Цитата |
---|
eldo пишет: К примеру NetBIOS траффик разрешен, но ограничен какими-то свойствами пакета NetBIOS. |
Ты скажи точно, что тебе надо.
Цитата |
---|
Marco пишет: кстати, 445 - rpc....netbios - 139 |
Ух ты
445 - CIFS/SMB, именно через него работают общие папки Windows.
137-139 (NetBios) используются как резервный транспорт SMB, для разрешения имен, ну и для работы с 98й, если такая есть.
Хотя RPC и может ходить по 445 (и по 139), это уже будет RPC over SMB.
2 Shanker - писать свой препроцессор NetBIOS на PCAP это конечно круто, но учитывая слабую докуметированость (по сути единственная нормальная документация - сырци Samba в которых порой сам черт ногу сломит
, то она может стать неподъемной. Яркий пример - snort, который не обрабатывает RPC фрагментацию, в связи с чем очень плохо ловит слегка модифицированные MS04-011 и другие эксплойты для RPC или SMB.