網際網路搜尋引擎nbtscan是一個掃描WINDOWS網路NetBIOS信息的小工具,2005年11月23日發布。NBTSCAN身材嬌小,簡單快速。但只能用於區域網路,可以顯示IP,主機名,用戶名稱和MAC地址等等。
基本介紹
- 中文名:nbtscan
- 性質:網際網路搜尋引擎
- 發布時間:2005年11月23日
- 套用於-:區域網路
使用幫助,查找主機,使用範例,
使用幫助
nbtscan.exe -v
Usage:
nbtscan [-v] [-d] [-e] [-l] [-t timeout] [-b bandwidth] [-r] [-q] [-s separator] [-m retransmits] (-f filename)|()
-v verbose output. Print all names received
from each host
-d dump packets. Print whole packet contents.
-e Format output in /etc/hosts format.
-l Format output in lmhosts format.
Cannot be used with -v, -s or -h options.
-t timeout wait timeout milliseconds for response.
Default 1000.
-b bandwidth Output throttling. Slow down output
so that it uses no more that bandwidth bps.
Useful on slow links, so that ougoing queries
don't get dropped.
-r use local port 137 for scans. Win95 boxes
respond to this only.
You need to be root to use this option on Unix.
-q Suppress banners and error messages,
-s separator Script-friendly output. Don't print
column and record headers, separate fields with separator.
-h Print human-readable names for services.
Can only be used with -v option.
-m retransmits Number of retransmits. Default 0.
-f filename Take IP addresses to scan from file filename.
-f - makes nbtscan take IP addresses from stdin.
what to scan. Can either be single IP
like 192.168.1.1 or
range of addresses in one of two forms:
xxx.xxx.xxx.xxx/xx or xxx.xxx.xxx.xxx-xxx.
Examples:
nbtscan -r 192.168.1.0/24
Scans the whole C-class network.
nbtscan 192.168.1.25-137
Scans a range from 192.168.1.25 to 192.168.1.137
nbtscan -v -s : 192.168.1.0/24
Scans C-class network. Prints results in script-friendly
format using colon as field separator.
Produces output like that:
192.168.0.1:NT_SERVER:00U
192.168.0.1:MY_DOMAIN:00G
192.168.0.1:ADMINISTRATOR:03U
192.168.0.2:OTHER_BOX:00U
...
nbtscan -f iplist
Scans IP addresses specified in file iplist.
查找主機
ARP欺騙木馬開始運行的時候,區域網路所有主機的MAC地址更新為病毒主機的MAC地址(即所有信息的MAC New地址都一致為病毒主機的MAC地址),同時在路由器的“用戶統計”中看到所有用戶的MAC地址信息都一樣。
在上面我們已經知道了使用ARP欺騙木馬的主機的MAC地址,那么我們就可以使用NBTSCAN工具來快速查找它。
NBTSCAN可以取到PC的真實IP位址和MAC地址,如果有”ARP攻擊”在做怪,可以找到裝有ARP攻擊的PC的IP/和MAC地址。
命令:“nbtscan -r 192.168.16.0/24”(搜尋整個192.168.16.0/24網段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜尋192.168.16.25-137 網段,即192.168.16.25-192.168.16.137。輸出結果第一列是IP位址,最後一列是MAC地址。
使用範例
1)將壓縮檔中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下(或放在DOS命令的默認路徑C:\Windows\System32下)
2)在Windows開始—運行—打開,輸入cmd(windows98輸入“command”),在出現的DOS視窗中輸入:C: \nbtscan -r 192.168.16.1/24(這裡需要根據用戶實際網段輸入),回車。
3)通過查詢IP--MAC對應表,查出“000d870d585f”的病毒主機的IP位址為“192.168.16.223”。