数据包获取

1. 官方包下载，包比较老

https://wiki.wireshark.org/SampleCaptures#SMB-Locking

2. 自己抓

Smb协议包分析

我这里直接用官方包https://wiki.wireshark.org/SampleCaptures?action=AttachFile&do=get&target=smbtorture.cap.gz

wireshark分析

用官方的包简单分析一下第一次会话。

第一次通信

1.首先是三次握手

2. 双方协商加密协议

3. 进行身份认证。然后客户端提出自己想访问的网络资源

4. 然后就是一堆查询和传输

5. 最后就是关闭连接

Brim分析

接下来我们用Brim分析一下smb包，看看brim有多香。

1. 把包导进来，按时间进行排序，方便对比。

Smb的一堆操作被Brim简化成了三条信息。

2. 三次握手

可以很清晰的看到这次通信干了啥。

3. smb认证

4. 请求对应的网络资源

继续看下一个包

可以看到有文件相关操作

点击右上图标还可以在wireshark中定位到本次会话

如下

Brim真香