SMB Transport 프로토콜

SMB Transport 프로토콜

 

Windows 2000에서 일반적으로 SMB/CIFS 전송 프로토콜의 타입은 NetBIOS over TCP/IP이다.  Windows2000이 시작되면 SMB/CIFS는 NetBIOS 계층을 통하지 않고도 직접적으로 TCP(443/TCP)로 전송할 수 있다.

Windows 시스템에서 어떤 SMB Transport가 활성화되어 있는지 확인하는 방법은 아래와 같은 명령어를 사용해서 확인할수 있다.

"net config rdr"과 "net config srv" 명령어는 NetWkstaTransportEnum()와 NetServerTransportEnum() Win32 API를 사용한다.

C:\>net config rdr
컴퓨터 이름                      \\HKnight
전체 컴퓨터 이름                 HKnight
사용자 이름                      HKnight

활성 워크스테이션
        NetbiosSmb (000000000000)
        NetBT_Tcpip_{88AF4C41-3AEE-4613-9879-B54C4F8F3439} (00E0910F8C6B)
        NetBT_Tcpip_{9ED3AFE3-9CF9-43E4-8FB1-8F045F9FCAA1} (005056C00001)
        NetBT_Tcpip_{6AB8E94E-9CEF-4A8D-B7DE-20F8CC85A36B} (005056C00008)

소프트웨어 버전                  Windows 2002

워크스테이션 도메인              WORKGROUP
워크스테이션 도메인 DNS 이름     (null)
로그온 도메인                    HKnight

COM 열기 시간 초과 (초)          0
COM 전송 수 (바이트)             16
COM 전송 시간 초과 (밀리초)      250
명령을 잘 실행했습니다.

C:\>net config srv
서버 이름                             \\HKnight
서버 설명                             HKnight

소프트웨어 버전                       Windows 2002
서버 활성화
        NetbiosSmb (000000000000)
        NetBT_Tcpip_{6AB8E94E-9CEF-4A8D-B7DE-20F8CC85A36B} (005056c00008)
        NetBT_Tcpip_{9ED3AFE3-9CF9-43E4-8FB1-8F045F9FCAA1} (005056c00001)
        NetBT_Tcpip_{88AF4C41-3AEE-4613-9879-B54C4F8F3439} (00e0910f8c6b)

서버 숨겨짐                           아니오
로그온 사용자 최대 수                 5
세션당 열 수 있는 파일의 최대 수      16384

유휴 세션 시간 (분)                   15
명령을 잘 실행했습니다.

NetWkstaTransportEnum()와 NetServerTransportEnum() Win32 API는 두개의 RPC Call를 이용한다.

Samba-TNG rpcclient 유틸리티는 srvtransports command를 제공한다. 그리고 그것은 retrieve server-side transports로서 .

참고로 Windows NT 4.0와 Windows 2000 systems의 NetServerTransportEnum() API는 버그가 있는 것으로 알려져 있다. 

Windows Vista에서는 "net config srv"  명령어 결과가 다음과 같이 출력된다. 

C:\WINDOWS>net config srv  [...]  Software version                      Windows (TM) Code Name "Longhor Server is active on                    	NetbiosSmb (WINVISTA) 	NetBT_TCPIP_{34559422-6B8D-4328-BAA1-25A6A331C6A8} (WINVISTA)  [...]

Active transports는 

• NetbiosSmb는 raw SMB transport (445/tcp)를 사용한다.
• NetBT_Tcpip_{...} 는 NetBT SMB transport로서 per-adapter basis당 하나씩 연결된다.

raw SMB transport can not be disabled on a per-adapter basis. To completely disable it, the NetBT driver must be stopped.

A Windows system with both SMB transports active tries to connect to 445/tcp and 139/tcp at the same time. If the connection to 445/tcp is accepted, the connection to port 139 is closed (sending a TCP segment with the RST flag set), i.e., raw SMB transport is preferred over NetBT transport


출처 : http://hacking.egloos.com/69730