NBNS协议【转】

刚刚抓包发现了一个NBNS协议的数据包，出于兴趣查了一下资料，原来是这么一回事情。

NBNS = NetBIOS Name Service，应该是在做命名查询。微软WINS的实现就是一个例子。例如开启了WINS的主机就会发出目的地址地址.*.*.255进行广播，使用UDP协议，连137端口。

可是很多人，尤其是一些网管经常发现大量的这样报文，最终影响网络，甚至导致交换机的瘫痪，这是为什么呢？ 一下就有一个例子：

最近也发现很多接入交换机出现类似的情况，因为接入交换机端口所属VLAN在核心交换机上也有，最终竟然导致接入交换机和汇聚交换机、核心交换机间的链路阻塞，使得网络变得基本不通
初步分析了一下捕获到的数据，基本认定原因在于好多个人计算机内包含恶意/流氓软件，会不停地访问btamail.net、bar.baidu.com、sobar.baidu.com等域名，同时，windows的名字解析机制的顺序是：
1. hosts
2. net bios, wins, lmhosts
3. dns
所以，就会在网络中产生大量nbns的数据包
解决办法（准备测试）：
设置交换机的ACL禁用源端口137、目的端口137，如果要用到wins服务，另当别论。

NetBIOS:
是Network Basic Input/Output System的简称，一般指用于局域网通信的一套API
历史
NetBIOS是一个网络协议，在上世纪80年代早期由IBM和Sytec联合开发，用于所谓的PC-Network。虽然公开发表的文档很少，协议的API却成为了事实上的标准。
随着PC-Network被令牌环和以太网取代，NetBIOS也应该退出历史舞台。但是，由于很多软件使用了NetBIOS的API，所以NetBIOS被适配到了各种其他的协议上，比如IPX/SPX和TCP/IP。
使用令牌环和以太网传输的NetBIOS现在被称为NetBEUI。在Micrsoft Windows 98发布之前，一直广泛使用。在TCP/IP上运行的NetBIOS称为NBT，由RFC 1001和RFC 1002定义。NBT的基本思想是在基于IP的络上模拟基于NetBIOS的PC-Network。NBT在Windows 2000中引入，是现在首选的NetBIOS传输。
概述
不管使用哪一种传输方式，NetBIOS提供三种不同的服务：
名字服务：名字登记和解析
会话服务：可靠的基于连接的通信
数据包服务：不可靠的无连接通信
当NetBIOS是数据链路层协议时，可以通过5Ch中断访问其功能。传递给这些函数的消息使用NCB格式。
NetBIOS和NetBEUI被设计为仅仅用于局域网，因此不支持路由，并且最多只能处理72个节点或者设备。NetBIOS和NetBEUI经常使用广播实现，尤其是名字服务的相关操作。
NBT使用一个或多个NBNS(NetBIOS Name Server(s))将名字服务扩展到多个子网。NBNS是动态DNS的一种，Microsoft的NBNS实现称为WINS。另外࿰