nbtscannbtscan扫描器指令有哪些？

怎么查MAC地址·

方法一：用ARP -A 查询 这种方法只能查到与本机通讯过（20分钟内）的主机MAC地址和IP地址。

可在远程主机所属网段中的任一台主机上运行此命令，这样可查出IP欺骗类病毒的主机。

方法二：用专用软件查，如nbtscan 命令方式是：nbtscan -r 网络号/掩码位，这种方法可查询某网段的所有IP与MAC对应关系，但装有防火墙的主机则禁止查询。

方法三： 如果所连交换机有网管功能，可用ARP SHOW 命令显示交换机的arp缓存信息，这种方式基本可查询所有的IP 与MAC地址，但只有网管才有这个权限。

方法四：用sniffer类的嗅探软件抓包分析，packet中一般都含用IP地址与MAC地址。

方法五：用solarwinds类软件中的MAC ADDRESS DISCOVERY查询，但这个工具好象不能跨网段查询。

只适合局域网查哦

ARP病毒怎么解决？

具体如下： 有关ARP病毒问题的处理说明: 故障现象：机器以前可正常上网的，突然出现可认证，不能上网的现象（无法ping通网关），重启机器或在MSDOS窗口下运行命令ARP -d后，又可恢复上网一段时间。

故障原因：这是APR病毒欺骗攻击造成的。

引起问题的原因一般是由传奇外挂携带的ARP木马攻击。

当在局域网内使用上述外挂时，外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上，向局域网内大量发送ARP包，从而致使同一网段地址内的其它机器误将其作为网关，这就是为什么掉线时内网是互通的，计算机却不能上网的原因。

临时处理对策： 步骤一. 在能上网时，进入MS-DOS窗口，输入命令： arp –a 查看网关IP对应的正确MAC地址，将其记录下来。

注：如果已经不能上网，则先运行一次命令arp –d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话），一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp –a。

步骤二. 如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。

手工绑定可在MS-DOS窗口下运行以下命令： arp –s 网关IP 网关MAC 例如：假设计算机所处网段的网关为218.197.192.254，本机地址为218.197.192.1在计算机上运行arp –a后输出如下： C:Documents and Settings>arp -a Interface: 218.197.192.1 --- 0x2 Address Physical Address Type 218.197.192.254 00-01-02-03-04-05 dynamic 其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址，类型是动态（dynamic）的，因此是可被改变。

被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC，如果大家希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找做准备。

手工绑定的命令为： arp –s 218.197.192.254 00-01-02-03-04-05 绑定完，可再用arp –a查看arp缓存， C:Documents and Settings>arp -a Interface: 218.197.192.1 --- 0x2 Address Physical Address Type 218.197.192.254 00-01-02-03-04-05 static 这时，类型变为静态（static），就不会再受攻击影响了。

但是，需要说明的是，手工绑定在计算机关机重开机后就会失效，需要再绑定。

所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，令其杀毒，方可解决。

找出病毒计算机的方法： 如果已有病毒计算机的MAC地址，可使用NBTSCAN软件找出网段内与该MAC地址对应的IP，即病毒计算机的IP地址，然后可报告校网络中心对其进行查封。

NBTSCAN的使用方法： 下载nbtscan.rar到硬盘后解压，然后将cygwin1.dll和nbtscan.exe两文件拷贝到c:windowssystem32(或system)下，进入MSDOS窗口就可以输入命令： nbtscan -r 218.197.192.0/24 （假设本机所处的网段是218.197.192，掩码是255.255.255.0；实际使用该命令时，应将斜体字部分改为正确的网段） 。

注：使用nbtscan时，有时因为有些计算机安装防火墙软件，nbtscan的输出不全，但在计算机的arp缓存中却能有所反应，所以使用nbtscan时，还可同时查看arp缓存，就能得到比较完全的网段内计算机IP与MAC的对应关系。

说明： 1、进入MSDOS窗口的方法： “开始”菜单->“运行” ->在打开位置输入cmd，点击确定 2、下载网址： /download/nbtscan-anqn.rar

NBTSCAN怎么用，我怎么用不了啊，我的电脑被arp攻击了 知道mac地址怎么查ip啊

1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。

2)在Windows开始—>运行—>打开，输入cmd(windows98输入mand”)，在出现的DOS窗口中输入:C: btscan -r 192.168.1.1/24(这里需要根据用户实际网段输入,如果你的网关地址是192168.0.1那你就把上面的192.168.1.1换掉， “/24”是必要的)，回车。

3)通过查询IP--MAC对应表，查出“xxxxxxxxxx”的病毒主机的IP地址为“192.168.1.xxx”。

什么是电脑APR攻击？怎么解决？？

什么是ARP攻击?ARP病毒的处理及ARP攻击原理 问题：什么是ARP攻击？ARP攻击是什么意思？ ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行。

基于ARP协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的ARP数据包，数据包内包含有与当前设备重复的Mac地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。

一般情况下，受到ARP攻击的计算机会出现两种现象： 1.不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。

2.计算机不能正常上网，出现网络中断的症状。

因为这种攻击是利用ARP请求报文进行“欺骗”的，所以防火墙会误以为是正常的请求数据包，不予拦截。

因此普通的防火墙很难抵挡这种攻击。

ARP病毒问题的处理 ARP病毒问题的处理说明: 故障现象：机器以前可正常上网的，突然出现可认证，不能上网的现象（无法ping通网关），重启机器或在MSDOS窗口下运行命令ARP -d后，又可恢复上网一段时间。

故障原因：这是APR病毒欺骗攻击造成的。

引起问题的原因一般是由传奇外挂携带的ARP木马攻击。

当在局域网内使用上述外挂时，外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上，向局域网内大量发送ARP包，从而致使同一网段地址内的其它机器误将其作为网关，这就是为什么掉线时内网是互通的，计算机却不能上网的原因。

临时处理对策： 步骤一. 在能上网时，进入MS-DOS窗口，输入命令：arp –a 查看网关IP对应的正确MAC地址，将其记录下来。

注：如果已经不能上网，则先运行一次命令arp –d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话），一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp –a。

步骤二. 如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。

手工绑定可在MS-DOS窗口下运行以下命令： arp –s 网关IP 网关MAC 例如：假设计算机所处网段的网关为218.197.192.254，本机地址为218.197.192.1在计算机上运行arp –a后输出如下： C:Documents and Settings>arp -a Interface: 218.197.192.1 --- 0x2 Address Physical Address Type 218.197.192.254 00-01-02-03-04-05 dynamic 其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址，类型是动态（dynamic）的，因此是可被改变。

被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC，如果大家希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找做准备。

手工绑定的命令为： arp –s 218.197.192.254 00-01-02-03-04-05 绑定完，可再用arp –a查看arp缓存， C:Documents and Settings>arp -a Interface: 218.197.192.1 --- 0x2 Address Physical Address Type 218.197.192.254 00-01-02-03-04-05 static 这时，类型变为静态（static），就不会再受攻击影响了。

但是，需要说明的是，手工绑定在计算机关机重开机后就会失效，需要再绑定。

所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，令其杀毒，方可解决。

找出病毒计算机的方法： 如果已有病毒计算机的MAC地址，可使用NBTSCAN软件找出网段内与该MAC地址对应的IP，即病毒计算机的IP地址，然后可报告校网络中心对其进行查封。

ARP攻击原理 文主要以以太网为例，说明ARP攻击的原理。

以太网上的机器通过IP协议通信时，IP包从上层一直下传到数据链路层，数据链路层就要构造以太帧了，以太头中包括目的MAC地址，源MAC地址和协议，源地址是自己网卡的MAC地址，可以得到，协议对于IP包来说是0x0800(网络序)，而目的MAC地址呢？所知道的目前只是目的IP地址，ARP协议就是把IP地址转换为IP地址的一个底层协议，一般人很少注意。

为得到一个IP地址对应的MAC地址，主机就会发出ARP请求，属于以太广播包目的MAC是FF:FF:FF:FF:FF:FF，协议0x0806，表示是ARP协议，在RFC826中定义，RFC中是这样定义的transmissionlayer(essibletotheuser)： 48.bit: address of destination 48.bit: address of sender 16.bit: Protocol type = ether_type$ADDRESS_RESOLUTION packet data: 16.bit: (ar$hrd) Hardware address space (e.g., , Packet Radio Net.) 16.bit: (ar$pro) Protocol address space. For hardware, this is from the set of type fields ether_typ$. 8.bit: (ar$hln) byte length of each hardware address 8.bit: (ar$pln) byte length of each protocol address 16.bit: (ar$op) opcode (ares_op$REQUEST | ares_op$REPLY) nbytes: (ar$sha) Hardware address of sender of this packet, n from the ar$hln field. mbytes: (ar$spa) Protocol address of sender of this packet, m from the ar$pln field. nbytes: (ar$tha) Hardware address of target of this packet (if known). mbytes: (ar$tpa) Protocol address of target. hardware address space 协议类型字段表示要映射的协议地址类型。

它的值与包含IP数据报的以太网数据帧中的类型字段的值相同，这是有意设计的,为0x0800即表示IP包。

接下来的两个1字节的字段，硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度，以字节为单位。

对于以太网上IP地址的ARP请求或应答来说，它们的值分别为6和4。

操作字段指出四种操作类型，它们是ARP请求（值为1）、ARP应答（值为2）、RARP请求（值为3）和ARP应答（值为4）。

接下来的四个字段是发送端的硬件地址（在本例中是以太网地址）、发送端的协议地址（IP地址）、目的端的硬件地址和目的端的协议地址。

注意，这里有一些重复信息：在以太网?的数据帧报头中和ARP请求数据帧中都有发送端的硬件地址。

对于一个ARP请求来说，除目的端硬件地址外的所有其他的字段都有填充值。

当系统收到一份目的端为本机的ARP请求报文后，它就把硬件地址填进去，然后用两个目的端地址分别替换两个发送端地址，并把操作字段置为2，最后把它发送回去。

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。

当ARP欺骗的木马程序停止运行时，用户会恢复从安全网关上网，切换过程中用户会再断一次线。

来源：电脑知识网 电脑视界网

nbtscan扫描器指令有哪些？

1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。

2)在Windows开始—>运行—>打开，输入cmd(windows98输入mand”)，在出现的DOS窗口中输入:C: btscan -r 192.168.16.1/24(这里需要根据用户实际网段输入)，回车。

3)通过查询IP--MAC对应表，查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。