Wireshark. Analizando eventos SMB / CIFS – NetBIOS. Parte 3.

Publicado el 16 noviembre, 2009 por Alfon

En los dos primeros capítulos de esta serie dedicada a los eventos SMB / CIFS – NETBIOS, hemos visto los mensajes del tipo  Name query NB y Name query response NB. En esta tercera parte nos centraremos en los pasos previos a Negotiate protocol Request y Negotiate protocol Response. Estos pasos previos son, primero:

  • Echo ping request
  • Echo ping reply

que son necesario para obtener la dirección MAC, y el segundo: establecimiento de conexión con el host CLIENTE, donde se ubica el recurso compartido, mediante three-way handshake o negociación a tres pasos.

Inmediatemente el host SERVIDOR envía una petición de sesion al host CLIENTE…. lo vemos todo a continuación.

Partimos, como siempre, de nuestra captura:

wireshark smb cifs netbios analisis

y nos centramos en los paquetes:

este paso se realiza para la obtención de la dirección MAC de destino (del host 192.168.1.5).

A continuación se realiza el establecimeinto de conexión mediante  negociación a tres pasos ó three-way handshake: paquetes 15, 16 y 17. Observad que la negociacion para el etablecimiento de conexión se realiza sobre el puerto 139. Este tipo de paquetes ya lo hemos estudiado aquí.

Una vez establecida la conexión, el host servidor envia una petición de sesion o Session request: lo vemos en el paquete 18:

  • 18. Session request, to CLIENTE(20) from SISTEM(00)

wireshark netbios session request

En el paquete 19 tenemos la respuesta a esta petición de sesión:

  • 19. Positive session response

wireshark netbios session response

Para estudiar mejor estos dos mensajes, incluimos aquí el formato para SESSION REQUEST, TO y POSITIVE SESSION RESPONSE:

formato para session request to y positive session response

Vemos para Session request, to CLIENTE(20) from SISTEM(00) que:

  • Message Type: Session request. El código es x81 (en haxadecimal).
  • Flags: 0x00 siempre debe ser 0
  • Length: 68
  • Called name CLIENTE(20). Se refiere al recurso servidor
  • Calling name SISTEM(00). Se refiere al recurso cliente que accede al servidor del recurso compartido.

Para TYPE o message Type, tenemos los mensajes y sus códigos pueden ser:

  • 00. Session message.
  • 81. Session request.
  • 82. Positive session response
  • 83. Negative session response
  • 84. Retarget session response
  • 85. Session keep alive.

Vemos para Positive session response que:

  • Message Type: Positive session response. El código es x82 (en haxadecimal).
  • Flags: 0x00 siempre debe ser 0

————————————————————————–

En la cuarta parte de esta serie veremos la negociación Negotiate protocol Request y response.

Esta entrada fue publicada en Seguridad y redes, Wireshark . Tshark y etiquetada , , , , . Guarda el enlace permanente.

2 respuestas a Wireshark. Analizando eventos SMB / CIFS – NetBIOS. Parte 3.

  1. Pingback: Wireshark. Analizando eventos SMB / CIFS – NetBIOS. Parte 6. Comandos Tans2. | Seguridad y Redes

  2. Pingback: Wireshark. Analizando eventos SMB / CIFS – NetBIOS. Parte 5. | Seguridad y Redes

Deja un comentario