NetBIOS与SMB协议概览

1、NetBIOS与SMEB议概览Windows局域网络有两种管理方式对等网工作组模式和主从域管理模式。对等网（PeertoPeer）,所谓对等是指，在LAN中所有的PC机都是平等关系，没有隶属、管理与被管理的关系，它们的地位是平等的。我们的计算机机房就是一个简单的对等网，网络中的所有PC都平等关系。与对等网相对的是基于目录服务进行集中认证、授权管理共享资源的网络Windows域管理模式。Windows域管理模式，在Window域中由活动目录对域中的软、硬件资源进行管理。在对等网中，网上邻居是共享资源的方式。通过网上领居，本地计算机可以访问网络中其它计算机共享的资源，本地计算机也可以把自己的资源共

2、享给其它计算机。网上邻居是使用NetBIOS协议传输数据。NetBIOS是由旧M开发的，全称是：NetworkBasicInputandOutputSystemo在WindowsNT下的NetBIOS是基于TCP/IP环境的，与早期DOST白NetBIOS有所不同。RFC1001和1002是TCP/IP环境下的NetBIOS协议标准。当安装了TCP/IP协议后，NetBIOS协议已经自动安装到计算机中。NetBIOS使用下列端口:UDP/137（NetBIOS名称服务）、UDP/138（NetBIOS数据报服务）、TCP/139（NetBIOS会话服务）；SMB使用下列端口:TCP/139、T

3、CP/445。SM裾ServerMessageBlock的缩写。高桀TCP/IP设置?区I於曲置蟠虹照Wins 地址既使用顺序排列）图）地址既使用顺序排列）图）: :厂.BirimBiinr!i-nmamraie-i-mvi-nraiBii-iiBmniBii-iiviB-iHiaiHrain-VI-nraiB-miBii-iramniBii-iH添加 3编圾屈除-L-J如如果启用果启用 LJHHDSTS 攫索攫索它将应它将应用于所用于所有启用有启用 TCP/IP 的的连接口连接口回回后用后用 LNHOSTS 直诲直诲）导入导入 rHDSTW 超）超）KitBIOS 设置设置默认：从从 DHC

4、?服篝器使用服篝器使用 NetERS 设置设置中如果使用静态中如果使用静态 IF 地地址或址或 BHTF 服冬器不提供服冬器不提供 NetBIOS 设置设置, ,则启用则启用 TCP/IP. .二二的的 lUtE 工工 QS O O 启用启用 TCP/IP 上的上的O O 禁用禁用 TCP/IF 上的上的 NetBIOS. .裳小呼科裳小呼科- -4 学家困学家困httpjrtiibaiduxornisenya确定确定I 取消取消 I图一WindowsXP下的NetBIOS设置在上图中，可以看到默认的设置是从DHC用艮务器使用NetBIOS设置。如果使用静态的IP地址或DHCP服务器不提供Ne

5、tBIOS设置，则启用TCP/IP上的NetBIOS。本次的协议分析环境是使用静态的IP地址。顺便说一下，如果计算机所在的网络环境内没有DHCP艮务器，而又没有设置静态的IP地址，计算机会自动获取以169.254开头的IP地址。NetBIOS协议的两个标准文档RFC1001和1002一共有二百多页。在这里只做粗略地分析。使用的抓包工具是OmniPeek。分析场景：PCA从“网上邻居”访问PCBHUphj.baidiLcunrsenyji图二以下的NetBIOS和SMBfe议是在此场景是进行。双击桌面上的“网上邻居”，打开如下图的界面：网上邻居文件豆）文件豆）编辑编辑查看。查看。收藏收藏工具工具

6、 Q Q）帮助帮助篁）篁）。后退，。，惨|刀搜索；文然庙，PLAIPJ92.168.L8PCHIP:192.168.L6网籍任务欠网籍任务欠添加一个网上邻居添加一个网上邻居查看网络连接查看网络连接霄萨庭或小型办公为家霄萨庭或小型办公为家庭或小型办公室设置无庭或小型办公室设置无线网络查看工作的计篁线网络查看工作的计篁机机显示联网的显示联网的 UTitP 设备设备的国标的国标其它位置其它位置回桌面回桌面 4 我的电我的电脑脑if理的文秸理的文秸.本地网籍本地网籍 H，i-8，-irir，mi，”，rt，riiiL 二mirirairr/haredBocs在在L电TLWL3&3db1b1z

7、z软件在软件在JCpin-9S0acc63 上上图三/ /文裆在文裆在一一JDeepiTIL_98Oacc68上上密舒格-敷字穿阎http7/hi.baidLL.com/senya此时抓取的部分数据包（共有67个数据包）:SourceDestihianFl己/溷溷RdativeTi.ProtocolSumnnary1 IP-IP-552200.000000SMBCBrowserGetBackupListRevestHE2 ip-192.laaa.eIP-55%0.000291照 NBJR*SvcCQUERYN 即 TQRKGRQ

8、UFPtimBcy3 IP-IP-55960.003316MBNameSvc；CQUERYNAME=LENOVO-3A3DBIE1Wc400sl6：36iSB147;AFBtoaacidt640.003364ARP工般施.1/-?5 VMWare:5A:D3:0500:16:36:8B:47:AF640.028935AFtPResponseVMWare:5A:D3:05=1B6 IP-IP-1200.Q23952NBNwneSueRQUERYSTATUS-OKHAKE LE 毗 V0-TA

9、3口 BJ7. 11-192,160.1.6IP-2360,039509SMBRBrowserGetBackupListResponsef6 ip-i92ri69a.eIP-192.168,1.255960.750551MBNameSueCQUERYNAME-WORKGROUPPelluatyg IJ-192,168.1.8IP-55961,500937NBNameSvcCQUERYNAHE=W0RKGR0UPPrimaEy10ip-i92ri69a.eIP-5596340990WBN&meSvcCQUERYN*J!E-

10、IEEtIJl-96D*CC6&Se11IP-IP-1082.343371MBNameSwcRQUERY5TATU5=0KNAME=DEEPZB-980ACC12IP-192.160a.sIP-19,16&a.666S.343446WBSesaHsg.SEC-28319*jD91 X39,+3,594411QE13IP-IP-662.354210IIBSessMsSrc=139J：st=283：9f.A.S.,5=149199214ip-i92a9a.eIP-1302.

11、354271KBSeflsReq.Sic-2639jD3t133.&P.1rAM4U口E15IP-IP-642.388000MBP5esRsp5rc=139,Dst=2839f.AP.,5=149199：16IP-192T169,1.8IP-1952.441039SlffiCVerKvdialect17IP-IP-1472.478506SHERVerifydialect5tatus=0KDialect=iISIP-192,168,1.0IP-2645056

12、35SMB驻心鲜施如戴我方置1911-192,168.1.6IP-W52,513507SMB使虫 c寓 i01J3既距 and冬飞 tJtusMorepi20IP-192.169,1.8IP-342Z.5白 1SMBCSessionsetupandX21IF-192,168.1.6IP-1792.503178SMB才i就咫hk或cmvtseayaZ2 IP-192a6B,l.0IP-1 弱583737SMBcTr#eCDtinaccandXPachDEEPIW-S23IP-192.168,1.6IP-192

13、.168.1,81182.589817SMBRTreeconnectandXStatus=0KServj24IF-192,16B.l.eIP-192.1e.l.6176J.5911S3SHBICTEMLSaction(naiaejbiteslxi/out1iB4,IP-102action(naoie/bytesin/outJSv一图四分析以上抓取的数据包，对NetBIOSNameService（名字服务）、NetBIOSSessionSM瑾进行分析。查看NameService数据包的内容与格式:&；senyaInt色那0K416B6FF2CdIculdtsdWTy

14、pe:畲匚工3s白:一 FC5-EgmeChec=KSequemcei。Additlonal:二QuesiLioii.图五NameService由上图可以看出：PCA()发出一个广播包，查询工作组名WORKGRQUNetbios名字服务使用UDPB议，端口号是137。双击才T开workgroup工作时抓取的数据包，共13个:342:0.002033：5IW190_Q_00S495；SME!CSesaivnsetupandX；RSessionsetupandXStatns=0KCTheconnectan&/加班斗加班斗皿皿 PJ!?RTreeconnectand；X

15、Status-OKServ:CTransaction(name,bytesin/out)64J0.1B9B51iMB金日一由316-2B39,Dat J.39, JL ,) 3441LL阳史野格数字空冏SourceDesdnaUorHagsSizeRelativeIIProtocolSumnwry405：0.001433;SMBRSessionsetupandXStatus=51orep：IP-IP-工 P 19Z.i6B；j.8-IP-:1P-IP-IP--17

16、9：D-003661SMBnatioiLPort:OxSEDZUDPChecksum:137n&tiosMEi-于MetBTOSNameService-Net.TnukBasicInput/DutputSyst.en：+丁 Xnfo:+J-Ethernet：S：-HUP-UserIP-IP-IP-=工 P-19$3：LE0-0104086SMBQ.OC53O3SMBIP-IP-IIP-IP-LlP-192.16S/1.8IP-192.1

17、68.1.6IP-IP-192.16S.1.aiRTcanffaction(Mme,bytesin/out)：击器常掰懑溪老盘cE由 it 球域 gi 目她受。皿啊圈口已。397:0.012105 SourcePort:137nstbios-nsF=OMOOQOaOOO5=0 x00000000L=3e1=15:09:25,50115580006/23/2008D=5thacHetBrariidcsstS=00:16:36:BE:47:AFS=192.1e8.l.a0=192：.16S.1.ZSSDdtajgramProtocol印 ZdjenLificat,xon.:-

18、TDNSElgs：0r:0OsOllO(J&ssAg-&MotRecyrsl61DE1华&i/JotAvazlle).士.卧 m3Bmq 立 deag+IP-192.16B.1.6IP-IP-IP-192a68,1.61800.006?805HB101:D.010318SMB1。10.0114A7：SMB97：0.011781-SMB：REndconnection5tatus=0KOxSAClQtaery0000Qusfy(N0n-Anth?ltistiVe胆EQWM尹工 aSTOff)rP192,168.1.8IP-19Z.

19、00000SMECSessionsetupqiudX图六由上图可以看出，只有一个Netbios会话管理数据包，其它的全部是SM的、议数据包。Tr犷Tr-ET.部B-F=0 x000000003=0 x00000000。一口0:16:36：eBi47:AFSlWd:C5=192.168.1-6D=TCP-TransportControlProt.ocolSoirrcePort:139n&tbflcs-ssnOest-xiLat-ioTiPort-:SeqrijenjceNiniigK1:M*Nwftker;TCPOffset:Reserved:E

20、-00011000.一.板TOChjeckswm:IfrgejLtPoxinter二工心工口号nzh 一2839jsigrport149199684734411106355(202?yt；toooo16671OJCSCAE0Net-blosSessioiiLService-Tjpc-0 x00Session苒esrsmqm,Flags;%00000000靠H抨哥珏郭薜.ReserwscJ.0ff19 IP-192.16S.1.9IP-192.16S.1.61461.372266SHBCMTTransaecion20IP-152.168.1x61t-S1.373649SHB

21、RMTFTransactionStftcuj-Invalidde：vl21IP-192.ica.i.sIP-192.16S.1.61031.374160SHBCCloserileHandleB0X40O6BycesozzIP-192.16S.1.6IP-192.16S.1.B571.374569SHBRClosefillsStArussOK23 IP-IP-192.ififi.1.S150：1.375452SHBCMTCreauandXName24IP-192.ica.i.sIP-192.16S.1.B1971.3762S4SHBRETFCreateandXStatusH

22、OKHandle0aszcIP-IP-152.168.1x6工 P-192.168,1.6IP-1S2.103.1.C，145S1.3766191.377124SHBSHBR嚣星罂器慧舞曲F51Mm27IP-192.ica.i.sIP-192.16S.1.61031.376167SHBEh正方Bytes-0281P-iq、IP-1S2.LG3.1.C打iT376sag.FRClosefileStatus-OIT工加 1 黑，5包 1.6|j.“您.一律 W441LPacket SourceDestinationFlagsSize RelativeTi.ProtocolSu

23、mmary36 IP19Z.168.1.6IP-19Z.16S.1.S1D90.071349SHERWtlwandX3tarnsOKCOUICP7237 IP-192,168.1.8IP-192-168,1.61210.071770SKBCPeadandXHandLe=Ox4O04Bytes=LQ24Star36 IP-IP-192.168.1.B1900.0720?SHERReadandXSc.atxis-OKOffset-60DatiLengc39 IP-192.168.1,8IP-192.168,1.62Z60.072300SKBCTransaction(naae1

24、1rbytesin/out)Naae=1P40 IPIF-19Z.160.1.SZ30.07279=63KERTransaction(naHLe,bytesin/out)Status-41 IP-IP-192,168,1.61030.073011SKBCCloseileHandLe=0 x4)Ci4Bytes=042 IP-IP-192.188.1.B970.0745703KE：RClosefileScatus-OK43 IP-192.16S.1.8IP-192,168,1.61620,0821835KBCNTCreateand

25、XHane=iiwfc33vc44 IP-IP-192.168.1.S工0.003103KE：RNTCrtAtitandXSt-atus*0KHandle*Ox400545 IP-192,168.1.8IP-192,168,1.61980,083690SKBCWriteandXHandle=0 x4005Offset=OBytes46 IP-192.16B.1.6IP-192.166.l.B1D90.0B3SB0SHE；年王然稼塞曦魏京皿3皿47 IP-192.168-1.8IP-192,168,1.61210.0843995KB48 IP-IP-1

26、92.16881-B1900.004714SHE；RR*唱献研SaMUfti/riVa*60DataLen5t49 IP-192.168,1.8IP-2260.084976SMBCTransaction(nanebytesin/out)Naae=P15-192.168.1-B250fnaaijbyteain/out)StatAis*图九查看第一个数据包的详细内容:Info:F=Os0900000SS=OKQ0OOOOML=154T=15:11114.OO450SSOO0&/23/200SD=KWire:SA:I3:05S=00:SB:47:AFS:S=192.16

27、6l.BD=1STCP:5=ws上中小匕D=nmilos-Esn51(2=3441114341HJCK=L192.OOO4S1W=64541MBSessSvciPajcketType=0K00Swss上心口JtessrSueLeiugtJi=S2SMBSerirei3te营国吗把Block图十由上面数据包可以看出，这个数据包是PCA向PCB发出查看共享文件的请求。选择中某个文件时抓取的数据包：PactetSaureeDestinationFlags53RelateTi-ProtocolSummaryIT-192.16S.1.0IF-192.16a.l.6：2641!o.ooo

28、ooo3KbCSesaionsetupandX2 IP-192.16B.1.6IP-19Z.li63.1.04050002Z16JIT；RSeidilsetupandXSt-atlisBorepEGeessi:3 792M1+EIP-192,163.1K63及0+002747SHBCSessionsetupsndX4 IP-192.16.1,6IP-19.169.1,81790,0045355JiBRSessionsetupandXStatus=OK5 IP-192.16B.1.BIP-192.16B.1.61590.00S017SME：CTreeConnectandXPathDEEPIN-9

29、0ACC66 工 P-1 洛 1GJ*6IP-US0.005762SMBRTteeconnectandXStatus=0KService=lPC7 IP-192.166.18IP-640,1S3413OSessHsgStc=市135,.A.344111111rL=腐声殍明收字赞同 hltpJ/fii.taHjuEonV&enya”一 j一 i丁丁丁rrrID.SMECuiTVTkUUlCCHIE.117TrCdUMaStAilCfJfNTStatwzi:0 x00000000国TVJSUCCESS丁Flags-400D11000丁1BELa?

30、s2=L1OXQOO00CI0011Xgrc:0 x0000(010VTOOBSIDOxFEFP(fi5275)0YserID(UDzOxOSOZ(2050/KMltlplexTD而Dr0KC431(50Z2S)Tkan零皿Tjjje.UjrdCuiuit.SecojtilaxjirCcHrwiaiul:ReaerirEd(MBZ):QffmttToCoHnuid:11age-iaffTMUkd.Lonq-Lh.7Met-NamePassword:田白孙一E43xF：Fiff*K&fCwmcE博OKOC!920 x0000IEm9二二-二1一一阳密野布敷宇空http7/hL IP-19

31、2.16B.1.6IP-1620.014031XHBRTiansaeticmi2StatussOK25 IP-192.I68.1.0IP-1S2.16B.1.61520.015151SHB0Transaction2QueryPathInfoFils文档txt26 IP-IP-16Z0.0156013HBRTransaecionzStatus=0K27 IP-IP-1520-015929SMECTEansaecion2QuervPachIntoFIL史=文档.txt编IP-192.KB.

32、1.61F-1620.0162935MBRTiansaetion2Status=0K25 IP-193,U6U,3IP-192a6S.i.6E5G.0157153HBCTsansaetion2(JueryPathInfo1电=*文档,txx30 IP-192H166,1.6IP-19216S.1B81S20i0171CI3SMBRTiansacticn2Status=OK31 IP-192.Lfie+1.3IP-192,1GB.1.61520,017413BMBCTEansaetion2(JuEryPathInfQFILE*文楂,txX32 IP-I

33、P-1S2.16S.1.81E20.017773SMBRTransaction.2Status-OK33 IP-192.I6B.1.8IP-1S2.1AB.1.61520.0197BlSHECTriansaction.2QueryP&thInfoFiLc叫文格tK匕34 IP-IP-192.1S0.1.81620.020344SHBRTi:ansaCtidn2Statiis-OK35 IP-IP-192.16B.1.61520.0207093MECTransaecion2QuetYPathInfoFiL七小文档,cxx36 IP-192.le

34、e,1.6lt-13Z.160.1.5Ifial0.02114?【叫0021563SHERTran3g睚i森承爵法建L字定幽37 IP-192-166.1.3IP-192a6B.1.65MBCTransaction2QueryPathInfo比二%文档.txx翔ip-192416aa,sIP-192.l&S,1.81S20.0219555MBRTran的rh即:/厢如讨UiG0m/0any日st.见1制,6E,1，6”.FJ.SQ.X.3152MQZ比631620.022fiSMB_1r_Trg力,agecyPathinfo文树，0trtkA1-小工i-一门二图十二查看一个数据包的部分

35、内容:Info:F=0s000000005=0 x00000000L=15ZT=15:1Z:16.0O775OZOO0/Z3/Z008BtKeriuet-=tWdS=00-16：3S；eE:47:AFIP：s-i92.iee.i.sTCP：S=naisimport-SSM5=34411199g3虹设=1492。64981i4703OSessSire:FacketTjpe=Cis00SessionPiwsw己守eLength=90SMB二Type=S0NTStat.us=0 x00000000STATUS_SUCCESSProcessIBMigh=0 x0000(0)Signature=0 xO

36、OOOO00000000000TID=TrarwZ：Type=0&eqaewTPB=Z2TDB=dFBZR=2DB2B=4QSB2R=0Flagr?=Oi( (OOOQPTB=2ZPRQ=68DTB=0VM=QSWC=1图十三把计算机PCB上共享的文件复制到计算机PCA寸，抓取的数据包:xr-AJ匕，xuJHxuJ_E一_L7rX_XVX-JJu-3j_rrrn.1-JJJr：11.QJ.1OIrf-AVXlarJKa-AOIjrh.羽i?-i92.i6aa.aIP-1620.032021SMBcNTCcaaceflndXNne-wt24IP-192.168.1.

37、6IP-1130.035188SMBCLock/i.mlockbyter；mgesandXHar25IP-192,168,1.0IP-192.16S.1,61030.033S94SMBCClassfileHandle-0 x4DnaByttsO26IP-.6IP-970.036453SMBRClosefileStats=0KZ1 IP-IP-192.168.1,61970.037228SMBRNTCreateandXStatusOKHandle=28IP-1P肛 1.6640.037283NBSessMsgSrc=2839Dst=139,.A.,5=34411；打IP-IP-192,.16B.1.6134。，口 39。9gSMBCTtansaetion2QueryFileInfoHat30IP-IP-192,168,1,81620.039516SMBRTransacti