로 인해 공유 리소스에 대한 액세스가 거부될 수 있습니다.
이름 서비스 데이터그램은 네트워크에서 이름을 등록하고 확인하는 데 주로 사용되며 TCP/UDP 포트 137의 NetBT와 WINS을 통해서만 송수신됩니다.

해결 방법

경고: 레지스트리 편집기를 잘못 사용하면 심각한 문제가 발생할 수 있으며 문제를 해결하기 위해 운영 체제를 다시 설치해야 할 수도 있습니다. Microsoft는 레지스트리 편집기를 잘못 사용하여 발생하는 문제에 대해 해결을 보증하지 않습니다. 레지스트리 편집기의 사용에 따른 모든 책임은 사용자에게 있습니다.

레지스트리 편집 방법에 대한 자세한 내용은 레지스트리 편집기(Regedit.exe)의 "키 및 값 변경" 도움말 항목 또는 Regedt32.exe의 "레지스트리의 정보 추가 및 삭제" 및 "레지스트리 데이터 편집" 도움말 항목을 참조하십시오. 레지스트리를 편집하기 전에 레지스트리 파일을 백업해야 합니다. 또한 Windows NT나 Windows 2000을 실행하는 경우 ERD(응급 복구 디스크)를 업데이트해야 합니다.

이 문제를 해결하려면 다음 방법을 사용하십시오.

일시적인 연결 문제

이 문제의 영향을 받는 운영 체제에 대한 핫픽스(hotfix)를 적용하십시오. 이 핫픽스(hotfix)는 본 문서의 뒷부분에 나열되어 있습니다. 또한, Lmhosts 파일에서 중요한 NetBIOS 이름을 미리 로드하면 NetBIOS에서 이러한 이름의 캐시 항목을 덮어쓰려고 하는 패킷을 자동으로 삭제합니다. 이를 통해 해당 주소 매핑을 보존할 수 있습니다.

NetBIOS 이름 서비스 충돌

이 문제의 영향을 받는 운영 체제에 대한 핫픽스(hotfix)를 적용하여 컴퓨터가 등록된 인터넷 이름 서비스(WINS) 서버가 아닌 다른 서버에서 보내는 예기치 않은 이름 등록 응답을 무시하도록 합니다.

참고: 이 문제의 경우 핫픽스(hotfix)를 사용하려면 WINS를 사용하도록 관련 컴퓨터를 구성해야 합니다.

중요: 이 핫픽스(hotfix)는 네트워크에서 중요한 역할을 하고 관리자가 이러런 공격의 대상이 될 수 있다고 판단하는 컴퓨터에만 적용하는 것이 좋습니다. 해당 환경에서 미리 테스트하지 않고 이 핫픽스(hotfix)를 전체적으로 적용하면 문제가 발생할 수 있습니다.

아래 단계를 수행하십시오.
  1. 레지스트리 편집기(Regedt32.exe)를 사용하여 아래의 레지스트리 키를 찾습니다.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
  2. 아래의 레지스트리 값을 수정하거나, 값이 없을 경우 추가합니다.
    값 이름: NoNameReleaseOnDemand
    값 종류: REG_DWORD-Boolean
    데이터: 0, 1 (False, True)
    기본값: 0 (False)
    권장: 1
    설명: This parameter determines whether the computer releases its NetBIOS name when it receives a name-release request from the network. It was added to permit the administrator to protect the computer against malicious name-release attacks.

Windows 2000

현재 이 문제를 해결하기 위한 수정 프로그램을 Microsoft에서 구할 수 있지만 아직 테스트가 완료되지 않았으므로 이 특정한 문제가 발생하는 시스템에만 적용해야 합니다. 이 특정한 문제의 영향이 심각하지 않으면 이 수정 프로그램이 포함된 다음 Windows 2000 서비스 팩이 나올 때까지 기다리는 것이 좋습니다.

이 문제를 즉시 해결하려면 아래에서 설명하는 대로 수정 프로그램을 다운로드하거나 Microsoft 기술 지원 서비스에 문의하여 수정 프로그램을 구하십시오. Microsoft 기술 지원 서비스 전화 번호의 전체 목록과 기술 지원 비용에 대한 정보는 다음 웹 사이트를 참조하십시오.
http://support.microsoft.com/directory/worldwide/KO/directory.asp?sd=gn
Microsoft 다운로드 센터에서 다음 파일을 다운로드할 수 있습니다. 다운로드하려면 아래 파일 이름을 누르십시오.
Q269239_W2K_SP2_x86_en.exe
Microsoft 다운로드 센터에서 파일을 다운로드하는 방법을 자세히 알려면 아래 웹 주소의 다운로드 센터를 방문하십시오.
http://www.microsoft.com/downloads/search.asp?LangID=14&LangDIR=KO
그런 다음 Microsoft 다운로드 센터 이용 방법을 누릅니다. 이 수정 프로그램의 영어 버전은 아래와 같거나 그 이상의 파일 특성을 가집니다.
   날짜        시간       버전            크기    파일 이름
   --------------------------------------------------------
   07/20/2000  4:09:13pm  5.0.2195.2103  142,832  Netbt.sys

Windows 2000과 Windows 2000 핫픽스(hotfix)를 동시에 설치하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
249149 Installing Microsoft Windows 2000 and Windows 2000 Hotfixes

Windows NT 4.0

현재 이 문제를 해결하기 위한 수정 프로그램을 Microsoft에서 구할 수 있지만 아직 테스트가 완료되지 않았으므로 이 특정한 문제가 발생하는 시스템에만 적용해야 합니다. 이 특정한 문제의 영향이 심각하지 않으면 이 수정 프로그램이 포함된 다음 Windows NT 4.0 서비스 팩이 나올 때까지 기다리는 것이 좋습니다.

이 문제를 즉시 해결하려면 아래에서 설명하는 대로 수정 프로그램을 다운로드하거나 Microsoft 기술 지원 서비스에 문의하여 수정 프로그램을 구하십시오. Microsoft 기술 지원 서비스 전화 번호의 전체 목록과 기술 지원 비용에 대한 정보는 다음 웹 사이트를 참조하십시오.
http://support.microsoft.com/directory/worldwide/KO/directory.asp?sd=gn
Microsoft 다운로드 센터에서 다음 파일을 다운로드할 수 있습니다. 다운로드하려면 아래 파일 이름을 누르십시오.
Q269239i.exe
Microsoft 다운로드 센터에서 파일을 다운로드하는 방법에 대한 자세한 내용은 아래 웹 주소의 다운로드 센터를 방문하십시오.
http://www.microsoft.com/downloads/search.asp?LangID=14&LangDIR=KO
그런 다음 Microsoft 다운로드 센터 이용 방법을 누릅니다. 이 수정 프로그램의 영어 버전은 아래와 같거나 그 이상의 파일 특성을 가집니다.
   날짜       시간     크기     파일 이름    플랫폼
   -----------------------------------------------------
   08/29/2000  4:39pm  123,600  Netbt.sys  x86

Windows NT Server 4.0, Terminal Server Edition

현재 이 문제를 해결하기 위한 수정 프로그램을 Microsoft에서 구할 수 있지만 아직 테스트가 완료되지 않았으므로 이 특정한 문제가 발생하는 시스템에만 적용해야 합니다. 이 특정한 문제의 영향이 심각하지 않으면 이 수정 프로그램이 포함된 다음 Windows NT Server 4.0, Terminal Server Edition 서비스 팩이 나올 때까지 기다리는 것이 좋습니다.

이 문제를 즉시 해결하려면 아래에서 설명하는 대로 수정 프로그램을 다운로드하거나 Microsoft 기술 지원 서비스에 문의하여 수정 프로그램을 구하십시오. Microsoft 기술 지원 서비스 전화 번호의 전체 목록과 기술 지원 비용에 대한 정보는 다음 웹 사이트를 참조하십시오.
http://support.microsoft.com/directory/worldwide/KO/directory.asp?sd=gn
Microsoft 다운로드 센터에서 다음 파일을 다운로드할 수 있습니다. 다운로드하려면 아래 파일 이름을 누르십시오.
Q269239i.exe
Microsoft 다운로드 센터에서 파일을 다운로드하는 방법에 대한 자세한 내용은 아래 웹 주소의 다운로드 센터를 방문하십시오.
http://www.microsoft.com/downloads/search.asp?LangID=14&LangDIR=KO
그런 다음 Microsoft 다운로드 센터 이용 방법을 누릅니다. 이 수정 프로그램의 영어 버전은 아래와 같거나 그 이상의 파일 특성을 가집니다.
   날짜       시간     크기     파일 이름    플랫폼
   -----------------------------------------------------
   08/29/2000  06:23p  123,536  Netbt.sys  x86

Windows Millennium Edition

2000년 8월 14일 현재 이 운영 체제에 대한 핫픽스(hotfix)는 제공되지 않습니다.

이 문제를 해결하려면 포트 137-139를 차단하도록 방화벽을 구성하여 외부 사용자가 이 NetBIOS 보안 문제를 이용하지 못하게 하십시오.

TCP/IP 스택을 제거한 다음 TCP/IP 주소 알림을 다시 전송하도록 하는 작업을 수행하여 NetBIOS 이름 서비스 충돌 문제를 해결할 수도 있습니다. 다음과 같은 방법이 있습니다.
  • 관련 컴퓨터가 DHCP(Dynamic Host Configuration Protocol) 클라이언트인 경우 TCP/IP 주소를 릴리스한 다음 이를 갱신합니다.
  • 관련 네트워크 어댑터에서 미디어 연결을 끊은 다음 다시 연결합니다.
  • 컴퓨터를 다시 시작합니다.

Windows 95, Windows 95 OSR 2, Windows 98 및 Windows 98 Second Edition

현재 이 문제를 해결하기 위한 수정 프로그램을 Microsoft에서 구할 수 있지만 아직 테스트가 완료되지 않았으므로 이 특정한 문제가 발생하는 시스템에만 적용해야 합니다.

이 문제를 해결하려면 Microsoft 기술 지원 서비스에 문의하여 수정 프로그램을 구하십시오. Microsoft 기술 지원 서비스 전화 번호의 전체 목록과 기술 지원 비용에 대한 정보는 다음 웹 사이트를 참조하십시오.
http://support.microsoft.com/directory/worldwide/KO/directory.asp?sd=gn
이 수정 프로그램의 영어 버전은 다음과 같은 파일 특성 이상이어야 합니다.
  날짜        시간     버전     크기    파일 이름  플랫폼
  -------------------------------------------------------------------------
  07/31/2000 11:11a  4.10.1659  87,769  Vnbt.386  Windows 95, 모든 버전
  07/10/2000 11:23a  4.10.1721  87,749  Vnbt.386  Windows 98
  07/10/2000 11:36a  4.10.2149  90,893  Vnbt.386  Windows 98 Second Edition

현재 상태

이것은 의도적으로 설계되었습니다.

추가 정보

자세한 내용은 아래의 Microsoft Security Bulletin을 참조하십시오.
http://www.microsoft.com/technet/security/bulletin/MS00-047.asp
TCP/IP(NBT) 프로토콜에서 NetBIOS는 디자인 상 인증되지 않으므로 쉽게 "스푸핑(spoofing)"의 영향을 받습니다. 이 보안 문제는 관련 운영 체제의 제품 결함이 아닌, 사용 중인 업계 표준 프로토콜의 특성에 의한 것입니다. 악의 있는 사용자가 프로토콜의 인증되지 않은 특성을 악용하여 이름 충돌 데이터그램을 대상 컴퓨터로 보내 이름을 사용하지 못하고 쿼리에 응답하지 못하게 할 수 있습니다.

RFC 1001(15.1.3.5 절)에 지정된 NetBIOS 이름 충돌은 여러 노드에서 고유 NetBIOS 이름을 등록하는 경우 발생합니다. 일반적인 상황에서 이름 충돌은 NetBIOS 이름 검색 과정에서 발견됩니다. 끝 노드에서 NetBIOS 이름을 확인할 때 NetBIOS 이름이 충돌하는 것으로 표시되어야만 합니다.

예기치 않은 NetBIOS 이름 서비스 데이터그램을 본 문서의 앞부분에서 나열한 Microsoft Windows 운영 체제를 실행 중인 컴퓨터에 전달하면 등록된 NetBIOS 이름이 충돌 상태가 됩니다. 충돌한 NetBIOS 이름은 이름 검색 요청에 응답하거나 세션 설정에 사용하거나 NetBIOS 데이터그램을 송수신하는 데 사용할 수 없기 때문에 사실상 종료됩니다.

보호되지 않는 이름(Lmhosts 파일에서 미리 로드하지 않은 이름)은 예기치 않은 데이터그램에 의해 TCP/IP 주소가 수정된 이름과 통신할 때만 영향을 받습니다. 따라서 이 이름은 5초 내에 NetBIOS 캐시에서 플러시됩니다. 원격 이름 캐시를 손상된 상태로 유지하기 위해서는 의심되는 공격자가 자신의 신원이 노출될 것을 감안한 상태에서 예기치 않은 데이터그램의 스트림을 전송해야 합니다. Windows 2000의 IP 보안 프로토콜(IPSec)을 사용하여 포트 137-139를 통해 인증된 세션을 설정하면 "스푸핑(spoofing)" 공격을 완벽하게 피할 수 있습니다.

속성

기술 자료: 269239 - 마지막 검토: 2006년 9월 20일 수요일 - 수정: 3.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Server 4.0 Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows 95
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows Millennium Edition
키워드:?
kbbug kbfix kbwin2000presp2fix kbqfe kbnetwork kbhotfixserver KB269239

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com