Frame 5236: Packet, 138 bytes on wire (1104 bits), 138 bytes captured (1104 bits) Encapsulation type: Ethernet (1) Arrival Time: Mar 19, 2019 02:09:57.033426000 UTC UTC Arrival Time: Mar 19, 2019 02:09:57.033426000 UTC Epoch Arrival Time: 1552961397.033426000 [Time shift for this packet: 0.000000000 seconds] [Time delta from previous captured frame: 151.000 microseconds] [Time since reference or first frame: 25 minutes, 1.396660000 seconds] Frame Number: 5236 Frame Length: 138 bytes (1104 bits) Capture Length: 138 bytes (1104 bits) [Frame is marked: False] [Frame is ignored: False] [Protocols in frame: eth:ethertype:ip:tcp:nbss:smb2] Character encoding: ASCII (0) Ethernet II, Src: Dell_c2:09:6a (a4:1f:72:c2:09:6a), Dst: Intel_57:2b:42 (64:32:a8:57:2b:42) Destination: Intel_57:2b:42 (64:32:a8:57:2b:42) .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default) .... ...0 .... .... .... .... = IG bit: Individual address (unicast) Source: Dell_c2:09:6a (a4:1f:72:c2:09:6a) .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default) .... ...0 .... .... .... .... = IG bit: Individual address (unicast) Type: IPv4 (0x0800) [Stream index: 1] Internet Protocol Version 4, Src: 10.0.90.9, Dst: 10.0.90.215 0100 .... = Version: 4 .... 0101 = Header Length: 20 bytes (5) Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT) 0000 00.. = Differentiated Services Codepoint: Default (0) .... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0) Total Length: 124 Identification: 0x2c3b (11323) 010. .... = Flags: 0x2, Don't fragment 0... .... = Reserved bit: Not set .1.. .... = Don't fragment: Set ..0. .... = More fragments: Not set ...0 0000 0000 0000 = Fragment Offset: 0 Time to Live: 128 Protocol: TCP (6) Header Checksum: 0x91b1 [validation disabled] [Header checksum status: Unverified] Source Address: 10.0.90.9 Destination Address: 10.0.90.215 [Stream index: 1] Transmission Control Protocol, Src Port: 445, Dst Port: 49227, Seq: 513, Ack: 3505, Len: 84 Source Port: 445 Destination Port: 49227 [Stream index: 71] [Stream Packet Number: 12] [Conversation completeness: Incomplete, DATA (15)] ..0. .... = RST: Absent ...0 .... = FIN: Absent .... 1... = Data: Present .... .1.. = ACK: Present .... ..1. = SYN-ACK: Present .... ...1 = SYN: Present [Completeness Flags: ··DASS] [TCP Segment Len: 84] Sequence Number: 513 (relative sequence number) Sequence Number (raw): 2901749511 [Next Sequence Number: 597 (relative sequence number)] Acknowledgment Number: 3505 (relative ack number) Acknowledgment number (raw): 963028664 0101 .... = Header Length: 20 bytes (5) Flags: 0x018 (PSH, ACK) 000. .... .... = Reserved: Not set ...0 .... .... = Accurate ECN: Not set .... 0... .... = Congestion Window Reduced: Not set .... .0.. .... = ECN-Echo: Not set .... ..0. .... = Urgent: Not set .... ...1 .... = Acknowledgment: Set .... .... 1... = Push: Set .... .... .0.. = Reset: Not set .... .... ..0. = Syn: Not set .... .... ...0 = Fin: Not set [TCP Flags: ·······AP···] Window: 254 [Calculated window size: 65024] [Window size scaling factor: 256] Checksum: 0xed82 [unverified] [Checksum Status: Unverified] Urgent Pointer: 0 [Timestamps] [Time since first frame in this TCP stream: 3.762000 milliseconds] [Time since previous frame in this TCP stream: 151.000 microseconds] [SEQ/ACK analysis] [This is an ACK to the segment in frame: 5235] [The RTT to ACK the segment was: 151.000 microseconds] [iRTT: 606.000 microseconds] [Bytes in flight: 84] [Bytes sent since last PSH flag: 84] [Client Contiguous Streams: 1] [Server Contiguous Streams: 1] TCP payload (84 bytes) NetBIOS Session Service Message Type: Session message (0x00) Length: 80 SMB2 (Server Message Block Protocol version 2), Tree Connect Response, MessageId 2 SMB2 Header ProtocolId: 0xfe534d42 Header Length: 64 Credit Charge: 1 NT Status: STATUS_SUCCESS (0x00000000) Command: Tree Connect (3) Credits granted: 1 Flags: 0x00000009, Response, Signing .... .... .... .... .... .... .... ...1 = Response: This is a RESPONSE .... .... .... .... .... .... .... ..0. = Async command: This is a SYNC command .... .... .... .... .... .... .... .0.. = Chained: This pdu is NOT a chained command .... .... .... .... .... .... .... 1... = Signing: This pdu is SIGNED .... .... .... .... .... .... .000 .... = Priority: This pdu does NOT contain a PRIORITY ...0 .... .... .... .... .... .... .... = DFS operation: This is a normal operation ..0. .... .... .... .... .... .... .... = Replay operation: This is NOT a replay operation Chain Offset: 0x00000000 Message ID: 2 Reserved: 0x0000feff Tree Id: 0x00000001 Session Id: 0x0000040008000049 [Authenticated in Frame: 5234] Signature: a21935c11a34f9614bbb15886e170583 [Response to: 5235] [Time from request: 151.000 microseconds] Tree Connect Response (0x03) StructureSize: 0x0010 0000 0000 0001 000. = Fixed Part Length: 8 .... .... .... ...0 = Dynamic Part: False Share Type: Named pipe (0x02) Reserved: 00 Share flags: 0x00000030 .... .... .... .... .... .... .... ...0 = DFS: False .... .... .... .... .... .... .... ..0. = DFS root: False .... .... .... .... .... ...0 .... .... = Restrict exclusive opens: False .... .... .... .... .... ..0. .... .... = Force shared delete: False .... .... .... .... .... .0.. .... .... = Allow namespace caching: False .... .... .... .... .... 0... .... .... = Access based directory enum: False .... .... .... .... ...0 .... .... .... = Force level II oplock: False .... .... .... .... ..0. .... .... .... = Enable hash V1: False .... .... .... .... .0.. .... .... .... = Enable hash V2: False .... .... .... .... 0... .... .... .... = Encrypted data required: False .... .... .... .0.. .... .... .... .... = Identity Remoting: False .... .... ...0 .... .... .... .... .... = Compressed IO: False .... .... ..0. .... .... .... .... .... = Isolated Transport: False .... .... .... .... .... .... ..11 .... = Caching policy: No caching (0x3) Share Capabilities: 0x00000000 .... .... .... .... .... .... .... 0... = DFS: False .... .... .... .... .... .... ...0 .... = CONTINUOUS AVAILABILITY: False .... .... .... .... .... .... ..0. .... = SCALEOUT: False .... .... .... .... .... .... .0.. .... = CLUSTER: False .... .... .... .... .... .... 0... .... = ASYMMETRIC: False .... .... .... .... .... ...0 .... .... = REDIRECT_TO_OWNER: False Access Mask: 0x011f01ff .... .... .... .... .... .... .... ...1 = Read: READ access .... .... .... .... .... .... .... ..1. = Write: WRITE access .... .... .... .... .... .... .... .1.. = Append: APPEND access .... .... .... .... .... .... .... 1... = Read EA: READ EXTENDED ATTRIBUTES access .... .... .... .... .... .... ...1 .... = Write EA: WRITE EXTENDED ATTRIBUTES access .... .... .... .... .... .... ..1. .... = Execute: EXECUTE access .... .... .... .... .... .... .1.. .... = Delete Child: DELETE CHILD access .... .... .... .... .... .... 1... .... = Read Attributes: READ ATTRIBUTES access .... .... .... .... .... ...1 .... .... = Write Attributes: WRITE ATTRIBUTES access .... .... .... ...1 .... .... .... .... = Delete: DELETE access .... .... .... ..1. .... .... .... .... = Read Control: READ ACCESS to owner, group and ACL of the SID .... .... .... .1.. .... .... .... .... = Write DAC: OWNER may WRITE the DAC .... .... .... 1... .... .... .... .... = Write Owner: Can WRITE OWNER (take ownership) .... .... ...1 .... .... .... .... .... = Synchronize: Can wait on handle to SYNCHRONIZE on completion of I/O .... ...1 .... .... .... .... .... .... = System Security: SYSTEM SECURITY is set .... ..0. .... .... .... .... .... .... = Maximum Allowed: Maximum allowed is NOT set ...0 .... .... .... .... .... .... .... = Generic All: Generic all is NOT set ..0. .... .... .... .... .... .... .... = Generic Execute: Generic execute is NOT set .0.. .... .... .... .... .... .... .... = Generic Write: Generic write is NOT set 0... .... .... .... .... .... .... .... = Generic Read: Generic read is NOT set