局域网中抓到NBNS数据包

最新推荐文章于 2024-07-02 10:38:02 发布
最新推荐文章于 2024-07-02 10:38:02 发布
阅读量2.6w 收藏 18
点赞数 2
分类专栏: 计算机网络

如果网络里没有开文件夹共享和打印机共享,就可以将这些包禁掉,可以提高一些网络效率。

在客户机中“高级TCP/IP设置”中,禁用 TCP/IP上的NETBIOS即可


以下转自http://blog.chinaunix.NET/uid-21778123-id-1815469.html

NBNS 数据包 和 NetBIOS 协议
第一,NetBIOS基本概念
    NetBIOS: NetBIOS Services Protocols, RFC-1001,1002,网络基本输入/输出系统协议。
    Provides three distinct services: 
         (1)Name service for name registration and resolution.
         (2)Session service for connection-oriented communication.
         (3)Datagram distribution service for connectionless communication.
    每个计算机在网络中都有一个NetBIOS名称和一个IP地址。
    Windows系统对IPV6网络不再支持NetBIOS名称解析。
第二,什么是WINS服务
    WINS (Windows Internet Name Service): WINS is Microsoft's implementation of NetBIOS Name Service (NBNS), a name server and service for NetBIOS computer names. 
    WINS服务器用于登记记录计算机NetBIOS名称和IP地址的对应关系,供局域网计算机查询。
    WINS数据库是动态更新的。计算机每当初始化TCP/IP后都会将它的NetBIOS名和IP地址的对应关系映射到WINS服务器的数据库中。

第三,Windows系统的名字(NetBIOS名称、域名)解析机制(如图所示)
    Hosts文件(本地文件)
    NetBIOS缓存(本地文件)
    DNS服务器解析(DNS数据包)
    WINS服务器解析(NBNS数据包)
    NetBIOS广播查找(NBNS数据包)

第四,为什么在Windows局域网络中存在有大量的NBNS数据包
    如果在局域网络中抓取并观察数据包,会发现有大量的NBNS数据包。
    根据以上Windows系统的名字的解析机制,不难看出:如果计算机需要知道一个NetBIOS名称或者域名对应的IP地址,首先会查找本地Hosts文件和NetBIOS缓存,其次会去联系DNS服务器进行解析。如果这几种方式都无法完成解析,则计算机会发出NBNS数据包。
    在现实网络中,名字解析(不管是NetBIOS名称解析还是域名解析)的需求是非常巨大的,数据包也非常多。由于局域网的安全限制,或者流氓软件对某些域名的大量访问,或者局域网本地计算机之间的大量访问,都会导致非常多的NBNS数据包。




词条百科:

NBNS -- NetBIOS 名称服务器

网络基本输入/输出系统 (NetBIOS) 名称服务器 (NBNS) 协议是 TCP/IP 上的 NetBIOS (NetBT) 协议族的一部分,它在基于 NetBIOS 名称访问的网络上提供主机名和地址映射方法。

NetBIOS是Network Basic Input/OutputSystem的简称,一般指用于局域网通信的一套API。

 

工作原理:

关于ping命令和其工作原理我想这里就不多赘述了,不懂的可以去百度。当我们直接ping一个主机的ip时原理我们都很清楚。但当ping一个主机名的时候,是怎样工作的呢?

 

我们下面就来看一下。 在一个局域网中的两台主机,主机A的ip是:10.30.59.77,Mac地址为:HonHaipr_81:74:8A。主机B的ip为:10.30.59.64,Mac地址为:CompalIn_64:37:4C,主机名为:PC2011022416LZU。    当我们在DOS下通过PING命令ping B主机的主机名时(ping PC2011022416LZU), 我们通过下图可以看到,A主机首先发送了一个广播包NBNS,询问局域网内,哪个主机的名字叫PC2011022416LZU。B主机在收到此NBNS包后做出相应,回发了一个ARP的广播包,学问A主机的MAC地址,此后A主机响应一个ARP数据包,B主机在收到A主机的ARP数据包后得知了A主机的MAC地址,于是返回了一个NBNS相应报,告诉A主机,主机名为PC2011022416LZU的主机在10.30.59.64。A主机在得到B主机的IP后开始发送ICMP的ping数据包。关于抓包显示大量ARP和NBNS包详解

  

扩展:

局域网扫描工具原理

相信搞网络的应该都听说过nbtscan这个工具,当我们处于局域网中,想查询同处一个局域网的主机时,它就是个不错的工具(比如追踪ARP诈骗源)

它也很好用,在win下,nbtscan+ip范围即可,如:(我机子的IP是172.17.27.199,子网掩码是255.255.255.0,下面的抓包会用到我的IP查找相应的数据包)关于抓包显示大量ARP和NBNS包详解
很快就能得到周围的主机的信息了,那么,这里就有疑问了,它是怎么实现的呢,显然由于有MAC地址,估计跟ARP协议有关。打开抓包工具一看就知道了,用Wireshark,于是,我抓到了这样的信息:关于抓包显示大量ARP和NBNS包详解
果然跟ARP协议有关,就相当于遍历每个IP,使用ARP广播发相关的信息,然后接收到的主机便回复我的机子,那么对方的IP还有MAC地址我就会知道了,上图中倒数第二个数据包便是172,.17.27.193的ARP回复消息。

 

好了,那么接下来,又有问题了:ARP协议根本没有主机名这一项啊!

 

相信你也应该发现了,就是上图中淡黄的那一行,nbtscan在得到对方的IP还有MAC后,遍紧接着发送一个NBNS协议数据包,得到了对方的主机名(关于NBNS,在这http://baike.baidu.com/view/1403776.htm)。


沈万三gz
关注
  • 2
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
linux包出现nbns,如何用包分析工具定位感染主机和用户
weixin_32129195的博客
05-21 1354
如今网络威胁日增,当主机被确认感染病毒或遭受某种恶意攻击时,网络运维人员或安全团队如何快速识别出受感染的主机与用户情况呢?利用包分析工具来审查企业内主机发送的可疑网络流量包捕获(pcap)数据,便是一种好方法。一般来说,企业网络主机生成的任何流量均应包含三个标识符:一个MAC地址、一个IP地址和一个主机名。而多数情况下,安全技术人员都是基于IP地址来识别可疑活动并发出预警,这意味着内部IP地址...
关于包显示大量ARP和NBNS包详解_
05-03
NBNS -- NetBIOS 名称服务器 网络基本输入/输出系统 (NetBIOS) 名称服务器 (NBNS) 协议是 TCP/IP 上的 NetBIOS (NetBT) 协议族的一部 分,它在基于 NetBIOS 名称访问的网络上提供主机名和地址映射方法。 NetBIOS是Network Basic Input/Output System的简称,一般指用于局域网通信的一套API。 工作原理: 关于ping命令和其工作原理我想这里就不多赘述了,不懂的可以去百度。当我们直接ping一个主机的ip时原理 我们都很清楚。但当ping一个主机名的时候,是怎样工作的呢? 我们下面就来看一下。 在一个局域网的两台主机,主机A的ip是:10.30.59.77,
LLMNR协议、MDNS协议NBNS协议
banliyaoguai的博客
05-01 1517
MDNS全称Multicast DNSMDNS协议是一种在局域网内实现设备和服务自动发现的协议。具体来说,它允许设备在无需依赖央服务器或配置文件的情况下,通过组播地址发送和接收DNS查询和响应,从而发现局域网的其他设备和服务。MDNS协议基于DNS(协议,但使用组播地址来进行通信,因此能够在局域网快速且高效地实现服务发现。当设备启动时,它会发送一个MDNS查询,询问局域网是否有其他设备或服务可用。如果其他设备知道所需的名称,它们会回复一个MDNS响应,提供相应的IP地址。
Windows安全认证机制——Windows常见协议
最新发布
lurenjia404的博客
07-02 612
链路本地多播名称解析(LLMNR)是一个基于域名系统(DNS)数据包格式的协议,使用此协议可以解析局域网本地链路上的主机名称。它可以很好地支持IPv4和IPv6,是仅次于DNS解析的名称解析协议。NetBIOS是Network Basic Input/Output System(网上基本输入输出系统)的缩写,它是一种接入服务网络的接口标准,主机系统通过WINS服务、广播及Lmhost文件等多种模式,把NetBIOS名解析成对应的IP地址,实现信息通讯。
网络协议详解1 - NBNS
CodingMen的博客
03-23 7249
目录NetBIOS 简介NBNS 简介NBNS 数据报格式GENERL HEADERHEADERQUESTION SECTIONRESOURCE RECORDNAME REGISTRATION REQUESTPOSTIVE NAME REGISTRATION RESPONSENODE STATUS REQUESTNODE STATUS RESPONSENetBIOS 命名编码nbtstat帮助信息...
NBNS协议使用场景
atajt的博客
07-25 451
1.协议解释:网络基本输入/输出系统 (NetBIOS) 名称服务器 (NBNS) 协议是 TCP/IP 上的 NetBIOS (NetBT) 协议族的一部分,它在基于 NetBIOS 名称访问的网络上提供主机名和地址映射方法。2.NBNS协议在电脑不开启共享的情况下可以关闭,具体操作:打开网络连接面板-选tcp/ipv4-点属性-点高级-在WINS下勾选禁用TCP/IP上的NetBIOS.3.如果基于安全考虑,建议关闭。
NBNS数据包
qq_29566629的博客
12-27 3043
NBNS是网络基本输入/输出系统 (NetBIOS) 名称服务器的缩写。它也是TCP/IP协议的一部分。它负责将计算机名转化为对应的IP。其,Name query NB是请求包,Name query response NB是响应包。双方的端口号均为137。NBNS在WIndows用的较少,Windows普遍采用LLMNR协议。 如果计算机需要知道一个NetBIOS名称或者域名对应的IP地址,首先会查找本地Hosts文件和NetBIOS缓存,其次会去联系DNS服务器进行解析。如果这几种方式都无法完成解析,则
【网络技术】【Kali Linux】Wireshark嗅探(十二)NBNS协议报文捕获及分析
weixin_43031313的博客
05-21 719
NBNS的全称为NetBios Name Service,为应用层(第5层)的协议。该协议为程序提供了请求低级服务的统一的命令集,作用是为了给局域网提供网络以及其他特殊功能。几乎所有的局域网都是在NetBIOS协议的基础上工作的。
局域网
11-19
局域网包,简单方柏a变。相近,c++,白日依山尽
NBNS简析
dranker的专栏
12-15 2574
网络基本输入/输出系统 (NetBIOS) 名称服务器 (NBNS) 协议是 TCP/IP 上的 NetBIOS (NetBT) 协议族的一部分,它在基于 NetBIOS 名称访问的网络上提供主机名和地址映射方法。         端口号:137/UDP         当计算机要访问某个目的,且只知道主机名时,通过NBNS协议可以获取其IP地址。即主机名和IP地址的对应关系,类似DNS的域名
NBNS分析
火焰
09-13 7109
第一,NetBIOS基本概念    NetBIOS: NetBIOSServices Protocols, RFC-1001,1002,网络基本输入/输出系统协议。    Provides threedistinct services:         (1)Name service for name registration and resolution.        (2)Sessi
NBNS二进制实例分析
09-13
### NBNS二进制实例分析 ...通过以上分析可以看出,NBNS数据包局域网常见的用于名称解析的数据包类型。通过对这些数据包的深入理解,可以帮助网络管理员更好地管理网络,并解决可能出现的各种网络问题。
【教材】局域网问题汇总.pdf
10-26
6. **TCP/IP和NetBIOS协议**:NetBIOS协议局域网起着关键作用,尤其是NetBIOS名称服务器(NBNS)和NetBIOS数据报服务。这些服务的正常运行对网络发现和通信至关重要。 7. **IP地址和工作组设置**:确保所有...
协议分析系列_包源文件(573个) 主流协议你想要的都包括.zip
04-10
协议分析系列_包源文件(573个) 主流协议你想要的都包括 ARP Auto-RP BGP BOOTP CDP CDPCP CHAP DEC_DNA DNS DTP DVMRP EAP EAPoL EIGRP ESP Ethernet Frame ...
NetBIOS和NBNS
SHK242673的专栏
07-23 1373
NetBIOS:  NetBIOS是Network Basic Input/Output System的简称,一般指用于局域网通信的一套API是Network Basic Input/Output System的简称,一般指用于局域网通信的一套API,历史NetBIOS是一个网络协议,在上世纪80年代早期由IBM和Sytec联合开发,用于所谓的PC-Network。虽然公开发表的文档很少
NBNS协议
lvzhuyiyi4的专栏
02-19 7699
NBNS——网络基本输入/输出系统名称服务器 (NBNS) 协议是 TCP/IP 上的 NetBIOS(NetBT)  协议族的一部分,它在基于 NetBIOS 名称访问的网络上提供主机名和地址映射的方法。 NetBIOS是一个网络协议,在上世纪80年代早期由IBM和Sytec联合开发,用于所谓的PC-Network。虽然公开发表的文档很少,协议的API却成为了事实上的标准。 随着PC-Net
NBNS 数据包 和 NetBIOS 协议
ghnbvfrtyujm的专栏
09-25 1930
第一,NetBIOS基本概念     NetBIOS: NetBIOS Services Protocols, RFC-1001,1002,网络基本输入/输出系统协议。     Provides three distinct services:          (1)Name service for name registration and resolution.
NBNS扫描工具nbtscan-unixwiz
05-05 230
NBNS扫描工具nbtscan-unixwiz NBNS是NetBIOSNameService的缩写,表示NetBIOS名称解析服务。NETBIOS是一种网络协议,用于实现消息通信和资源共享。利用该服务,可以...
nbns协议_利用 NetBIOS 协议名称解析及 WPAD 进行内网渗透
weixin_39849479的博客
11-21 1044
0x00 前言WPAD 这项技术已经诞生了近十年的时间,其最大的优势就在于,在一个或多个局域网,当需要为内网的用户设置不同的代理服务器去连接互联网或者企业内网时,利用 WPAD 就能够灵活方便的进行配置。由于配置代理服务器的方式对于用户来说是透明的,无需用户手动操作的,因此,攻击者就可以利用这个特点使用 WPAD 进行内网的渗透。利用 WPAD 进行内网渗透的技术已经出现了很多年了,一直没有变...
局域网的所有电脑都在不停的发送NBNS
04-29
NBNS (NetBIOS Name Service) 是一种用于在局域网环境解析计算机名称的协议。当局域网的电脑启动时,它们会发送 NBNS 请求来获取其他计算机的名称和 IP 地址信息。如果你的局域网所有电脑都在不停地发送 NBNS 请求,可能是因为存在某些网络配置问题或者有恶意软件在网络活动。建议先检查网络配置,确保所有电脑的 IP 地址、子网掩码等设置正确;如果问题依然存在,可以使用杀毒软件扫描电脑,查找并清除恶意软件。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值