N​B​T​S​C​A​N​的使用

標籤：n​b​t​s​c​a​n​的使用

     網路中有ARP攻擊時，一般攻擊的機器會類比成網關的MAC發送ARP廣播，一般會照成區域網路機器的斷線和IP衝突，這時候在斷線的機器運行 arp -a,就能顯示器你區域網路的網關和 MAC地址，這時候這個MAC地址就是中ARP的機器，然後運行nbtscan 192.168.X.1-254,能列出區域網路所有機器的IP和對應的MAC地址，就能找出剛才中ARP的機器的IP，從而鎖定機器！

----------------------------------------------------------------------------------

nbtscan使用方法
NBTSCAN的使用方法：
下載nbtscan.rar到硬碟後解壓，然後將cygwin1.dll和nbtscan.exe兩檔案拷貝到c:\windows\system32(或system)下，進入MSDOS視窗就可以輸入命令：
Examples:
    nbtscan -r 192.168.1.0/24
          Scans the whole C-class network.
    nbtscan 192.168.1.25-137
          Scans a range from 192.168.1.25 to 192.168.1.137
    nbtscan -v -s : 192.168.1.0/24
          Scans C-class network. Prints results in script-friendly
          format using colon as field separator.
          Produces output like that:
          192.168.0.1:NT_SERVER:00U
          192.168.0.1:MY_DOMAIN:00G
          192.168.0.1:ADMINISTRATOR:03U
          192.168.0.2:OTHER_BOX:00U
          ...
    nbtscan -f iplist
          Scans IP addresses specified in file iplist.
【在區域網路內尋找病毒主機】
ARP欺騙木馬開始啟動並執行時候，區域網路所有主機的MAC地址更新為病毒主機的MAC地址（即所有資訊的MAC New地址都一致為病毒主機的MAC地址），同時在路由器的“使用者統計”中看到所有使用者的MAC地址資訊都一樣。

在上面我們已經知道了使用ARP欺騙木馬的主機的MAC地址，那麼我們就可以使用NBTSCAN工具來快速尋找它。

NBTSCAN可以取到PC的真實IP地址和MAC地址，如果有”ARP攻擊”在做怪，可以找到裝有ARP攻擊的PC的IP/和MAC地址。

命令：“nbtscan -r 192.168.16.0/24”（搜尋整個192.168.16.0/24網段, 即192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜尋192.168.16.25-137 網段，即192.168.16.25-192.168.16.137。輸出結果第一列是IP地址，最後一列是MAC地址。

==============================================================

NBTSCAN的使用範例：

假設尋找一台MAC地址為“000d870d585f”的病毒主機。

1）將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下。

2）在Windows開始—運行—開啟，輸入cmd（windows98輸入“command”），在出現的DOS視窗中輸入：C: btscan -r 192.168.16.1/24（這裡需要根據使用者實際網段輸入），斷行符號。

3）通過查詢IP--MAC對應表，查出“000d870d585f”的病毒主機的IP地址為“192.168.16.223”。

 

：http://www.xdowns.com/soft/1/44/2012/Soft_96516.html

本文出自 “linux” 部落格，請務必保留此出處http://jpkingofkings.blog.51cto.com/4342950/1531462