En los dos primeros capítulos de esta serie dedicada a los eventos SMB / CIFS – NETBIOS, hemos visto los mensajes del tipo Name query NB y Name query response NB. En esta tercera parte nos centraremos en los pasos previos a Negotiate protocol Request y Negotiate protocol Response. Estos pasos previos son, primero:
- Echo ping request
- Echo ping reply
que son necesario para obtener la dirección MAC, y el segundo: establecimiento de conexión con el host CLIENTE, donde se ubica el recurso compartido, mediante three-way handshake o negociación a tres pasos.
Inmediatemente el host SERVIDOR envía una petición de sesion al host CLIENTE…. lo vemos todo a continuación.
Partimos, como siempre, de nuestra captura:
y nos centramos en los paquetes:
- 13. Echo (ping) request. Petición que realiza el host SERVIDOR 192.168.1.30
- 14. Echo (ping) response. Responde host CLIENTE 192.168.1.5.
este paso se realiza para la obtención de la dirección MAC de destino (del host 192.168.1.5).
A continuación se realiza el establecimeinto de conexión mediante negociación a tres pasos ó three-way handshake: paquetes 15, 16 y 17. Observad que la negociacion para el etablecimiento de conexión se realiza sobre el puerto 139. Este tipo de paquetes ya lo hemos estudiado aquí.
Una vez establecida la conexión, el host servidor envia una petición de sesion o Session request: lo vemos en el paquete 18:
- 18. Session request, to CLIENTE(20) from SISTEM(00)
En el paquete 19 tenemos la respuesta a esta petición de sesión:
- 19. Positive session response
Para estudiar mejor estos dos mensajes, incluimos aquí el formato para SESSION REQUEST, TO y POSITIVE SESSION RESPONSE:
Vemos para Session request, to CLIENTE(20) from SISTEM(00) que:
- Message Type: Session request. El código es x81 (en haxadecimal).
- Flags: 0x00 siempre debe ser 0
- Length: 68
- Called name CLIENTE(20). Se refiere al recurso servidor
- Calling name SISTEM(00). Se refiere al recurso cliente que accede al servidor del recurso compartido.
Para TYPE o message Type, tenemos los mensajes y sus códigos pueden ser:
- 00. Session message.
- 81. Session request.
- 82. Positive session response
- 83. Negative session response
- 84. Retarget session response
- 85. Session keep alive.
Vemos para Positive session response que:
- Message Type: Positive session response. El código es x82 (en haxadecimal).
- Flags: 0x00 siempre debe ser 0
————————————————————————–
En la cuarta parte de esta serie veremos la negociación Negotiate protocol Request y response.
Pingback: Wireshark. Analizando eventos SMB / CIFS – NetBIOS. Parte 6. Comandos Tans2. | Seguridad y Redes
Pingback: Wireshark. Analizando eventos SMB / CIFS – NetBIOS. Parte 5. | Seguridad y Redes