nbtscan是一个扫描WINDOWS网络NetBIOS信息的小工具,2005年11月23日发布。
    NBTSCAN身材娇小,简单快速。但只能用于局域网,可以显示IP,主机名,用户名称和MAC地址等等。
    使用帮助:

 

  1. nbtscan.exe -v 
  2. Usage: 
  3. nbtscan [-v] [-d] [-e] [-l] [-t timeout] [-b bandwidth] [-r] [-q] [-s separator] [-m retransmits] (-f filename)|() 
  4.         -v              verbose output. Print all names received 
  5.                         from each host 
  6.         -d              dump packets. Print whole packet contents. 
  7.         -e              Format output in /etc/hosts format. 
  8.         -l              Format output in lmhosts format. 
  9.                         Cannot be used with -v, -s or -h options. 
  10.         -t timeout      wait timeout milliseconds for response. 
  11.                         Default 1000. 
  12.         -b bandwidth    Output throttling. Slow down output 
  13.                         so that it uses no more that bandwidth bps. 
  14.                         Useful on slow links, so that ougoing queries 
  15.                         don't get dropped. 
  16.         -r              use local port 137 for scans. Win95 boxes 
  17.                         respond to this only. 
  18.                         You need to be root to use this option on Unix. 
  19.         -q              Suppress banners and error messages, 
  20.         -s separator    Script-friendly output. Don't print 
  21.                         column and record headers, separate fields with separator. 
  22.         -h              Print human-readable names for services. 
  23.                         Can only be used with -v option. 
  24.         -m retransmits  Number of retransmits. Default 0. 
  25.         -f filename     Take IP addresses to scan from file filename. 
  26.                         -f - makes nbtscan take IP addresses from stdin. 
  27.             what to scan. Can either be single IP 
  28.                         like 192.168.1.1 or 
  29.                         range of addresses in one of two forms: 
  30.                         xxx.xxx.xxx.xxx/xx or xxx.xxx.xxx.xxx-xxx. 
  31. Examples: 
  32.         nbtscan -r 192.168.1.0/24 
  33.                 Scans the whole C-class network. 
  34.         nbtscan 192.168.1.25-137 
  35.                 Scans a range from 192.168.1.25 to 192.168.1.137 
  36.         nbtscan -v -s : 192.168.1.0/24 
  37.                 Scans C-class network. Prints results in script-friendly 
  38.                 format using colon as field separator. 
  39.                 Produces output like that: 
  40.                 192.168.0.1:NT_SERVER:00U 
  41.                 192.168.0.1:MY_DOMAIN:00G 
  42.                 192.168.0.1:ADMINISTRATOR:03U 
  43.                 192.168.0.2:OTHER_BOX:00U 
  44.                 ... 
  45.         nbtscan -f iplist 
  46.                 Scans IP addresses specified in file iplist. 

 

【在局域网内查找病毒主机】
ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。

在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址,那么我们就可以使用NBTSCAN工具来快速查找它。

NBTSCAN可以取到PC的真实IP地址和MAC地址,如果有”ARP攻击”在做怪,可以找到装有ARP攻击的PC的IP/和MAC地址。

命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段,即192.168.16.25-192.168.16.137。输出结果第一列是IP地址,最后一列是MAC地址。

NBTSCAN的使用范例:

假设查找一台MAC地址为“000d870d585f”的病毒主机。

1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。

2)在Windows开始—运行—打开,输入cmd(windows98输入“command”),在出现的DOS窗口中输入:C: btscan -r 192.168.16.1/24(这里需要根据用户实际网段输入),回车。

3)通过查询IP--MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。