SMB "Create AndX Request"에 대해 FID는 어떻게 생성됩니까?

네트워크 공유에 액세스하는 동안 추적 CreateAndX에서 FID와 관련된 여러 요청 (폴더를 여는)이 있습니다. 그러나 그들 중 일부는 그렇지 않으며 다른 응답을 얻습니다.

292 7.561217000 client_Ip cifs_Server_ip SMB 184 NT Create AndX Request, FID: 0x1781, Path: \share_folder\subfolder

293 7.565304000 cifs_Server_ip client_Ip SMB 193 NT Create AndX Response, FID: 0x1781

320 7.761995000 clientIp cifs_Server_ip SMB 184 NT Create AndX Request, Path: \share_folder\subfolder

323 7.764860000 cifs_Server_ip client_ip SMB 93 NT Create AndX Response, FID: 0x0000, Error: STATUS_FILE_IS_A_DIRECTORY

두 요청의 유일한 차이점은 첫 번째 요청에는 FID가없고 CreateOptions 필드가 0x00000040(Non-directory 필드가 설정 됨)으로 설정되어 있다는 것입니다. 두 번째 요청에는이 필드가로 설정되어 0있습니다. 둘 다로 액세스 마스크가 0x00120080있습니다.

클라이언트는 Windows 7입니다. 왜 두 개의 다른 연속 CreateAndX요청이 있고 왜 다른 응답을 얻습니까?

wireshark 포럼에서 답변을 얻었습니다. SMB에서 FID가 응답으로 고객에게 다시 전송됩니다. Wireshark는 응답에서 FID를 알게 된 FID도 요청에 표시합니다. FID가 패킷에 없지만 wireshark가 FID 주위의 대괄호로 제공 한 것을 볼 수 있습니다.

따라서 프레임 292에서 FID는 프레임 293에서 서버에 의해 제공되는 것으로 알려져 있습니다. 그러나 프레임 320의 요청에 대해 오류가 있고 응답에 유효한 FID (FID)가 없으므로 유효한 FID가 없습니다. = 0x0000).

요컨대, 요청에 FID가없는 경우 wireshark는 응답에 (유효한) 요청이있을 때 FID를 요청에 추가 할 수 있습니다.