伺服器訊息區塊

應用層網絡協議; 提供對文件,打印機和串行端口的共享訪問以及網絡上節點之間的各種通信

伺服器訊息區塊(Server Message Block,縮寫為SMB),又稱網路檔案分享系統(Common Internet File System,縮寫為CIFS, /ˈsɪfs/),一種應用層網路傳輸協定,由微軟開發,主要功能是使網路上的機器能夠共享電腦檔案印表機序列埠和通訊等資源。它也提供經認證的行程間通訊機能。它主要用在裝有Microsoft Windows的機器上,在這樣的機器上被稱為Microsoft Windows Network。

經過Unix伺服器廠商重新開發後,它可以用於連接Unix伺服器和Windows客戶機,執行列印和檔案分享等任務。

與功能類似的網路檔案系統(NFS)相比,NFS的訊息格式是固定長度,而CIFS的訊息格式大多數是可變長度,這增加了協定的複雜性。CIFS訊息一般使用NetBIOSTCP協定傳送,分別使用不同的埠139或445,目前傾向於使用445埠。CIFS的訊息包括一個標頭(32位元組)和訊息體(1個或多個,可變長)。

特性

編輯

SMB可以以不同方式執行在對談層或者更低的網路層之上:

SMB的 "行程間通訊" (IPC) 系統提供 命名管道s 機制,它使得程式設計師可以方便的實現繼承認證(客戶端第一次連接SMB服務取得認證資訊後)。

一些服務的操作基於命名管道機制, 例如那些 Microsoft 內部實現的基於SMB的 DCE/RPC, 被稱為基於SMB的 MSRPC, 同時允許 MSRPC 客戶端程式 處理認證過程(藉助SMB服務提供的認證服務實現), 但是只在MSRPC客戶端程式上下文中有效。

SMB 簽章: Windows NT 4.0 Service Pack 3 及後續版本提供了基於數位簽章的SMB連接機制。常用的官方術語叫做「SMB 簽章」。其他被同時被使用的官方術語有

已隱藏部份未翻譯內容,歡迎參與翻譯
"[SMB] Security Signatures", "SMB sequence numbers"[3] 和 "SMB Message Signing".[4] SMB 簽章可以分別組態 SMB 傳入連接 (handled by the "LanManServer" service) 和 SMB 傳出連接 (handled by the "LanManWorkstation" service). Windows 98 及後續版本上的預設設定是 opportunistically sign outgoing connections whenever the server also supports this. And to fall back to unsigned SMB if both partners allow this. Windows domain controllers from Server 2003 及後續版本的預設設定是 to not allow fall back for incoming connections.[5] 這個特性也可以在任何 Windows NT 4.0 Service Pack 3 及後續版本上打開. This protects from man-in-the-middle attacks against the Clients retrieving their policies from domain controllers at login.[6]

Server Message Block version 2 (SMB2) 旨在通過將SMB signals合併為一個封包來減輕這個效能限制[來源請求]

SMB 支援 機會鎖 — 一種特殊的鎖機制 — 來提升效能。

SMB 服務是 Microsoft's Distributed File System 實現的基礎.

歷史

編輯

SMB最初是IBM貝瑞·費根鮑姆Barry Feigenbaum)研製的,其目的是將DOS作業系統中的本機檔案介面「中斷13」改造為網路檔案系統。後來微軟對這個發展進行了重大更改,這個更改後的版本也是最常見的版本。微軟將SMB協定與它和3Com一起發展的網路管理程式結合在一起,並在Windows for Workgroups和後來的Windows版本中不斷加入新的功能。

SMB一開始的設計是在NetBIOS協定上執行的(而NetBIOS本身則執行在NetBEUIIPX/SPXTCP/IP協定上),Windows 2000引入了SMB直接在TCP/IP上執行的功能。在這裡我們必須區分SMB協定和執行在這個協定上的SMB業務,以及NetBIOS和使用SMB作為認證隧道的DCE/RPC業務。此外我們還要區分主要(但不僅僅)直接使用NetBIOS資料報的「網路鄰居」協定。

1996年,約於昇陽推出WebNFS的同時[7],微軟提出將SMB改稱為Common Internet File System[8]。此外微軟還加入了許多新的功能,比如符號連結硬連結、提高檔案的大小。微軟還試圖支援直接聯絡,不依靠NetBIOS,不過這個試圖依然處於嘗試階段,並需要繼續完善。微軟向互聯網工程工作小組提出了部份定義作為網際網路草案[9]。不過這些提案現在均已過期。

由於SMB協定對於與占主要地位的Microsoft Windows平台通訊時的重要性,而目前該平台使用的SMB協定與初始的版本相比有巨大的改變,因此Samba專案就是被創立來逆向工程來提供一個與SMB軟體相容的自由軟體,使得非微軟作業系統也能夠使用它。

Windows Vista中微軟又推出了Server Message Block 2.0,後又在Windows 7中做了改進,截至2012年依次發布的主版本有 2.1 和 3.0。

SMB 2.0

編輯

2006年,Microsoft 隨著 Windows Vista 的發布 引入了新的SMB版本 (SMB 2.0 or SMB2) [10] ...

SMB 2.1

編輯

SMB 2.1, 隨 Windows 7 和 Server 2008 R2 引入, 主要是通過引入新的機會鎖機制來提升效能。[11]

SMB 3.0

編輯

SMB 3.0 (前稱 SMB 2.2)[12]在Windows 8[12] 和 Windows Server 2012[12]中引入。它帶來幾項重大改變,例如 the SMB Direct Protocol (SMB over RDMA) 和 SMB Multichannel(每SMB工作階段有多重連結),[13][14] ...

實現

編輯

客戶端-伺服器端結構

編輯

SMB使用對等的通訊方式,一個客戶端向一個伺服器提出請求,伺服器相應地回答。SMB協定中的一部份專門用來處理對檔案系統的訪問,使得客戶端可以訪問一個檔案伺服器SMB也有行程間通訊的部份。SMB協定尤其適用於局部子網路,但是也可以被用來通過全球資訊網來連結不同的子網路。Microsoft Windows的檔案和印表機分享主要使用這個功能。

SMB伺服器向網路上的客戶端提供檔案系統和其它資源。客戶端電腦也可能有其自己的、不共享的硬碟,但是可能也想使用伺服器上分享的檔案系統和印表機。這是SMB為什麼這麼出名和廣泛地被使用的原因。SMB普及的另一個原因是它使用適合NT網域的協定,至少提供基於NT網域式的認證。NT網域協定是一個微軟遠端程序呼叫服務,幾乎只能被SMB行程間通訊具名管道使用。幾乎所有SMB伺服器的實現使用NT網域來認證使用者是否可以訪問一個資源。

效能問題

編輯

一般認為SMB協定會占用很多網路頻寬,因為每個客戶端均在整個子網路內廣播其存在。但是SMB本身並不使用廣播。SMB造成的廣播問題實際上是NetBIOS的服務定位協定造成的。一般來說Microsoft Windows伺服器使用NetBIOS來協定和定位服務。而NetBIOS則定時向一個特定的伺服器廣播一個服務的存在。對於一個少於20個伺服器的網路來說這個方式是可行的。但是隨伺服器數目的增加廣播造成的交通會導致問題。通過適當地實現WINS定位協定這個問題可以被緩和。WINS使用更進階的系統來確定和中央化服務需求,但是造成自己的設計和保管網路的問題。動態DNS是另一個解決方法。微軟本身推薦在微軟的Active Directory環境下使用動態DNS。網路延遲對SMB協定的速度有非常大的衝擊。在伺服器之間網路延遲大的情況下通過SMB來更換檔案夾非常明顯地反映了這個問題。比如在通過全球資訊網使用虛擬私人網路時網路延遲就會比較大,這時使用SMB就很惱人。

微軟的更改

編輯

微軟在實現其SMB時添加了許多功能,比如微軟引入了NTLMv2,因為原來的第1版使用的DES容易被破解。此外因早年美國政府對於高等加密軟體限制出口,NT 4.0美國以外僅使用40位元位加密,以今天的標準來說容易被解密。

特點

編輯

SMB行程間通訊機制值得一提。通過這個系統,它提供具名管道。這個機制是最早的、程式設計師可以使用的少數行程間通訊之一,它繼承客戶端聯絡SMB伺服器時的認證來提供服務。具名管道繼承認證是一個獨特和透明的機制,因此使用Windows API的程式設計師和Windows的使用者均將它看作是自然的。

有些服務使用具名管道,比如使用通過SMB的微軟遠端程序呼叫的程式,也允許微軟遠端程序呼叫客戶端程式進行自己的認證,並且由此掩蓋SMB伺服器的認證。但是這個掩蓋只在客戶端程式的認證成功的情況下才生效。

另一個特點是SMB對檔案使用一種特殊的、被稱為伺機釘選的釘選機構來提高速度。

微軟的分散式檔案系統實現就基於SMB

其他實現和版本

編輯

以下列出的包括SMB客戶端、伺服器以及不同的擴充SMB的協定。

安全

編輯

多年以來,微軟實現的其直接依賴的協定與組件都存在著許多安全漏洞。[15][16]其他供應商的安全漏洞主要在於缺乏對較新的身分驗證協定英語authentication protocol(例如NTLMv2英語NTLMv2Kerberos贊成如NTLMv1、LanMan英語LM hash或純文字密碼)的支援。即時攻擊跟蹤[17]表明SMB是入侵企圖的主要攻擊媒介之一[18],例如2014年索尼影業遭駭客攻擊事件[19],以及2017年的WannaCry勒索軟體攻擊。[20]

參考資料

編輯
  1. ^ Direct hosting of SMB over TCP/IP. Microsoft. 2007-10-11 [2009-11-01]. (原始內容存檔於2011-03-26). 
  2. ^ Richard Sharpe. Just what is SMB?. 8 October 2002 [18 July 2011]. (原始內容存檔於2009-12-02). 
  3. ^ MSKB887429: Overview of Server Message Block signing. Microsoft Corporation. 2007-11-30 [2012-10-24]. (原始內容存檔於2010-11-20). Security Signatures (SMB sequence numbers) 
  4. ^ Jesper M. Johansson. How to Shoot Yourself in the Foot with Security, Part 1. Microsoft Corporation. 2005-09-08 [2012-10-24]. (原始內容存檔於2010-11-20). This article addresses [...] Server Message Block (SMB) message signing. 
  5. ^ MSKB887429: Overview of Server Message Block signing. Microsoft Corporation. 2007-11-30 [2012-10-24]. (原始內容存檔於2010-11-20). By default, SMB signing is required for incoming SMB sessions on Windows Server 2003-based domain controllers. 
  6. ^ Jose Barreto. The Basics of SMB Signing (covering both SMB1 and SMB2). Microsoft TechNet Server & Management Blogs. 2010-12-01 [2012-10-24]. (原始內容存檔於2012-12-02). This security mechanism in the SMB protocol helps avoid issues like tampering of packets and "man in the middle" attacks. [...] SMB signing is available in all currently supported versions of Windows, but it’s only enabled by default on Domain Controllers. This is recommended for Domain Controllers because SMB is the protocol used by clients to download Group Policy information. SMB signing provides a way to ensure that the client is receiving genuine Group Policy. 
  7. ^ 存档副本. [2007-07-03]. (原始內容存檔於2007-05-18). 
  8. ^ CIFS: A Common Internet File System頁面存檔備份,存於網際網路檔案館),Paul Leach和Dan Perry。
  9. ^ * Common Internet File System Protocol (CIFS/1.0)[永久失效連結]
  10. ^ Navjot Virk and Prashanth Prahalad. What's new in SMB in Windows Vista. Chk Your Dsks. MSDN. March 10, 2006 [2006-05-01]. (原始內容存檔於2006-05-05). 
  11. ^ Implementing an End-User Data Centralization Solution. Microsoft: 10–11. 2009-10-21 [2009-11-02]. (原始內容存檔於2010-09-06). 
  12. ^ 12.0 12.1 12.2 Jeffrey Snover. Windows Server Blog: SMB 2.2 is now SMB 3.0. Microsoft. 19 April 2012 [14 June 2012]. (原始內容存檔於2012-09-24). 
  13. ^ Jose Barreto. SNIA Tutorial on the SMB Protocol (PDF). Storage Networking Industry Association. 19 October 2012 [28 November 2012]. (原始內容存檔 (PDF)於2013-06-03). 
  14. ^ Thomas Pfenning. The Future of File Protocols - SMB 2.2 in the Datacenter (PDF). [2016-02-14]. (原始內容 (PDF)存檔於2012-07-20). 
  15. ^ MS02-070: Flaw in SMB Signing May Permit Group Policy to Be Modified. 微軟. December 1, 2007 [November 1, 2009]. (原始內容存檔於2009-10-08). 
  16. ^ MS09-001: Vulnerabilities in SMB could allow remote code execution. 微軟. January 13, 2009 [November 1, 2009]. (原始內容存檔於2009-10-05). ,
  17. ^ Sicherheitstacho.eu. 德國電信. March 7, 2013 [March 7, 2013]. (原始內容存檔於2013-03-08). 
  18. ^ Alert (TA14-353A) Targeted Destructive Malware. US-CERT英語US-CERT. [2017-05-14]. (原始內容存檔於2014-12-20). 
  19. ^ Sony Hackers Used Server Message Block (SMB) Worm Tool. [2017-05-14]. (原始內容存檔於2014-12-20). 
  20. ^ WannaCry Ransomware Attack Hits Victims With Microsoft SMB Exploit. eWeek英語eWeek. [13 May 2017]. 

相關條目

編輯

外部連結

編輯