剖析NETBIOS的具体工作机理

　　当客户计算机想获得需要的网络资源列表时，首先会广播发出浏览请求，浏览主控服务器收到请求后，如果请求的是本组的浏览列表，则直接将客户所需的资源列表发回；如果请求的是其它工作组的浏览列表，浏览主控服务器会根据本身Browsing List中的记录找到相应工作组的主控浏览器返回给用户，用户可从那里得到它想要的浏览列表。至于如何去和另一台计算机共享交换资源，就不是我们这里要讨论的问题了。
　　明白了网络浏览的原理，下面我给大家讲一个有用的应用，现在很多同学出于安全的考虑都不太欢迎陌生人通过网上邻居访问自己的机子，可有时下部电影又需要给认识的同学共享出来，因而还不能删除文件及打印机共享服务。怎么办？有些人给共享名加个$，以达到隐藏的效果，可这用DOS下的net share是可被看到的；有些人给共享加上密码，可听说这也是有办法破解的，而且很容易激起“黑客同志”的好奇心。有没有办法将自己的机器在网络邻居里隐藏起来呢？而对于认识的同学可以让他用\\IP 来访问。
　　想对了，关键就是要阻止自己的机器向网络中去宣告自己，而且我知道我们其中的一些人已经将此变成了现实，至于方法嘛，就不要来问我了。
　　注：因为有关win98浏览服务的资料很少，涉及的书籍也多为以NT的“域”模型进行介绍，因而我只能根据自己的理解结合netxray的实践来测试，细节部分难免有错，欢迎大家指正。
　　7.在我的网上邻居里为什么有些机子访问不了
　　如果微软的网上邻居真能做到所见即所得，相信抱怨它的人不会象现在这么多，可通过前面对浏览服务的介绍，大家已经知道这是不可能的，因为浏览列表的获得不是通过访问其中每一台机子得到的，很多时候网络中的计算机并不能正确更新浏览列表。当一台计算机正常关机时，它会向网络发出广播宣告，使浏览主控服务器及时将它从浏览列表中删除；而非正常关机后，浏览列表里仍会把该条目保持很长一段时间(NT下是45分钟),这就是我们仍能在网络邻居里看到它的原因.而98的稳定性是众所周知的 ----在还没来得及关机前就已经崩溃了^-^
　　SMB（Server Message Block）协议在NT/2000中用来作文件共享，在NT中，SMB运行于NBT（NetBIOS over TCP/IP）上，使用137，139（UDP），139（TCP）端口。
　　在2000中，SMB可以直接运行在tcp/ip上，而没有额外的NBT层，使用TCP 445端口。因此在2000上应该比NT稍微变化多一些。可以在“网络连接/属性/TCPIP协议/属性/高级/WINS中设置启用或者禁用NBT（NetBIOS over TCP/IP）。
　　当2000使用网络共享的时候，就面临着选择139或者445端口了。下面的情况确定会话使用的端口：
　　1、如果客户端启用了NBT，那么连接的时候将同时访问139和445端口，如果从445端口得到回应，那么客户端将发送RST到139端口，终止这个端口的连接，接着就从445端口进行SMB的会话了；如果没有从445端口而是从139得到回应，那么就从139端口进行会话；如果没有得到任何回应，那么SMB会话失败。
　　2、如果客户端禁用了NBT，他就将只从445端口进行连接。当然如果服务器（开共享端）没有445端口进行SMB会话的话，那么就会访问失败了，所以禁用445端口后，对访问NT机器的共享会失败。
　　3、如果服务器端启用NBT，那么就同时监听UDP 137、138端口和TCP139，445。如果禁用NBT，那么就只监听445端口了。
　　所以对于2000来说，共享问题就不仅仅是139端口，445端口同样能够完成。
　　关于空会话
　　NULL会话（空会话）使用端口也同样遵循上面的规则。NULL会话是同服务器建立的无信任支持的会话。一个会话包含用户的认证信息，而NULL会话是没有用户的认证信息，也就好比是一个匿名的一样。
　　没有认证就不可能为系统建立安全通道，而建立安全通道也是双重的，第一，就是建立身份标志，第二就是建立一个临时会话密匙，双方才能用这个会话进行加密数据交换（比如RPC和COM的认证等级是PKT_PRIVACY）。不管是经过NTLM还是经过Kerberos认证的票据，终究是为会话创建一个包含用户息的令牌。（这段来自Joe Finamore）

最新评论