Восстановление полного пути к файлу из сетевого пакета SMB

Я использую WireShark для сбора информации о сети для небольшого проекта сетевого анализа. Одна из вещей, которые я хотел бы сделать, это посмотреть, какие файлы были доступны на общих дисках (то есть с использованием протокола SMB).

Можно ли восстановить полное имя пути (например, \сервер\путь\к\файлу.txt) только из захваченного пакета? На основе этого ресурса, четвертый пакет должен содержать имя пути UNC, но я не нахожу его нигде в захваченном сеансе.

Если невозможно восстановить полный путь только из пакета, есть ли какой-либо другой способ использования информации, содержащейся в пакете? Я знаю, например, что пакет содержит IP-адрес источника и идентификатор файла, сгенерированный источником. Они полезны?

Спасибо


networking wireshark smb
person Syllepsis    schedule 19.12.2013    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Вы копаете не в том месте.

Вы должны собирать и регистрировать эту информацию на сервере Samba.

Если вы хотите выполнить этот анализ с помощью программного обеспечения для прослушивания, вам необходимо восстановить сеанс SMB.

P.S. Чтобы быть более конкретным, вам нужно восстановить все предыдущие запросы к дереву подкаталогов. Если вам нужно восстановить \сервер\путь\к\asdf1\file.txt, то сначала нужно найти запросы к каталогу "to", а также к каталогу "asdf1". Каталог — это сам файл с атрибутом D.

person TPAKTOPA    schedule 19.12.2013