nbtstat命令可以用來查詢涉及到NetBIOS信息的網(wǎng)絡(luò)機器。另外,它還可以用來消除NetBIOS高速緩存器和預(yù)加載LMHOSTS文件。這個命令在進行安全檢查時非常有用。
用法:
nbtstat [-a RemoteName] [-A IP_address] [-c] [-n] [-R] [-r] [-S]
此處是XP下的顯示:
nbtstat[ [-a RemoteName] [-A IP address] [-c] [-n] [-r] [-R] [-RR] [-s] [-S] [interval] ]
[-s]
[interval]
參數(shù)
-a列出為其主機名提供的遠(yuǎn)程計算機名字表。
-A列出為其IP地址提供的遠(yuǎn)程計算機名字表。
-c列出包括了IP地址的遠(yuǎn)程名字高速緩存器。
-n列出本地NetBIOS名字。
-r列出通過廣播和WINS解析的名字。
-R消除和重新加載遠(yuǎn)程高速緩存器名字表。
-S列出有目的地IP地址的會話表。
-s列出會話表對話。
NBTSTAT生成的列標(biāo)題具有以下含義:
Input
接收到的字節(jié)數(shù)。
Output
發(fā)出的字節(jié)數(shù)。
In/Out
無論是從計算機(出站)還是從另一個系統(tǒng)連接到本地計算機(入站)。
Life
在計算機消除名字表高速緩存表目前“度過”的時間。
Local Name
為連接提供的本地NetBIOS名字。
Remote Host
遠(yuǎn)程主機的名字或IP地址。
Type
一個名字可以具備兩個類型之一:unique or group
在16個字符的NetBIOS名中,最后一個字節(jié)往往有具體含義,因為同一個名可以在同一臺計算機上出現(xiàn)多次。這表明該名字的最后一個字節(jié)被轉(zhuǎn)換成了16進制。
State
NetBIOS連接將在下列“狀態(tài)”(任何一個)中顯示:
狀態(tài)含義:
Accepting: 進入連接正在進行中。
Associated: 連接的端點已經(jīng)建立,計算機已經(jīng)與IP地址聯(lián)系起來。
Connected: 這是一個好的狀態(tài)!它表明您被連接到遠(yuǎn)程資源上。
Connecting: 您的會話試著解析目的地資源的名字-IP地址映射。
Disconnected: 您的計算機請求斷開,并等待遠(yuǎn)程計算機作出這樣的反應(yīng)。
Disconnecting: 您的連接正在結(jié)束。
Idle: 遠(yuǎn)程計算機在當(dāng)前會話中已經(jīng)打開,但現(xiàn)在沒有接受連接。
Inbound: 入站會話試著連接。
Listening: 遠(yuǎn)程計算機可用。
Outbound: 您的會話正在建立TCP連接。
Reconnecting: 如果第一次連接失敗,就會顯示這個狀態(tài),表示試著重新連接
下面是一臺機器的NBTSTAT反應(yīng)樣本:
C:\>nbtstat CA x.x.x.x
NetBIOS Remote Machine Name Table
Name Type Status
---------------------------------------------
DATARAT <00> UNIQUE Registered
R9LABS <00> GROUP Registered
DATARAT <20> UNIQUE Registered
DATARAT <03> UNIQUE Registered
GHOST <03> UNIFQUE Registered
DATARAT <01> UNIQUE Registered
MAC Address = 00-00-00-00-00-00
您通過下表能掌握有關(guān)該機器的哪些知識呢?
名稱編號類型的使用:
00 U 工作站服務(wù)
01 U 郵件服務(wù)
\\_MSBROWSE_ 01 G 主瀏覽器
03 U 郵件服務(wù)
06 U RAS服務(wù)器服務(wù)
1F U NetDDE服務(wù)
20 U 文件服務(wù)器服務(wù)
21 U RAS客戶機服務(wù)
22 U Exchange Interchange
23 U Exchange Store
24 U Exchange Directory
30 U 調(diào)制解調(diào)器共享服務(wù)器服務(wù)
31 U 調(diào)制解調(diào)器共享客戶機服務(wù)
43 U SMS客戶機遠(yuǎn)程控制
44 U SMS管理遠(yuǎn)程控制工具
45 U SMS客戶機遠(yuǎn)程聊天
46 U SMS客戶機遠(yuǎn)程傳輸
4C U DEC Pathworks TCP/IP服務(wù)
52 U DEC Pathworks TCP/IP服務(wù)
87 U Exchange MTA
6A U Exchange IMC
BE U網(wǎng)絡(luò)監(jiān)控代理 =版權(quán)所有 軟件 下載 學(xué)院 版權(quán)所有
BF U網(wǎng)絡(luò)監(jiān)控應(yīng)用
03 U郵件服務(wù)
00 G域名
1B U域主瀏覽器
1C G域控制器
1D U主瀏覽器
1E G瀏覽器服務(wù)選擇
1C G Internet信息服務(wù)器
00 U Internet信息服務(wù)器
[2B] U Lotus Notes服務(wù)器
IRISMULTICAST [2F] G Lotus Notes
IRISNAMESERVER [33] G Lotus Notes
Forte_$ND800ZA [20] U DCA Irmalan網(wǎng)關(guān)服務(wù)
Unique (U): 該名字可能只有一個分配給它的IP地址。在網(wǎng)絡(luò)設(shè)備上,一個要注冊的名字
可以出現(xiàn)多次,但其后綴是唯一的,從而使整個名字是唯一的。
Group (G): 一個正常的群;一個名字可以有很多個IP地址。
Multihomed (M): 該名字是唯一的,但由于在同一臺計算機上有多個網(wǎng)絡(luò)接口,
這個配置可允許注冊。這些地址的最大編號是25。Internet Group (I): 這是用來管理WinNT域名的組名字的特殊配置。
Domain Name (D): NT 4.0提供的新內(nèi)容。
網(wǎng)絡(luò)入侵者可以通過上表和從nbtstat獲得的輸出信息開始收集有關(guān)您的機器的信息。
有了這些信息,網(wǎng)絡(luò)入侵者就能在一定程度上斷定有哪些服務(wù)正在目標(biāo)機上運行,有時也能斷定已經(jīng)安裝了哪些軟件包。從傳統(tǒng)上講,每個服務(wù)或主要的軟件包都具有一定的脆弱性,
因此,這一類型的信息對網(wǎng)絡(luò)入侵者當(dāng)然有。