一、概述
SMB(Server Message Block)是由微软开发的一种软件程序级的网络传输协议,主要用来使得一个网络上的计算机共享计文件、打印机、串行端口和通讯等资源。它也提供认证的进行进程间通信机能。经过Unix服务器厂商重新开发后,它可以用于连接Unix服务器和Windows客户机,执行打印和文件共享等任务。
SMB一开始的设计是在NetBIOS协议上运行的(而NetBIOS本身则运行在NetBEUI、IPX/SPX或TCP/IP协议上)。从Windows2000开始,微软引入SMB Direct Over TCP,重新命名为 CIFS(Common Internet File System),并打算将它与NetBIOS相脱离,试图使它成为Internet上计算机之间相互共享数据的一种标准。CIFS是公开或开放的SMB协议版本。
二、基于NBT的SMB
NetBIOS 支持两种通信模式:会话(session)或数据报(datagram)?会话模式是指两台计算机为“对话"建立一个连接,允许处理大量信息,并支持差错监测和恢复功能?数据报模式面向“无连接"(信息独立发送)操作,发送的信息较小,由应用程序提供差错监测和恢复功能?此外数据报模式也支持将信息广播到局域网中的每台计算机上?若SMB运行在NBT(NetBIOS Over TCP)协议上,而NBT提供三种不同的服务:
- 名字服务(NetBIOS Name Service)
- 数据包服务(NetBIOS Datagram Service)
- 会话服务(NetBIOS Session Service)
NetBIOS 名称映射到IP地址上有三种方法:
- IP 广播 - 当目标地址不在本地 cache 上时,广播一个 包含目标计算机 NetBIOS 名称的数据包?目标计算机返回其 IP 地址?
- lmhosts 文件 - 这是一个负责映射 IP 地址和 NetBIOS 计算机名称的文件?
- NBNS - NetBIOS 命名服务器负责 将 NetBIOS 名称映射到 IP 地址上?
1. 名字服务(NetBIOS Name Service,即NBNS)
运行在137(UDP)端口,提供计算机的名字或IP地址查询服务,类似于TCP/IP协议中的DNS,负责查找目标机器相应的节点地址(TCP/IP协议中为IP地址),并赋予一个NetBIOS名称。可以使用两种方法:
第一种:位于同一工作组中的电脑之间利用广播功能进行计算机名管理。电脑在启动或者连接网络时,会向同一工作组中的所有计算机质询有没有和自己相同的NetBIOS名称。
另一种:利用WINS(Windows因特网名称服务)管理NetBIOS名称。WINS服务器用于登记记录计算机NetBIOS名称和IP地址的对应关系,供局域网计算机查询。WINS客户端在系统起动时或连接网络时会将自己的NetBIOS名称与IP地址发送给WINS服务器。
非法入侵者向目标主机的138端口发送一个连接请求,就能获得目标主机的名称、注册用户名,以及是否安装主控控制器,IIS是否正在运行等。
2. 数据包服务(NetBIOS Datagram Service)
运行在138(UDP)端口,提供NetBIOS浏览功能,显示连接到于网络的计算机设备列表。每台电脑在启动时或连接网络时通过138端口广播自己的NetBIOS名称,收到NetBIOS广播的计算机会将该计算机追加到浏览列表中;关闭电脑时,计算机会通过138端口广播,收到NetBIOS广播的计算机会将该计算机从浏览列表中删除;当计算机需要连接到于网络的计算机设备列表,会广播一个请求,收到请求主机会发送列表。非法入侵者通过与目标主机的138端口发送请求,就能获得目标主机所处的局域网网络名称以及目标主机的计算机名称。
3. 会话服务(NetBIOS Session Service)
运行在139(TCP)端口,提供“NetBIOS Session Service”服务,基于SMB协议对外提供共享服务,包括Windows文件和打印机共享以及Unix中的Samba服务。
三、CIFS(SMB增强版)
若SMB直接运行在TCP上,即CIFS协议,占用的TCP端口号是445。提供的功能与139端口完全相同。为保证向后兼容性,Windows 2000以后版本中基于NBT的SMB和CIFS同时并存。当Windows系统(允许NBT)来连接SMB服务器时,同时尝试连接139和445端口。如果445端口有响应,那么发送RST包给139端口断开连接,使用455端口提供SMB服务。当445端口无响应时,使用139端口提供SMB服务。
SMB协议概述