Инструментальные средства обеспечения безопасности


Реализация - часть 2


В этой таблице показано, что кто-то соединился с одним из наших общих ресурсов с адреса 192.168.1.102. Теперь мы можем отслеживать эти действия.

Более сильная сторона NBTSTAT, тем не менее, проявляется, когда его используют с опциями -a и -A для конкретного хоста. Посмотрим, какую информацию мы можем получить о нашем друге с адресом 192.168.1.102.

C:\WINDOWS\Desktop>nbtstat -A 192.168.1.102

NetBIOS Remote Machine Name Table

Name Type Status --------------------------------------------------------------------------- MYCOMPUTER <00> UNIQUE Registered MYDOMAIN <00> GROUP Registered MYCOMPUTER <03> UNIQUE Registered MYCOMPUTER <20> UNIQUE Registered MYDOMAIN <1E> GROUP Registered MYUSER <03> UNIQUE Registered MYDOMAIN <1D> GROUP Registered ..__MSBROUSE__. <01> GROUP Registered

MAC Address = 00-50-DA-E9-87-5F C:\WINDOWS\Desktop>

NBTSTAT вернул таблицу имен, содержащую список активных NetBIOS служб конкретного хоста. Однако прежде чем мы сможем извлечь что-нибудь полезное из этой таблицы, нам необходимо немного познакомится с протоколом NetBIOS.

Мы должны понять смысл имен, приведенных в списке, и рассмотреть комбинацию символов кодов NetBIOS (<##>) и значений типов. Во-первых, мы видим комбинацию <00> UNIQUE. Это NetBIOS-код означает, что служба выполняется и отображает список системных имен NetBIOS. Таким образом, мы можем понять, что имя системы - MYCOMPUTER.

В следующей строке стоит последовательность <00> GROUP. Это означает, что данная строка относится к рабочей группе или домену. В нашем случае запись относится к домену MYDOMAIN.

Третья строка содержит код <03>, который используется для обозначения службы передачи сообщений. И вновь в этой строке присутствует имя компьютера. Но если мы видим код <03> вместе с именем компьютера, это означает, что нам должен повстречаться этот код в нижней части таблицы в сопровождении другого имени. Как и предполагалось, в седьмой строке мы видим имя MYUSER.


- Начало -  - Назад -  - Вперед -