SMB溢出漏洞所需的SMB协议内容

标签：误报   count   ges   提高   length   进制   情况   部分   lob   

来一张wireshark抓下的SMB包，再解读一下。

一个包的内容有

网卡

IPV4

TCP

NetBIOS

SMB

　　SMB header

　　　　SMB Command: xxx

　　　　Error class: xxx

　　info名(xxx)

　　　　# session key往下的部分的，如

　　　　Security Blob Length: xxx　

　　　　Reserved: xxx

　　　　Capabilities: xxx   #再往下不需要继续解析，内容太多

　　　　Bytes Count(BBC): xxx

暂时的，基于流量来检测所需要的SMB协议内容为这些。不进行下一层的解析，因为数据量过大的原因。根据SMB header 和info的内容进行检测，难免会有一些误报，毕竟不能对发送的buf的二进制来进行检测，不过毕竟是有一些特点可以抓的。在不严重损耗性能的情况下尽量来提高精度。

SMB溢出漏洞所需的SMB协议内容

标签：误报   count   ges   提高   length   进制   情况   部分   lob   

原文地址：http://www.cnblogs.com/huim/p/7701331.html