免费制作自己的微网站,电商网站设计费用,网站开发文件夹组织结构,专业从事成都网站建设有关网上邻居的问题#xff0c;问的人一直比较多#xff0c;在理解上存在的误区也普遍较为严重。鉴于Microsoft的NETBIOS文档不是很细致#xff0c;我四处收集了一些相关资料加上自己的实践经验写了这个系列#xff0c;希望能对大家有所帮助#xff0e; 本来想为了增加可读…有关网上邻居的问题问的人一直比较多在理解上存在的误区也普遍较为严重。鉴于Microsoft的NETBIOS文档不是很细致我四处收集了一些相关资料加上自己的实践经验写了这个系列希望能对大家有所帮助 本来想为了增加可读性把这个系列写成问答的形式不过一时之间脑袋里也编不出这么多的问题还是按部就班先感性的对微软的浏览服务作一大致介绍然后再深入剖析NETBIOS的具体工作机理,大家要是有什么问题,可以提出来我们一起讨论. ***微软网络浏览过程简介*** 在“Windows NT系统管理技术内幕”一书中讲到了一个非常具有代表性的问题我把它摘抄了下来 问什么情况下会导致在网络邻居中计算机能看见却无法访问或可以访问却看不见 请选择最佳答案 A.你的网络存在物理问题,比如网线 B.作为域主浏览器的Windows NTserver的浏览服务坏了 C.Windows NTserver网卡有问题 D.你的网络没有问题,用户描述的是正常的微软浏览现象 正确答案 D 书上的解释:微软的网络浏览可能在使用中出现中断,而实际上它们并没有中断, 这种误解是由于用户对微软网络浏览的处理过程不熟悉造成的。 就象同学们经常在抱怨的“为什么别人的网上邻居可用我的却不行”“为什么有时候可以浏览有时候却无法浏览网络”解铃还须系铃人让我们一起去看看微软的网络浏览到底是如何实现的。鉴于大家可能对NT的“域”概念还不甚了解出现浏览故障的也多为98的机子我将以98的“工作组模式”为大家讲解。 1.什么是浏览列表Browsing List 在微软网络中用户可以在浏览列表里看到整个网络何指子网还是广播域大家可以考虑考虑上所有的计算机。当你通过网上邻居窗口打开整个网络时你将看到一个工作组列表再打开某个工作组你将看到里面的计算机列表也可在 DOS方式下用net view /domain:workgroupname命令得到这就是我们所说的 Browsing List。工作组从本质上说就是共享一个浏览列表的一组计算机所有的工作组之间都是对等的没有规定不可以让所有的计算机同处于一个工作组中。 2.浏览列表在哪里 曾在木棉上看到过一场争论有人说网上邻居里的计算机列表是广播查询得来的。可有人举反例说我的同学都关机了可我还是能在网上邻居里看到它应该是从HUB或交换机之类较为固定的设备的缓存中取得的。 其实他们都只说对了一个方面把他们二人的说法结合起来就是正确答案了--- 浏览列表是通过广播查询浏览主控服务器由浏览主控服务器提供的。 3.浏览主控服务器又是什么 浏览主控服务器是工作组中的一台最为重要的计算机它负责维护本工作组中的浏览列表及指定其他工作组的主控服务器列表为本工作组的其他计算机和其他来访本工作组的计算机提供浏览服务每个工作组都为会每个传输协议选择一个浏览主控服务器而我们经常遇到的无法浏览网络的错误大多是因为你所处的工作组没有浏览主控服务器而造成的。你可以在一个工作组中用NBTSTAT -a computername 命令找出使用NBT协议的浏览主控服务器它的标识是含有\\_MSBROWSE_名字段。 4.浏览主控服务器是如何指定的 缺省情况下win98工作组中的浏览主控服务器是该工作组中第一台启用文件及打印机共享功能的计算机也允许手工将一台win计算机配置为浏览主控服务器方法会在后面讲述网络配置时具体介绍但由于浏览主控服务器需要维护动态浏览列表性能会受影响如果一个工作组中有多台计算机配置了这个选项或是当前的浏览主控服务器关闭了系统又没有其他计算机启用主控设置时就要进行主控浏览器的选举。 5.如何通过浏览器选举产生浏览主控服务器 关于浏览器的选举报文,不太好抓包,我就只好按书上的东西来讲述了.其实过程很简单,首先由一台计算机发送一个选举临界报文,该报文包含了来自发送计算机的信息(操作系统,版本及NET名等),选举报文向网络中广播,工作组中的每一台计算机都会用自身信息与选举报文进行优先级比较,主要是操作系统起主要作用,记得好像是NT ServerNT WorkstationWin98WFWG,反正到最后是那个自身条件最好的成为新的浏览主控服务器. 6.整个网络浏览的过程是怎样的 当一台win98进入网络时如果它带有服务器服务启用了文件及打印机共享会向网络广播宣告自己的存在而浏览主控服务器会取得这个宣告并将它放入自己维护的浏览列表中而没有在相应协议上绑定文件及打印机共享的计算机则不会宣告因而也就不会出现在网络邻居里了。 当客户计算机想获得需要的网络资源列表时首先会广播发出浏览请求浏览主控服务器收到请求后如果请求的是本组的浏览列表则直接将客户所需的资源列表发回如果请求的是其它工作组的浏览列表浏览主控服务器会根据本身Browsing List中的记录找到相应工作组的主控浏览器返回给用户用户可从那里得到它想要的浏览列表。至于如何去和另一台计算机共享交换资源就不是我们这里要讨论的问题了。 明白了网络浏览的原理下面我给大家讲一个有用的应用现在很多同学出于安全的考虑都不太欢迎陌生人通过网上邻居访问自己的机子可有时下部电影又需要给认识的同学共享出来因而还不能删除文件及打印机共享服务。怎么办有些人给共享名加个$以达到隐藏的效果可这用DOS下的net share是可被看到的有些人给共享加上密码可听说这也是有办法破解的而且很容易激起“黑客同志”的好奇心。有没有办法将自己的机器在网络邻居里隐藏起来呢而对于认识的同学可以让他用\\IP 来访问。 想对了关键就是要阻止自己的机器向网络中去宣告自己而且我知道我们其中的一些人已经将此变成了现实至于方法嘛就不要来问我了。 注因为有关win98浏览服务的资料很少涉及的书籍也多为以NT的“域”模型进行介绍因而我只能根据自己的理解结合netxray的实践来测试细节部分难免有错欢迎大家指正。 7.在我的网上邻居里为什么有些机子访问不了 如果微软的网上邻居真能做到所见即所得相信抱怨它的人不会象现在这么多可通过前面对浏览服务的介绍大家已经知道这是不可能的因为浏览列表的获得不是通过访问其中每一台机子得到的很多时候网络中的计算机并不能正确更新浏览列表。当一台计算机正常关机时它会向网络发出广播宣告使浏览主控服务器及时将它从浏览列表中删除而非正常关机后浏览列表里仍会把该条目保持很长一段时间(NT下是45分钟),这就是我们仍能在网络邻居里看到它的原因.而98的稳定性是众所周知的 ----在还没来得及关机前就已经崩溃了^-^ SMBServer Message Block协议在NT/2000中用来作文件共享在NT中SMB运行于NBTNetBIOS over TCP/IP上使用137139UDP139TCP端口。 在2000中SMB可以直接运行在tcp/ip上而没有额外的NBT层使用TCP 445端口。因此在2000上应该比NT稍微变化多一些。可以在“网络连接/属性/TCPIP协议/属性/高级/WINS中设置启用或者禁用NBTNetBIOS over TCP/IP。 当2000使用网络共享的时候就面临着选择139或者445端口了。下面的情况确定会话使用的端口 1、如果客户端启用了NBT那么连接的时候将同时访问139和445端口如果从445端口得到回应那么客户端将发送RST到139端口终止这个端口的连接接着就从445端口进行SMB的会话了如果没有从445端口而是从139得到回应那么就从139端口进行会话如果没有得到任何回应那么SMB会话失败。 2、如果客户端禁用了NBT他就将只从445端口进行连接。当然如果服务器开共享端没有445端口进行SMB会话的话那么就会访问失败了所以禁用445端口后对访问NT机器的共享会失败。 3、如果服务器端启用NBT那么就同时监听UDP 137、138端口和TCP139445。如果禁用NBT那么就只监听445端口了。 所以对于2000来说共享问题就不仅仅是139端口445端口同样能够完成。 关于空会话 NULL会话空会话使用端口也同样遵循上面的规则。NULL会话是同服务器建立的无信任支持的会话。一个会话包含用户的认证信息而NULL会话是没有用户的认证信息也就好比是一个匿名的一样。 没有认证就不可能为系统建立安全通道而建立安全通道也是双重的第一就是建立身份标志第二就是建立一个临时会话密匙双方才能用这个会话进行加密数据交换比如RPC和COM的认证等级是PKT_PRIVACY。不管是经过NTLM还是经过Kerberos认证的票据终究是为会话创建一个包含用户信息的令牌。这段来自Joe Finamore 根据WIN2000的访问控制模型对于空会话同样需要提供一个令牌。但是空会话由于是没有经过认证的会话所以令牌中不包含用户信息因此建立会话双方没有密匙的交换这也不能让系统间发送加密信息。这并不表示空会话的令牌中不包含SID对于一个空会话LSA提供的令牌的SID是S-1-5-7这就是空会话建立的SID用户名是ANONYMOUS LOGON。这个用户名是可以在用户列表中看到的。但是是不能在SAM数据库中找到属于系统内置的帐号。 关于这部分对NULL SESSION的分析可以参照《NULL Sessions In NT/2000》http://rr.sans.org/win/null.php NULL会话几乎成为了微软自己安置的后门但是微软为什么要来设置这样一个“后门”呢我也一直在想这个问题如果NULL会话没有什么重要的用途那么微软也应该不会来设置这样一个东西。好不容易才在微软上找到这个 当在多域环境中要在多域中建立信任关系首先需要找到域中的PDC来通过安全通道的密码验证,使用空会话能够非常容易地找到PDC还有就是关于一些系统服务的问题。而且LMHOSTS的#Include就需要空会话的支持可以参考文章 http://support.microsoft.com/default.aspx?...b;EN-US;q121281 还有 http://support.microsoft.com/default.aspx?scidkb;EN-US;q124184 其实建立一个空会话的条件也非常严格。首先要能够满足上面的也就是打开TCP 139和TCP 445端口。我们可以从一次关闭这两个端口的情况中看得出来。服务器关闭445和139端口然后我们来进行空会话的连接。首先客户端打算连接的是445端口然后再试图连接139端口。当然最后还是失败了。 仅仅开放这两个端口还不行服务器还必须得打开IPC$共享。如果没有IPC共享即使共享一个文件有权限为Anonymous Logon也不能建立会话即使权限设置为完全控制出现的连接错误依然是权限不够。这和其他帐号是不一样的。如果要允许一个文件夹共享能够类似IPC$命名管道而非共享能够使用空会话那么需要修改注册表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\ 中的NullSessionShares添加新的共享名这样才能建立一个共享的空会话。这时将不依赖IPC的存在了。即使这样的空会话对于后面的突破也是一点没可取之处的因为没有了IPC$命名管道RPC不可取了这下知道IPC这个命名管道的具体实现了。呵呵 虽然空会话建立的要求很严格但是那都是默认建立的。既然是默认的对于使用WIN2K系统的服务器来说就还是有利用的价值。最明显的就是空会话可以很方便地连接到其他的域,枚举用户、机器等。这也就是扫描软件进行探测的原理。 1. 有些人给共享名加个$以达到隐藏的效果可这用DOS下的net share是可被看到的 这种隐藏只是微软Windows标准客户端net view的限制不是服务端的限制网络传输过程中是一视同仁的所以直接修改客户端解除这种限制或者使用第三方客户端软件均可看到所谓的隐藏共享比如smbclient就是典型代表。而直接修改windows客户端的办法99年袁哥贴过我在华中Security版上转载过精华区中还在。 2. 有些人给共享加上密码可听说这也是有办法破解的 这个破解要看是什么层面上的纯暴力破解的就不必说了那当然总是可以的。而95/98另有漏洞袁哥发现的就是他那个著名的vredir.vxd服务端验证密码时所用长度居然是客户端提供的这就意味着至多猜测256次(事实上没这么多考虑可打印字符范围)即可进入。当初N多人用这种办法非法浏览别人的机器。2000年报告微软现在已修补。 http://security.nsfocus.net/index.php?act...oviewadv_id6 顺便说一句利用该漏洞可以快速穷举出原始口令虽然在攻击中这是不必要的。因而我只能根据自己的理解结合netxray的实践来测试细节部分难免有错 推荐www.ethereal.com提供的Ethereal这是我所见过的对SMB解码最强的免费软件有Unix/Windows版提供源码。 3. 在2000中SMB可以直接运行在tcp/ip上而没有额外的NBT层使用TCP 445端口。因此在2000上应该比NT稍微变化多一些。 事实上正相反在ssaxh_capabilities字段中指明不使用扩展安全验证此时使用原有身份验证机制只需去掉NBT层的Session Request将139/TCP改成445/TCP一样可以成功建立空会话并且成功打开\\target ip\IPC$。 至于更高层的RPC Over SMB更是不必作任何变动。换句话说从139/TCP换到445/TCP整个通信过程中减少了一对NBT Session Request/Response后面的报文对于两者来说是完全一致的。 而所谓的NBT层即使在445通信中也未去掉一直存在着区别只是上面这段话。 4. 如果客户端启用了NBT那么连接的时候将同时访问139和445端口 微软并没有让139/TCP与445/TCP公平竞争。发起连接的SYN包在宏观上是同时发出的具体起来有时是先向139/TCP发起连接请求有时是先向445/TCP发起连接请求有点随机性。 在向139/TCP发送三次握手的最后一个ACK报文时Windows顺手携带了数据这里以一个刻意弄错的NetBIOS名(*SMBSERV00...(8))做了一次NBT Session Request。而445/TCP不需要NBT层的会话。 由于刻意弄错的NetBIOS名139/TCP很难竞争过445/TCP。服务端返回Negative NBT Session Response并且执行了close()操作。这使得必须重新建立到139/TCP的连接(传输层的TCP连接)。 可以看出那个刻意弄错的NetBIOS名仅仅是为了给445/TCP制造抢先的机会。遗憾的是445/TCP不争气这个端口上的任务繁重、负载较高即使在这种不公平竞争的情况下139/TCP仍有可能重新抢在445/TCP之前建立NBT会话(注意不是TCP连接)。于是445口会回送RST后续SMB会话建立在139/TCP连接之上。 微软自己的操作系统不认*SMBSERV00...(8)但是Samba Server 2.2.5认居然返回Positive Session Response。这成为精确识别Samba Server的方法之一。 微软在Direct Hosting of SMB Over TCP/IP中不会提这些的只是说139/TCP、445/TCP公平竞争优先使用最早返回的响应报文。不要相信它的鬼话。 话说回来如非需求所致完全不必关心这种差别。有需求的时候这种差别是致命的。 5. 最明显的就是空会话可以很方便地连接到其他的域,枚举用户、机器等。这也就是扫描软件进行探测的原理。 XP、2003缺省禁止在空会话上进行PolicyAccountDomainInformation查询可以看到LsarOpenPolicy2(44)失败权限否定。如果事先指定有效帐号、口令建立SMB会话而非空会话LsarOpenPolicy2(44)将成功返回。
