Nbtstat показывает, кто вошел в систему
NBT (NetBios через TCP/IP) STAT (статистика) является важным инструментом для решения проблем и зависит от использования Microsoft NetBIOS в Windows. Основой для совместного использования файлов и принтеров в сетях Microsoft Windows является протокол Server Message Block (SMB) (позднее переименованный в CIFS, Common Internet File System). Каждому компьютеру Windows назначается понятное для пользователя имя NetBIOS, позволяющее им взаимодействовать друг с другом. Имена рабочих групп и доменов также являются именами NetBIOS. Протокол NetBIOS не поддерживает маршрутизацию. NetBIOS через TCP/IP есть. Таким образом, инструменты NetBIOS, такие как Nbtstat, полезны для обнаружения и решения проблем в сетях на основе Windows. Это инструмент для просмотра и управления таблицей имен NetBIOS и кэшем имен.
Можно узнать, кто вошел в систему на сетевом ПК, с помощью утилиты Windows NT NBTSTAT, поскольку ее учетная запись, вошедшая в систему, является частью информации об именах, поддерживаемой локально NBT. NBT работает на каждом ПК с Windows и функционирует как локальный агент именования для TCP/IP. Если сетевой адрес не кэширован локально, NBT получает информацию от WINS или LMHOST. Nbtstat можно использовать для захвата идентификаторов входа в систему. Эта утилита командной строки Windows NT запускается как:
nbtstat - дорога домой
-или же-
нбтстат -А 208.188.57.62
Вы заметили, что вы используете -a, когда знаете имя машины, и -A, когда знаете IP-адрес. Ниже приведен результат запуска nbtstat -a wayneathome из командной строки, когда мой домашний компьютер подключен к Интернету с помощью модема. nbtstat — это стандартный метод получения MAC-адресов сетевой карты. Поскольку у меня нет сетевого адаптера, а только модем, MAC-адрес был 00-00-00-00-00-00.
Таблица имен удаленных компьютеров NetBIOSИмя Тип Статус
———————————————
Зарегистрировано Зарегистрировано Зарегистрировано Зарегистрировано Зарегистрировано
MAC-адрес = 00-00-00-00-00-00
WAYNEATHOME <03> УНИКАЛЬНЫЙ
WMAPLES <03> УНИКАЛЬНЫЙ
WAYNEATHOME <00> УНИКАЛЬНЫЙ
РАБОЧАЯ ГРУППА <00> ГРУППА
WAYNEATHOME <20> УНИКАЛЬНЫЙ
Учетная запись будет иметь номер 03. Одна из записей будет именем ПК, а другая — именем учетной записи. Поскольку имя машины отображается в нескольких записях, а большинство учетных записей пользователей соответствуют стандарту компании, нетрудно определить, какая учетная запись пользователя. 03 — это один из многих кодов, достаточно полный список см. в разделе Коды служб NetBIOS в суффиксе NetBIOS.
Если у вас есть сервер RAS, вы, вероятно, увидите идентификатор события 4320 или идентификатор события 4319. В тексте обоих указано, что в сети обнаружено повторяющееся имя. В сообщениях указано, что нужно запустить команду nbtstat -n, чтобы найти компьютер, отправляющий сообщение об освобождении имени (компьютер, обнаруживший конфликт). События 4319 и 4320 содержат tcpip-адрес ПК, обнаружившего конфликт, но в причудливой форме. Просмотрите данные в шестнадцатеричном формате. Последняя строка данных будет состоять из 4 шестнадцатеричных цифр. Примеры Microsoft kb перечисляют данные e7 1a 65 16. Преобразование в десятичное число, 231 26 101 22. Наконец, инвертирование цифр, 22 101 26 231. Отчетный IP-адрес: 22.101.26.231. Когда я выполнял эту задачу, это был IP-адрес WINS-сервера. Использование nbtstat -n может быть очень полезным, но во многих случаях конфликты являются обычными событиями — вход в систему на двух рабочих станциях и это событие будет сгенерировано.
Я создал сценарии, которые проверяют компьютеры в нашей сети и возвращают список зарегистрированных учетных записей пользователей. PERLi особенно полезен для сценариев таких задач.
Введите nbtstat в командной строке, чтобы получить список доступных параметров:
NBTSTAT [ [-a RemoteName] [-A IP-адрес] [-c] [-n]
[-r] [-R] [-RR] [-s] [-S] [интервал] ]-a (статус адаптера) Отображает таблицу имен удаленной машины с учетом ее имени.
-A (Состояние адаптера) Отображает таблицу имен удаленной машины с учетом ее
Айпи адрес.
-c (кэш) Список кеша NBT с именами удаленных [машин] и их IP-адресами.
адреса
-n (имена) Выводит список локальных имен NetBIOS.
-r (разрешено) Список имен, разрешенных широковещательной рассылкой и через WINS.
-R (Reload) Очищает и перезагружает таблицу имен удаленного кэша.
-S (Sessions) Выводит таблицу сеансов с IP-адресами назначения.
-s (sessions) Выводит список сеансов таблицы преобразования IP-адреса назначения
адреса к именам NETBIOS компьютера.
-RR (ReleaseRefresh) Отправляет пакеты освобождения имени на WINS, а затем запускает
ОбновитьRemoteName Имя удаленного хост-компьютера.
IP-адрес Десятичное представление IP-адреса с точками.
interval Повторно отображает выбранную статистику, приостанавливая интервал в секундах
между каждым дисплеем. Нажмите Ctrl+C, чтобы остановить повторное отображение
статистика.
Доступна не-Microsoft версия с двоичным кодом и исходным кодом, который вы можете использовать. У него немного другие параметры. Запустите его на своей любимой Linux-системе, а также на других версиях Unix.
В следующей таблице перечислены суффиксы NetBIOS, используемые Microsoft Windows NT. Суффиксы перечислены в шестнадцатеричном формате, потому что в противном случае многие из них непечатаемые.
Название Номер(h) Тип Использование
————————————————————————
<имя_компьютера > 00 U Служба рабочей станции
<имя_компьютера> 01 U Служба обмена сообщениями
<\–__MSBROWSE__> 01 G Главный браузер
<имя_компьютера> 03 U Служба обмена сообщениями
<computername> 06 U Служба сервера RAS
<имя_компьютера > 1F U Служба NetDDE
<computername> 20 U Служба файлового сервера
<computername> 21 Служба клиента U RAS
<computername> 22 U Обмен Microsoft Exchange (MSMail
Соединитель)
<имя_компьютера > 23 U Магазин Microsoft Exchange
<имя_компьютера> 24 U Каталог Microsoft Exchange
<computername> 30 U Служба сервера общего доступа к модему
<computername> 31 U Клиентская служба общего доступа к модему
<computername> 43 U SMS-клиенты Remote Control
<computername> 44 U Дистанционное управление администраторами SMS
Инструмент
<computername> 45 U SMS-клиенты Удаленный чат
<computername> 46 U SMS-клиенты Удаленная передача
<computername> 4C U DEC Pathworks Служба TCPIP включена
Windows NT
<имя_компьютера> 42 U mccaffee антивирус
<computername> 52 U Служба TCPIP DEC Pathworks включена
Windows NT
<имя_компьютера > 87 U АПС Microsoft Exchange
<имя_компьютера > 6A U Microsoft Exchange IMC
<computername> BE U Агент сетевого монитора
<имя_компьютера > Приложение сетевого монитора BF U
<имя пользователя > 03 Служба обмена сообщениями U
<домен> 00 G Имя домена
<домен> 1B U Основной браузер домена
<домен> Контроллеры домена 1С G
<домен> 1D U Master Browser
<домен> 1E G Browser Service Выборы
<INet~Services> 1C G IIS
<IS~имя компьютера> 00 U IIS
<имя_компьютера> 2B U Служба сервера Lotus Notes
IRISMULTICAST 2F G Lotus Notes
IRISNAMESERVER 33G Lotus Notes
Forte_$ND800ZA 20 U DCA IrmaLan Gateway Server Service
Типы имен NetBIOS описывают функциональные возможности регистрации. Уникальный (U): имени может быть назначен только один IP-адрес. На сетевом устройстве может показаться, что зарегистрировано несколько вхождений одного имени. Суффикс может быть единственным уникальным символом в имени. Группа (G): нормальная группа; одно имя может существовать со многими IP-адресами. WINS отвечает на запрос имени по имени группы с ограниченным широковещательным адресом (255.255.255.255). Поскольку маршрутизаторы блокируют передачу этих адресов, Интернет-группа была разработана для обслуживания связи между подсетями. Multihomed (M): имя уникально, но из-за нескольких сетевых интерфейсов на одном компьютере эта конфигурация необходима для разрешения регистрации. Максимальное количество адресов — 25. Интернет-группа (I): это специальная конфигурация имени группы, используемая для управления доменными именами Windows NT. Имя домена (D): Новое в Windows NT 4.0.
Примечание. Если общий доступ к файлам и принтерам отключен политикой в сети, nbtstat.exe -a не возвращает имя пользователя.