议题提交：霜风 [E.S.T]
信息来源：邪恶八进制信息安全团队

最近玩上了SMB啊，但有几个疑问不解，看大家怎么说。


文献里写到的SMB包：
              ----------------------
              |    TCP Header   |
              ----------------------
              |  NETBIOS Header  |
              ----------------------
              |  SMB Base Header  |
              ----------------------
              | SMB Command Header |
              ----------------------
              |      DATA      |
              ----------------------

说明SMB是靠TCP传输的。

但我用命令：nbstat -a xxx.xxx.xxx.xxx时，竟然嗅探不到任何包。

在网络邻居里，访问自己的打印机共享时才能嗅探到三个netbios包，但很奇怪，都没有IP地址，也没有TCP头部，这是怎么回事呢，很疑惑，如图。

谁能帮忙回答一下。

图片暂时无法显示 屏蔽了图片显示 稍微等几日就好....
此外 文章中插入图片 已经给成员开通了“所见即所得编辑器” 发主题和点回复的时候 左边靠上的地方可以看见

一个SMB客户或服务器可以和许多种机器和网络相互连接，这里就不一一说明了。下面是它们的名称：Warp Connect，Warp 4，LAN Server，Lan Server/400，IBM PC Lan和IBM的Warp Server，在SMB模式下的LANtastic，MS-Client，Windows for Workgroups，Windows 95，LAN Manager和Windows NT Workstation & Server，DEC的Pathworks，LM/UX，AS/UX，Syntax 和Samba，这里面的东西，我们很多都没有使用过。因此不能加以详细介绍。

既然东西这么多，那它们能不能相互协同工作呢？从短期来看是可以的，但是长期可能就有问题，因此许多生产厂商的修改使得SMB成了对话式的协议，但是用户至少可以使用SMB兼容系统进行打印机和文件的共享，因此不同厂商的产品有所差异，因此在访问异种网时可能有一些麻烦。当说SMB不说NetBIOS和NetBEUI是不可能的，因此基于SMB的网络使用的底层协议虽然不一样，但是最基本的是基于NetBEUI的NetBIOS和基于TCP/IP的NetBIOS，有时候我们也把后者称为RFC/Netbios或 TCPBEUI。


以上文字是我从20CN上找到的，会不会是因为你的SMB基于NETBEUI的传输而使得包里没有TCP/IP头部呢？这只是我的猜想，至于为什么第一种情况出现偶就想不出了

有没有高人来给点解释啊，我很想知道我的想法有没有道理，没有道理那怎么解释才正确啊

我来说说吧，先说说你那个nbtstat -a的问题，这个东东吧，你用TCP估计是肯定不行了。因为这个程序是用来查询目标机器的netbios-ns服务的（name service），所以要访问的目标端口是137端口，而这个端口是个udp端口，所以你要嗅探换UDP试试。

第二个问题嘛，因为你用你的机器访问同一台机器上的打印机共享，因此直接使用MAC地址，所以你嗅探不到ip。

HOHO~~~这就是我的解释，有可能不正确。不过我估计八九不离十~~嘿嘿~

我纠正一下大哥的观点啊

第二点应该没错。。第一点后面经过测试，原来是自己没有安装NETBEUI协议，在安装后这个协议后，nbstat命令才能正常执行，安装后成功抓到TCP封装的NETBIOS包。嘎嘎。