局域網網絡訪問的問題——NetBIOS名稱解析、nbtstat命令詳解

今天指導學生做網絡共享的實驗，因為還沒有講域、活動目錄的創建，因此所處的網絡環境只能是workgroup工作組，做局域網的網絡共享，有幾個學生經常碰到的一個問題：有的計算機打開網上鄰居就可以看到局域網內所有的共享文件夾，而有的就看不到，還有的通過計算機名無法訪問別的計算機。

究其原因我想只有一個，那就是在局域網內部計算機之間的互訪一般是通過NetBIOS名稱解析來進行的，一般的是在局域網內部隨機產生一至兩臺遠程名字高速緩存器（NetBIOS名稱緩存器），然后所有的計算機互訪均通過該緩存器來進行名稱解析，如果該計算機和此服務器之間的通訊不穩定或者是不能通訊，那么在進行名稱解析時就會出現不穩定的情況，有些命令可以來做這樣的事情，不過遺憾的是我當時不記得這樣的一些命令了，以前看過這方面的文章，現在終于把這文章找出來了，貼在下面備案先！

網絡入侵者通常采取的第一步是通過端口掃描程序掃描目標機或網絡。令人吃驚的是，以目標機的開放端口為基礎對網絡進行的攻擊是多么的有條不紊。您應該清楚，除了Unix機外，這是NT機顯示不同開放端口的標準。網絡入侵者懂得查看端口掃描程序，并通過相當準確的結果來斷定它是一臺NT機還是一臺Unix機。當然也有一些例外，但一般情況下都能這樣做。最近，業界發布了幾個用來遠程鑒別機器的工具，但該功能目前還不能用于NT。

當攻擊基于NT的網絡時，NetBIOS往往是首選的攻擊對象。因此，NetBIOS就成為本文中第一個要探討的重要課題。用NetBIOS進行信息收集相當容易，雖然要花費一點時間。etBIOS一般被看作是開銷，很大的大容量協議，速度往往很慢，這也就是要耗費時間的原因。如果端口掃描程序報告端口139在目標機上是開放的，那么接下來就是一個很自然的過程。第一步是發出NBTSTAT命令。

NBTSTAT命令可以用來查詢涉及到NetBIOS信息的網絡機器。另外，它還可以用來

消除NetBIOS高速緩存器和預加載LMHOSTS文件。這個命令在進行安全檢查時非常有用。

用法：nbtstat [-a RemoteName] [-A IP_address] [-c] [-n] [-R] [-r] [-S]

[-s]

[interval]

參數-a列出為其主機名提供的遠程計算機名字表。

-A列出為其IP地址提供的遠程計算機名字表。

-c列出包括了IP地址的遠程名字高速緩存器。

-n列出本地NetBIOS名字。

-r列出通過廣播和WINS解析的名字。

-R消除和重新加載遠程高速緩存器名字表。

-S列出有目的地IP地址的會話表。

-s列出會話表對話。

NBTSTAT生成的列標題具有以下含義：

Input

接收到的字節數。

Output

發出的字節數。

In/Out

無論是從計算機（出站）還是從另一個系統連接到本地計算機（入站）。

Life

在計算機消除名字表高速緩存表目前“度過”的時間。

Local Name

為連接提供的本地NetBIOS名字。

Remote Host

遠程主機的名字或IP地址。

Type

一個名字可以具備兩個類型之一：unique or group

在16個字符的NetBIOS名中，最后一個字節往往有具體含義，因為同一個名可以在同一臺計算機上出現多次。這表明該名字的最后一個字節被轉換成了16進制。

State

NetBIOS連接將在下列“狀態”（任何一個）中顯示：

狀態含義：

Accepting: 進入連接正在進行中。

Associated: 連接的端點已經建立，計算機已經與IP地址聯系起來。

Connected: 這是一個好的狀態！它表明您被連接到遠程資源上。

Connecting: 您的會話試著解析目的地資源的名字-IP地址映射。

Disconnected: 您的計算機請求斷開，并等待遠程計算機作出這樣的反應。

Disconnecting: 您的連接正在結束。

Idle: 遠程計算機在當前會話中已經打開，但現在沒有接受連接。

Inbound: 入站會話試著連接。

Listening: 遠程計算機可用。

Outbound: 您的會話正在建立TCP連接。

Reconnecting: 如果第一次連接失敗，就會顯示這個狀態，表示試著重新連接

下面是一臺機器的NBTSTAT反應樣本：

C:\>nbtstat CA x.x.x.x

NetBIOS Remote Machine Name Table

Name Type Status

---------------------------------------------

DATARAT <00> UNIQUE Registered

R9LABS <00> GROUP Registered

DATARAT <20> UNIQUE Registered

DATARAT <03> UNIQUE Registered

GHOST <03> UNIFQUE Registered

DATARAT <01> UNIQUE Registered

MAC Address = 00-00-00-00-00-00

您通過下表能掌握有關該機器的哪些知識呢？

名稱編號類型的使用：

00 U 工作站服務

01 U 郵件服務

\\_MSBROWSE_ 01 G 主瀏覽器

03 U 郵件服務

06 U RAS服務器服務

1F U NetDDE服務

20 U 文件服務器服務

21 U RAS客戶機服務

22 U Exchange Interchange

23 U Exchange Store

24 U Exchange Directory

30 U 調制解調器共享服務器服務

31 U 調制解調器共享客戶機服務

43 U SMS客戶機遠程控制

44 U SMS管理遠程控制工具

45 U SMS客戶機遠程聊天

46 U SMS客戶機遠程傳輸

4C U DEC Pathworks TCP/IP服務

52 U DEC Pathworks TCP/IP服務

87 U Exchange MTA

6A U Exchange IMC

BE U網絡監控代理

BF U網絡監控應用

03 U郵件服務

00 G域名

1B U域主瀏覽器

1C G域控制器

1D U主瀏覽器

1E G瀏覽器服務選擇

1C G Internet信息服務器

00 U Internet信息服務器

[2B] U Lotus Notes服務器

IRISMULTICAST [2F] G Lotus Notes

IRISNAMESERVER [33] G Lotus Notes

Forte_$ND800ZA [20] U DCA Irmalan網關服務

Unique (U): 該名字可能只有一個分配給它的IP地址。在網絡設備上，一個要注冊的名字可以出現多次，但其后綴是唯一的，從而使整個名字是唯一的。

Group (G): 一個正常的群；一個名字可以有很多個IP地址。

Multihomed (M): 該名字是唯一的，但由于在同一臺計算機上有多個網絡接口，這個配置可允許注冊。這些地址的最大編號是25。

Internet Group (I): 這是用來管理WinNT域名的組名字的特殊配置。

Domain Name (D): NT 4.0提供的新內容。

網絡入侵者可以通過上表和從nbtstat獲得的輸出信息開始收集有關您的機器的信息。有了這些信息，網絡入侵者就能在一定程度上斷定有哪些服務正在目標機上運行，有時也能斷定已經安裝了哪些軟件包。從傳統上講，每個服務或主要的軟件包都具有一定的脆弱性，因此，這一類型的信息對網絡入侵者當然有用