NBNS分析

本文主要是介绍NBNS分析，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

第一，NetBIOS基本概念

   NetBIOS: NetBIOSServices Protocols, RFC-1001，1002，网络基本输入/输出系统协议。

   Provides threedistinct services: 

       (1)Name service for name registration and resolution.

       (2)Session service for connection-oriented communication.

       (3)Datagram distribution service for connectionless communication.

   每个计算机在网络中都有一个NetBIOS名称和一个IP地址。

   Windows系统对IPV6网络不再支持NetBIOS名称解析。

   

第二，什么是WINS服务

   WINS (WindowsInternet Name Service): WINS is Microsoft's implementation of NetBIOS NameService (NBNS), a name server and service for NetBIOS computer names. 

   WINS服务器用于登记记录计算机NetBIOS名称和IP地址的对应关系，供局域网计算机查询。

   WINS数据库是动态更新的。计算机每当初始化TCP/IP后都会将它的NetBIOS名和IP地址的对应关系映射到WINS服务器的数据库中。

第三，Windows系统的名字(NetBIOS名称、域名)解析机制（如图所示）

   Hosts文件(本地文件)

   NetBIOS缓存(本地文件)

   DNS服务器解析(DNS数据包)

   WINS服务器解析(NBNS数据包)

   NetBIOS广播查找(NBNS数据包)

 

第四，为什么在Windows局域网络中存在有大量的NBNS数据包

   如果在局域网络中抓取并观察数据包，会发现有大量的NBNS数据包。

   根据以上Windows系统的名字的解析机制，不难看出：如果计算机需要知道一个NetBIOS名称或者域名对应的IP地址，首先会查找本地Hosts文件和NetBIOS缓存，其次会去联系DNS服务器进行解析。如果这几种方式都无法完成解析，则计算机会发出NBNS数据包。

   在现实网络中，名字解析（不管是NetBIOS名称解析还是域名解析）的需求是非常巨大的，数据包也非常多。由于局域网的安全限制，或者流氓软件对某些域名的大量访问，或者局域网本地计算机之间的大量访问，都会导致非常多的NBNS数据包。

 

 

下面分析一个NBNS包：

	A	B	C	D	E	F	G	H	I	J	K	L	M	N	O	P
1	ff	ff	ff	ff	ff	ff	b0	10	41	b9	a0	b7	08	00	45	00
2	00	4e	12	45	00	00	40	11	55	1b	ac	1e	bb	02	ac	1e
3	ff	ff	00	89	00	89	00	3a	69	97	dc	11	01	10	00	01
4	00	00	00	00	00	00	20	45	4a	45	4f	45	47	45	50	45
5	44	44	43	43	4f	45	45	46	46	45	43	45	42	43	4f	45
6	4f	45	46	46	45	41	41	00	00	20	00	01

 

 

先来分析MAC帧的首部：目的地址：0xff ff ff ff ff ff这个是广播地址(broadcast)

再来分析IP：

         目的地址：0x ac   1e     ff       ff，即：172.30.255.255，因为这是连接的宿舍的wifi查看自己的ip信息，发现此时自己的ip是：172.30.187.2，而子网掩码是：255.255.0.0，说明这个目的地址是本网络内的IP广播地址，现在自己所处的网络号是：172.30.0.0/16

         协议字段：这里是0x11，即17，应该表示的下面的是UDP的数据包

再来分析一下UDP：

         目的端口号和源端口号都是：0x0089，即：137，这个端口号应该是NBNS协议专用的吧？

         长度字段是：0x00 3a，即：58B，正好是3C~6L的数据长度

正式来分析NBNS:

        

dc

11

         TransactionID：0xdc 11，即：56337，不知道什么意思

01

10

         Flags：即，0x00000001 0001 0000，要分开来分析，

其中第一个bit为0表示：Response：message is query

第2到第5的bit为0表示：opcode namequery(0)

第7个bit为0表示：Truncated：message isnot truncated

第8个bit为0表示：recursiondesired：do query recursively

第12个bit为0表示：Broadcast：broadcastpacket

00

01

         Questions：0x00 01，即：1，表示：questions：1，不知道啥意思

 

 

 

00

00

         AnswerRRS：0，不知道啥意思

00

00

         AuthorityRRS：0，不知道啥意思

00

00

         AdditionalRRS：0，不知道啥意思

下面的从4G~6L全部是queries：

         其中从4J~6H共34B是：name，不知道啥意思

         再往下：

00

20

         表示的是type：NB

00

01

         表示的是：Class：in

这篇关于NBNS分析的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---