防止ARP攻击中使用nbtscan的有关问题,nbtscan的工作原理是什么
日期:2014-05-17 浏览次数:20759 次
防止ARP攻击中使用nbtscan的问题,nbtscan的工作原理是什么?
当局域网中出现ARP攻击时,(操作PC没中毒)CMD下输入ARP -A 只出现网关的IP和MAC地址.
当输入nbtscan -r 192.168.0.1-254 后,搜索到很多PC的IP和MAC地址
然后再用APR -A检测,发现很多PC都被病毒感染,MAC地址都伪装成了网关地址
但仔细观察发现,输入nbtsacn搜索到的地址,比如有5台,并没后第二次用ARP -A检测到的PC多,比如有15台(其中包括了MAC伪装成网关的和没有中毒的),这是为什么?
再求下nbtscan的工作原理,它是不是检测同一网段内所有PC机的IP和MAC?有没有漏了的?谢谢!!!!
------解决方案--------------------
NBTSCAN可以取到PC的真实IP地址和MAC地址,如果有”传奇木马”在做怪,可以找到装有木马的PC的IP/和MAC地址。
命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段,
即192.168.16.1-192.168.16.254);或“nbtscan
192.168.16.25-137”搜索192.168.16.25-137
网段,即192.168.16.25-192.168.16.137。输出结果第一列是IP地址,最后一列是MAC地址。
NBTSCAN的使用范例:
假设查找一台MAC地址为“000d870d585f”的病毒主机。
1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。
2)在Windows开始—运行—打开,输入cmd(windows98输入“command”),在出现的DOS窗口中输入:C:
btscan -r 192.168.16.1/24(这里需要根据用户实际网段输入),回车。
C:Documents and SettingsALAN> C:
btscan -r 192.168.16.1/24
Warning: -r option not supported under Windows. Running without it.
Doing NBT name scan for addresses from 192.168.16.1/24
IP address NetBIOS Name Server User MAC address
---------------------------------------
192.168.16.0 Sendto failed: Cannot assign requested address
192.168.16.50 SERVER 00-e0-4c-4d-96-c6
192.168.16.111 LLF ADMINISTRATOR 00-22-55-66-77-88
192.168.16.121 UTT-HIPER 00-0d-87-26-7d-78
192.168.16.175 JC 00-07-95-e0-7c-d7
192.168.16.223 test123 test123 00-0d-87-0d-58-5f
3)通过查询IP--MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。
当局域网中出现ARP攻击时,(操作PC没中毒)CMD下输入ARP -A 只出现网关的IP和MAC地址.
当输入nbtscan -r 192.168.0.1-254 后,搜索到很多PC的IP和MAC地址
然后再用APR -A检测,发现很多PC都被病毒感染,MAC地址都伪装成了网关地址
但仔细观察发现,输入nbtsacn搜索到的地址,比如有5台,并没后第二次用ARP -A检测到的PC多,比如有15台(其中包括了MAC伪装成网关的和没有中毒的),这是为什么?
再求下nbtscan的工作原理,它是不是检测同一网段内所有PC机的IP和MAC?有没有漏了的?谢谢!!!!
------解决方案--------------------
NBTSCAN可以取到PC的真实IP地址和MAC地址,如果有”传奇木马”在做怪,可以找到装有木马的PC的IP/和MAC地址。
命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段,
即192.168.16.1-192.168.16.254);或“nbtscan
192.168.16.25-137”搜索192.168.16.25-137
网段,即192.168.16.25-192.168.16.137。输出结果第一列是IP地址,最后一列是MAC地址。
NBTSCAN的使用范例:
假设查找一台MAC地址为“000d870d585f”的病毒主机。
1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。
2)在Windows开始—运行—打开,输入cmd(windows98输入“command”),在出现的DOS窗口中输入:C:
btscan -r 192.168.16.1/24(这里需要根据用户实际网段输入),回车。
C:Documents and SettingsALAN> C:
btscan -r 192.168.16.1/24
Warning: -r option not supported under Windows. Running without it.
Doing NBT name scan for addresses from 192.168.16.1/24
IP address NetBIOS Name Server User MAC address
---------------------------------------
192.168.16.0 Sendto failed: Cannot assign requested address
192.168.16.50 SERVER 00-e0-4c-4d-96-c6
192.168.16.111 LLF ADMINISTRATOR 00-22-55-66-77-88
192.168.16.121 UTT-HIPER 00-0d-87-26-7d-78
192.168.16.175 JC 00-07-95-e0-7c-d7
192.168.16.223 test123 test123 00-0d-87-0d-58-5f
3)通过查询IP--MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
