nguoiemphuongxa200154
New Member
Download miễn phí Quản trị mạng Windows bằng Script - Phần Xử lý lỗi kịch bản điều khiển từ xa bằng Network Monitor 3.0
Có rất nhiều RPC/DCOM ở đây. Nó có vẻ bí ẩn nh ưng nếu nhìn kỹ chúng bạn
sẽ thấy một số WMI đang có như là WMI-IWbemLoginClientID, WMI-IWbemLevel1Login, WMI-IWbemServices, WMI-IWbemFetchSmartEnum, . Tìm ki ếm trên MSDN cho chúng ta thấy nhiều
thông tin hơn về những gì xảy ra. Ví dụ, trang này cho chúng ta biết rằng “
Giao diện IwbemServices được sử dụng cho các máy khách và các nhà cung
cấp để có thể truy cập vào các dịch vụ WMI” vì vậy nó giống như các giao
diện WMI đang tồn tại được gọi trên máy tính điều khiển xa (sử dụng DCOM)
bởi máy trạm chủ đang chạy kịch bản từ nó. Một số giao diện không thực sự
gây khó hiểu đối với người đọc.
Những thứ gây khó hiểu cho người đọc đầu tiên đó là các cụm TCP với các gói
RPC “Continued Response” dường như chỉ thị các kết nối được thực hiện
trước đó đang được sử dụng vào nhiều mục đích khác. Chúng tôi sẽ bỏ qua một
số khung trong phần tiếp theo này.
Để tải bản Đầy Đủ của tài liệu, xin Trả lời bài viết này, Mods sẽ gửi Link download cho bạn sớm nhất qua hòm tin nhắn.
Ai cần download tài liệu gì mà không tìm thấy ở đây, thì đăng yêu cầu down tại đây nhé:
Nhận download tài liệu miễn phí
Tóm tắt nội dung tài liệu:
oint resolution(135), Len=0,Seq=1441244939, Ack=871910570, Win=65535 (scale factor 0) = 65535
Test124 đã thành lập một kết nối TVP với test125.
12 1.906250 {MSRPC:10, TCP:9, IPv4:8} 172.16.11.124 test125.test.local
MSRPC MSRPC: c/o Bind: UUID{99FCFEC4-5260-101B-BBCB-
00AA0021347A} DCOM-IObjectExporter Call=0x1 Assoc Grp=0x0
Xmit=0x16D0 Recv=0x16D0
13 1.906250 {MSRPC:10, TCP:9, IPv4:8} test125.test.local 172.16.11.124
MSRPC MSRPC: c/o Bind Ack: Call=0x1 Assoc Grp=0x32E9
Xmit=0x16D0 Recv=0x16D0
14 1.906250 {MSRPC:10, TCP:9, IPv4:8} 172.16.11.124 test125.test.local
DCOM DCOM
15 1.906250 {MSRPC:10, TCP:9, IPv4:8} test125.test.local 172.16.11.124
DCOM DCOM
Test124 thành lập một ràng buộc RCP với test125 và gọi DCOM.
16 1.921875 {TCP:11, IPv4:8} 172.16.11.124 test125.test.local TCP TCP:
Flags=.S......, SrcPort=1070, DstPort=DCE endpoint resolution(135), Len=0,
Seq=3003512395, Ack=0, Win=65535 (scale factor 0) = 65535
17 1.921875 {TCP:11, IPv4:8} test125.test.local 172.16.11.124 TCP TCP:
Flags=.S..A..., SrcPort=DCE endpoint resolution(135), DstPort=1070,
Len=0, Seq=4088700167, Ack=3003512396, Win=65535 (scale factor 0) =
65535
18 1.921875 {TCP:11, IPv4:8} 172.16.11.124 test125.test.local TCP TCP:
Flags=....A..., SrcPort=1070, DstPort=DCE endpoint resolution(135), Len=0,
Seq=3003512396, Ack=4088700168, Win=65535 (scale factor 0) = 65535
Bắt tay 3-đường TCP giữa hai máy tính.
19 1.921875 {UDP:12, IPv4:1} 172.16.11.124 dc181.test.local KerberosV5
KerberosV5: TGS Request Realm: TEST.LOCAL Sname:
RPCSS/test125.test.local
20 1.921875 {UDP:12, IPv4:1} dc181.test.local 172.16.11.124 KerberosV5
KerberosV5: TGS Response Cname: Administrator
Thẩm định Kerberos
21 1.921875 {MSRPC:13, TCP:11, IPv4:8} 172.16.11.124 test125.test.local
MSRPC MSRPC: c/o Bind: UUID{000001A0-0000-0000-C000-
000000000046} DCOM-IRemoteSCMActivator Call=0x2 Assoc
Grp=0x32E9 Xmit=0x16D0 Recv=0x16D0
22 1.921875 {ARP:14} 172.16.11.181 172.16.11.125 ARP ARP: Request,
172.16.11.181 asks for 172.16.11.125
23 1.921875 {MSRPC:13, TCP:11, IPv4:8} test125.test.local 172.16.11.124
MSRPC MSRPC: c/o Bind Ack: Call=0x2 Assoc Grp=0x32E9
Xmit=0x16D0 Recv=0x16D0
24 1.921875 {MSRPC:13, TCP:11, IPv4:8} 172.16.11.124 test125.test.local
MSRPC MSRPC: c/o Alter Cont: UUID{000001A0-0000-0000-C000-
000000000046} DCOM-IRemoteSCMActivator Call=0x2
25 1.921875 {MSRPC:13, TCP:11, IPv4:8} test125.test.local 172.16.11.124
MSRPC MSRPC: c/o Alter Cont Resp: Call=0x2 Assoc Grp=0x32E9
Xmit=0x16D0 Recv=0x16D0
26 1.921875 {MSRPC:13, TCP:11, IPv4:8} 172.16.11.124 test125.test.local
DCOM DCOM
27 1.937500 {MSRPC:13, TCP:11, IPv4:8} test125.test.local 172.16.11.124
DCOM DCOM
Nhiều RPC và DCOM. Chúng tui nghĩ rằng “Alter Cont” chỉ thị nội dung xen
kẽ đang được sử dụng, nhưng thực tế lại không bảo đảm như vậy. Lẽ ra mọi
thứ phải là OK khi kịch bản đã làm việc mà không phát sinh ra bất kỳ một lỗi
nào.
28 1.937500 {TCP:15, IPv4:8} 172.16.11.124 test125.test.local TCP TCP:
Flags=.S......, SrcPort=1072, DstPort=1117, Len=0, Seq=3011418470,
Ack=0, Win=65535 (scale factor 0) = 65535
29 1.937500 {TCP:15, IPv4:8} test125.test.local 172.16.11.124 TCP TCP:
Flags=.S..A..., SrcPort=1117, DstPort=1072, Len=0, Seq=554832695,
Ack=3011418471, Win=65535 (scale factor 0) = 65535
30 1.937500 {TCP:15, IPv4:8} 172.16.11.124 test125.test.local TCP TCP:
Flags=....A..., SrcPort=1072, DstPort=1117, Len=0, Seq=3011418471,
Ack=554832696, Win=65535 (scale factor 0) = 65535
Một bắt tay TCP khác
31 1.937500 {UDP:16, IPv4:1} 172.16.11.124 dc181.test.local KerberosV5
KerberosV5: TGS Request Realm: TEST.LOCAL Sname: TEST125$
32 1.937500 {UDP:16, IPv4:1} dc181.test.local 172.16.11.124 KerberosV5
KerberosV5: TGS Response Cname: Administrator
Tiếp tục với Kerberos
33 1.937500 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local
MSRPC MSRPC: c/o Bind: UUID{00000143-0000-0000-C000-
000000000046} DCOM-IRemUnknown2 Call=0x1 Assoc Grp=0x0
Xmit=0x16D0 Recv=0x16D0
34 1.937500 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124
MSRPC MSRPC: c/o Bind Ack: Call=0x1 Assoc Grp=0x333D
Xmit=0x16D0 Recv=0x16D0
35 1.937500 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local
MSRPC MSRPC: c/o Alter Cont: UUID{00000143-0000-0000-C000-
000000000046} DCOM-IRemUnknown2 Call=0x1
36 1.937500 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124
MSRPC MSRPC: c/o Alter Cont Resp: Call=0x1 Assoc Grp=0x333D
Xmit=0x16D0 Recv=0x16D0
37 1.937500 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local
DCOM DCOM
38 1.937500 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124
DCOM DCOM
39 1.937500 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local
MSRPC MSRPC: c/o Alter Cont: UUID{D4781CD6-E5D3-44DF-AD94-
930EFE48A887} WMI-IWbemLoginClientID Call=0x2
40 1.937500 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124
MSRPC MSRPC: c/o Alter Cont Resp: Call=0x2 Assoc Grp=0x333D
Xmit=0x16D0 Recv=0x16D0
41 1.937500 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local
DCOM DCOM
42 1.937500 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124
DCOM DCOM
43 1.937500 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local
MSRPC MSRPC: c/o Alter Cont: UUID{F309AD18-D86A-11D0-A075-
00C04FB68820} WMI-IWbemLevel1Login Call=0x3
44 1.937500 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124
MSRPC MSRPC: c/o Alter Cont Resp: Call=0x3 Assoc Grp=0x333D
Xmit=0x16D0 Recv=0x16D0
45 1.937500 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local
DCOM DCOM
46 1.937500 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124
DCOM DCOM
47 1.937500 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local
DCOM DCOM
48 1.937500 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124
DCOM DCOM
49 1.953125 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local
MSRPC MSRPC: c/o Alter Cont: UUID{9556DC99-828C-11CF-A37E-
00AA003240C7} WMI-IWbemServices Call=0x5
50 1.953125 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124
MSRPC MSRPC: c/o Alter Cont Resp: Call=0x5 Assoc Grp=0x333D
Xmit=0x16D0 Recv=0x16D0
51 1.953125 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local
DCOM DCOM
52 1.953125 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124
DCOM DCOM
53 1.953125 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local
DCOM DCOM
54 1.953125 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124
DCOM DCOM
55 1.953125 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local
MSRPC MSRPC: c/o Alter Cont: UUID{1C1C45EE-4395-11D2-B60B-
00104B703EFD} WMI-IWbemFetchSmartEnum Call=0x7
56 1.953125 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124
MSRPC MSRPC: c/o Alter Cont Resp: Call=0x7 Assoc Grp=0x333D
Xmit=0x16D0 Recv=0x16D0
57 1.953125 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local
DCOM DCOM
58 1.953125 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124
DCOM DCOM
59 1.953125 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local
MSRPC MSRPC: c/o Alter Cont: UUID{423EC01E-2E35-11D2-B604-
00104B703EFD} WMI-IWbemWCOSmartEnum Call=0x8
60 1.953125 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124
MSRPC MSRPC: c/o Alter Cont Resp: Call=0x8 Assoc Grp=0x333D
Xmit=0x16D0 Recv=0x16D0
61 1.953125 {MSRPC:17, TCP:15, IPv4:8} 172.16.11.124 test125.test.local
DCOM DCOM
62 2.015625 {MSRPC:17, TCP:15, IPv4:8} test125.test.local 172.16.11.124
DCOM DCOM
Có rất nhiều RPC/DCOM ở đây. Nó có vẻ bí ẩn nhưng nếu nhìn kỹ chúng bạn
sẽ thấy một số WMI đang có như là WMI-IWbemLoginClientID, WMI-
IWbemLevel1Login, WMI-IWbemServices, WMI-
IWbemFetchSmartEnum,…. Tìm kiếm trên MSDN cho chúng ta thấy nhiều
thông tin hơn về những gì xảy ra. Ví dụ, trang này cho chúng ta biết rằng “
Giao diện IwbemServices được sử dụng cho các máy khách và các nhà cung
cấp để có thể truy cập vào các dịch vụ WMI” vì vậy nó giống như các giao
diện WMI đang tồn tại được gọi trên máy tính điều khiển xa (sử dụng DCOM)
bởi máy trạm chủ đang chạy kịch bản từ nó. Một số giao diện không thực sự
gây khó hiểu đối với người đọc.
Những thứ gây khó hiểu cho người đọc đầu tiên đó là các cụm TCP với các gói
RPC “Continued Response” dường như chỉ thị các kết nối được thực hiện
trước đó đang được sử dụng vào nhiều mục đích khác. Chúng tui s