网络扫描工具-nbtscan
2026-04-20 09:03:09 
阿炯
支持多平台的网络扫描工具nbtscan于2005年11月下旬发布,该工具通过NetBIOS协议扫描局域网设备,可获取IP地址、MAC地址、主机名及用户名称等网络标识信息,适用于病毒木马检测、异常设备定位及安全取证等场景。它主要用于局域网内,能够准确获取电脑的真实IP地址和MAC地址。采用C语言编写开发并在GPLv2+协议发布。A command-line tool that scans for open NETBIOS nameservers on a local or remote TCP/IP network, and this is a first step in finding of open shares. It is based on the functionality of the standard Windows tool nbtstat, but it operates on a range of addresses instead of just one. I wrote this tool because the existing tools either didn't do what I wanted or ran only on the Windows platforms: mine runs on just about everything.
作为命令行工具,nbtscan在Linux系统中可通过包管理器安装。通过指定参数如“-r”来扫描网段(如192.168.1.0/24),输出结果包含设备IP与MAC地址对应表。其技术特点包括用C语言编写、文件体积较小,支持完整NBT资源记录和调试输出功能,扫描范围可设定为单一IP或地址段,并支持从文件读取IP列表进行扫描。
nbtscan通过向指定IP范围内的每个地址发送NetBIOS状态查询来工作,并收集每个响应主机的IP地址、NetBIOS计算机名、登录用户名和MAC地址等信息。其基于标准Windows工具nbtstat的功能和处理结构,是对其功能的跨平台实现。该工具使用C语言编写,大小不足40 KB,也不需要特殊的库或DLL。开发目的是由于以前的类似工具只能在Windows平台上运行,因此开发了nbtscan以便在多个主流平台上运行。
其提供多种参数以定制扫描行为。参数用于详细输出,打印从每个主机接收到的所有名称。参数用于转储数据包,打印完整数据包内容。参数以/etc/hosts格式输出结果。参数以lmhosts格式输出结果,且不能与、或选项同时使用。参数设置等待响应的超时时间(毫秒),默认值为1000。参数用于带宽限制,减缓输出速度以避免在慢速链路上丢弃传出查询。参数使用本地端口137进行扫描,仅适用于如Win95等旧系统,在Unix系统上使用此选项需要root权限。参数抑制横幅与错误输出。参数提供脚本友好输出,指定字段分隔符。参数打印服务的人类可读名称,只能与选项一起使用。参数设置重传次数,默认值为0。参数从指定文件读取要扫描的IP地址。
其作为一款NetBIOS信息扫描工具,主要应用于网络安全、网络发现与取证调查等场景。
网络安全管理与主机发现:
通过向指定IP范围发送NetBIOS状态查询,nbtscan可以快速发现局域网内的活跃设备,并列出其IP地址、NetBIOS计算机名、登录用户名和MAC地址。这有助于网络管理员绘制网络拓扑、清点资产。当局域网内有主机感染病毒(如传奇木马)或发起ARP攻击时,管理员可利用nbtscan扫描结果,通过比对IP-MAC地址对应表,快速定位感染源或攻击源主机。
安全事件取证与调查:
在安全事件调查中,攻击者或安全研究人员常将nbtscan作为内网信息收集工具使用。例如,在部分攻击案例中,攻击者会上传nbtscan脚本到受控服务器,对内网进行扫描以获取主机信息,扫描记录可能被保存用于后续横向移动。安全专家在取证时,发现此类工具及日志文件有助于还原攻击路径和内网渗透范围。
主机安全监控与威胁检测:
部分主机安全产品(如HIDS)将nbtscan发起的扫描活动识别为一种潜在的威胁行为,并纳入其检测规则库。一旦检测到针对主机的nbtscan扫描活动,安全系统会实时上报告警,帮助安全团队及时发现网络中的侦察行为。
最新版本:1.0
项目主页:http://unixwiz.net/tools/nbtscan.html