nbtscan(在局域網內查找ARP病毒主機)

2012-6-1 15:46:4 | tags | views

nbtscan(在局域網內查找ARP病毒主機)

nbtscan是一個掃描WINDOWS網絡NetBIOS信息的小工具,2005年11月23日發布。
    NBTSCAN身材嬌小,簡單快速。但只能用于局域網,可以顯示IP,主機名,用戶名稱和MAC地址等等。
    使用幫助:

nbtscan.exe -v
Usage:
nbtscan [-v] [-d] [-e] [-l] [-t timeout] [-b bandwidth] [-r] [-q] [-s separator] [-m retransmits] (-f filename)|(
)
        -v              verbose output. Print all names received
                        from each host
        -d              dump packets. Print whole packet contents.
        -e              Format output in /etc/hosts format.
        -l              Format output in lmhosts format.
                        Cannot be used with -v, -s or -h options.
        -t timeout      wait timeout milliseconds for response.
                        Default 1000.
        -b bandwidth    Output throttling. Slow down output
                        so that it uses no more that bandwidth bps.
                        Useful on slow links, so that ougoing queries
                        don't get dropped.
        -r              use local port 137 for scans. Win95 boxes
                        respond to this only.
                        You need to be root to use this option on Unix.
        -q              Suppress banners and error messages,
        -s separator    Script-friendly output. Don't print
                        column and record headers, separate fields with separator.
        -h              Print human-readable names for services.
                        Can only be used with -v option.
        -m retransmits  Number of retransmits. Default 0.
        -f filename     Take IP addresses to scan from file filename.
                        -f - makes nbtscan take IP addresses from stdin.
        
    what to scan. Can either be single IP
                        like 192.168.1.1 or
                        range of addresses in one of two forms:
                        xxx.xxx.xxx.xxx/xx or xxx.xxx.xxx.xxx-xxx.
Examples:
        nbtscan -r 192.168.1.0/24
                Scans the whole C-class network.
        nbtscan 192.168.1.25-137
                Scans a range from 192.168.1.25 to 192.168.1.137
        nbtscan -v -s : 192.168.1.0/24
                Scans C-class network. Prints results in script-friendly
                format using colon as field separator.
                Produces output like that:
                192.168.0.1:NT_SERVER:00U
                192.168.0.1:MY_DOMAIN:00G
                192.168.0.1:ADMINISTRATOR:03U
                192.168.0.2:OTHER_BOX:00U
                ...
        nbtscan -f iplist
                Scans IP addresses specified in file iplist.
【在局域網內查找病毒主機】
ARP欺騙木馬開始運行的時候,局域網所有主機的MAC地址更新為病毒主機的MAC地址(即所有信息的MAC New地址都一致為病毒主機的MAC地址),同時在路由器的“用戶統計”中看到所有用戶的MAC地址信息都一樣。

在上面我們已經知道了使用ARP欺騙木馬的主機的MAC地址,那么我們就可以使用NBTSCAN工具來快速查找它。

NBTSCAN可以取到PC的真實IP地址和MAC地址,如果有”ARP攻擊”在做怪,可以找到裝有ARP攻擊的PC的IP/和MAC地址。

命令:“nbtscan -r 192.168.16.0/24”(搜索整個192.168.16.0/24網段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 網段,即192.168.16.25-192.168.16.137。輸出結果第一列是IP地址,最后一列是MAC地址。

NBTSCAN的使用范例:

假設查找一臺MAC地址為“000d870d585f”的病毒主機。

1)將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下。

2)在Windows開始—運行—打開,輸入cmd(windows98輸入“command”),在出現的DOS窗口中輸入:C: btscan -r 192.168.16.1/24(這里需要根據用戶實際網段輸入),回車。

3)通過查詢IP--MAC對應表,查出“000d870d585f”的病毒主機的IP地址為“192.168.16.223”。

附件 - nbtscan.rar (438.71 KB)

    相關文章:

發表評論:

◎歡迎參與討論,請在這里發表您的看法、交流您的觀點。

手机捕鱼怎么下载
后三包一胆技巧 新时时360票 计算快三大小软件 竞彩足彩 新火官网 pk10看走势图下载软件 龙虎赌博的规律技巧 百人牛牛连线 重庆时时开奖走势 精准计划软件腾讯分分彩 久丰国际官网 竞彩足球比分即时比分 足球即时比分 如何买足球彩票稳赚 雅米娱乐彩票 欢乐生肖开奖历史走势图