日期:2014-05-17  浏览次数:20796 次

防止ARP攻击中使用nbtscan的问题,nbtscan的工作原理是什么?
当局域网中出现ARP攻击时,(操作PC没中毒)CMD下输入ARP   -A   只出现网关的IP和MAC地址.

当输入nbtscan   -r   192.168.0.1-254   后,搜索到很多PC的IP和MAC地址

然后再用APR   -A检测,发现很多PC都被病毒感染,MAC地址都伪装成了网关地址

但仔细观察发现,输入nbtsacn搜索到的地址,比如有5台,并没后第二次用ARP   -A检测到的PC多,比如有15台(其中包括了MAC伪装成网关的和没有中毒的),这是为什么?

再求下nbtscan的工作原理,它是不是检测同一网段内所有PC机的IP和MAC?有没有漏了的?谢谢!!!!

------解决方案--------------------
NBTSCAN可以取到PC的真实IP地址和MAC地址,如果有”传奇木马”在做怪,可以找到装有木马的PC的IP/和MAC地址。
  命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段,
即192.168.16.1-192.168.16.254);或“nbtscan
192.168.16.25-137”搜索192.168.16.25-137
网段,即192.168.16.25-192.168.16.137。输出结果第一列是IP地址,最后一列是MAC地址。
  NBTSCAN的使用范例:
  假设查找一台MAC地址为“000d870d585f”的病毒主机。
1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。
2)在Windows开始—运行—打开,输入cmd(windows98输入“command”),在出现的DOS窗口中输入:C:
btscan -r 192.168.16.1/24(这里需要根据用户实际网段输入),回车。  
C:Documents and SettingsALAN> C:
btscan -r 192.168.16.1/24
  Warning: -r option not supported under Windows. Running without it.  
  Doing NBT name scan for addresses from 192.168.16.1/24  
  IP address NetBIOS Name Server User MAC address
---------------------------------------
  192.168.16.0 Sendto failed: Cannot assign requested address
  192.168.16.50 SERVER 00-e0-4c-4d-96-c6
  192.168.16.111 LLF ADMINISTRATOR 00-22-55-66-77-88
  192.168.16.121 UTT-HIPER 00-0d-87-26-7d-78
  192.168.16.175 JC 00-07-95-e0-7c-d7
  192.168.16.223 test123 test123 00-0d-87-0d-58-5f  
  3)通过查询IP--MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。