NBNS实例分析.docxVIP

第一，NetBIOS基本概念? ??NetBIOS: NetBIOS Services Protocols, RFC-1001，1002，网络基本输入/输出系统协议。? ??Provides three distinct services:?? ??? ??(1)Name service for name registration and resolution.? ??? ??(2)Session service for connection-oriented communication.? ??? ??(3)Datagram distribution service for connectionless communication.? ??每个计算机在网络中都有一个NetBIOS名称和一个IP地址。? ??Windows系统对IPV6网络不再支持NetBIOS名称解析。第二，什么是WINS服务? ??WINS (Windows Internet Name Service):?WINS is Microsofts implementation of NetBIOS Name Service (NBNS), a name server and service for NetBIOS computer names.?? ??WINS服务器用于登记记录计算机NetBIOS名称和IP地址的对应关系，供局域网计算机查询。? ??WINS数据库是动态更新的。计算机每当初始化TCP/IP后都会将它的NetBIOS名和IP地址的对应关系映射到WINS服务器的数据库中。第三，Windows系统的名字(NetBIOS名称、域名)解析机制（如图所示）? ??Hosts文件(本地文件)? ??NetBIOS缓存(本地文件)? ??DNS服务器解析(DNS数据包)? ??WINS服务器解析(NBNS数据包)? ??NetBIOS广播查找(NBNS数据包)第四，为什么在Windows局域网络中存在有大量的NBNS数据包? ??如果在局域网络中抓取并观察数据包，会发现有大量的NBNS数据包。? ??根据以上Windows系统的名字的解析机制，不难看出：如果计算机需要知道一个NetBIOS名称或者域名对应的IP地址，首先会查找本地Hosts文件和NetBIOS缓存，其次会去联系DNS服务器进行解析。如果这几种方式都无法完成解析，则计算机会发出NBNS数据包。? ??在现实网络中，名字解析（不管是NetBIOS名称解析还是域名解析）的需求是非常巨大的，数据包也非常多。由于局域网的安全限制，或者流氓软件对某些域名的大量访问，或者局域网本地计算机之间的大量访问，都会导致非常多的NBNS数据包。下面分析一个NBNS包：ABCDEFGHIJKLMNOP1ffffffffffffb01041b9a0b7080045002004e124500004011551bac1ebb02ac1e3ffff00890089003a6997dc1101100001400000000000020454a454f45474550455444443434f4545464645434542434f4564f4546464541410000200001先来分析MAC帧的首部：目的地址：0xff ff ff ff ff ff这个是广播地址(broadcast)再来分析IP：目的地址：0x ac1effff，即：172.30.255.255，因为这是连接的宿舍的wifi查看自己的ip信息，发现此时自己的ip是：172.30.187.2，而子网掩码是：255.255.0.0，说明这个目的地址是本网络内的IP广播地址，现在自己所处的网络号是：172.30.0.0/16协议字段：这里是0x11，即17，应该表示的下面的是UDP的数据包再来分析一下UDP：目的端口号和源端口号都是：0x00 89，即：137，这个端口号应该是NBNS协议专用的吧？长度字段是：0x00 3a，即：58B，正好是3C~6L的数据长度正式来分析NBNS:dc11Transaction ID：0xdc 11，即：56337，不知道什么意思0110Flags：即，0x0000 0001 0001 0000，要分开来分析，其中第一个bit为0表示：Response：message isquery第2到第5的bit为0表示：opcode name query(0)第7个bit为0表示：Truncated：message is not truncated第8个bit为0表示：recursion desired：do query recursively第12个bit为0表示：Broadcast：broadcast packet0001Ques