NBNS协议刚刚抓包发现了一个NBNS协议的数据包，出于兴趣查了一下资料，原来是这么一回事情。NBNS=NetBIOSNameService，应该是在做命名查询。微软WINS的实现就是一个例子。例如开启了WINS的主机就会发出目的地址地址.*.*.255进行广播，使用UDP协议，连137端口。可是很多人，尤其是一些网管经常发现大量的这样报文，最终影响网络，甚至导致交换机的瘫痪，这是为什么呢？一下就有一个例子：最近也发现很多接入交换机出现类似的情况，因为接入交换机端口所属VLAN在核心交换机上也有，最终竟然导致接入交换机和汇聚交换机、核心交换机间的链路阻塞，使得网络变得基本不通初步分析了一下捕获到的数据，基本认定原因在于好多个人计算机内包含恶意/流氓软件，会不停地访问btamail.net、bar.baidu.com、sobar.baidu.com等域名，同时，windows的名字解析机制的顺序是：1.hosts2.netbios,wins,lmhosts3.dns所以，就会在网络中产生大量nbns的数据包解决办法（准备测试）：设置交换机的ACL禁用源端口137、目的端口137，如果要用到wins服务，另当别论。NetBIOS:是NetworkBasicInput/OutputSystem的简称，一般指用于局域网通信的一套API历史NetBIOS是一个网络协议，在上世纪80年代早期由IBM和Sytec联合开发，用于所谓的PC-Network。虽然公开发表的文档很少，协议的API却成为了事实上的标准。随着PC-Network被令牌环和以太网取代，NetBIOS也应该退出历史舞台。但是，由于很多软件使用了NetBIOS的API，所以NetBIOS被适配到了各种其他的协议上，比如IPX/SPX和TCP/IP。使用令牌环和以太网传输的NetBIOS现在被称为NetBEUI。在MicrsoftWindows98发布之前一直广泛使用在TCP/IP上运行的NetBIOS称为NBT，。，由RFC1001和RFC1002定义。NBT的基本思想是在基于IP的络上模拟基于NetBIOS的PC-NetworkNBT在Windows2000中引入是现在首选的NetBIOS。，传输。概述不管使用哪一种传输方式，NetBIOS提供三种不同的服务：名字服务：名字登记和解析会话服务：可靠的基于连接的通信数据包服务：不可靠的无连接通信当NetBIOS是数据链路层协议时，可以通过5Ch中断访问其功能。传递给这些函数的消息使用NCB格式。NetBIOS和NetBEUI被设计为仅仅用于局域网，因此不支持路由，并且最多只能处理72个节点或者设备。NetBIOS和NetBEUI经常使用广播实现，尤其是名字服务的相关操作。NBT使用一个或多个NBNS(NetBIOSNameServer(s))将名字服务扩展到多个子网。NBNS是动态DNS的一种，Microsoft的NBNS实现称为WINS。另外，为了将虚拟的NetBIOS网络扩展到多个IP子网，WINS标准还引入了一个或者多个NBDD(NetBIOSDatagramDistribution)服务器。不幸的是，微软的NBDD实现从来没有工作过。NBNS(NetBIOSNameService)名字服务。名字服务器。类似于TCP/IP协议中的DNS，它负责查找目标机器相应的节点地址（TCP/IP协议中为IP地址），并赋予一个NetBIOS名称。NetBIOS的缺陷危及到NBNS（NetBIOSNameService）。特定情况下，对于NBNS（NetBIOSNameService）请求，目标系统内存的随机数据会做出响应。这些数据可以是目标系统用户正在浏览的html页面数据的一部分，也可以是存在于目标系统内存的数据。攻击者可以发送一个特定的NBNS请求到目标系统，然后可以获得可能包含目标系统内存的数据。如果用户涉及的安全级别很高，关闭了UDP137端口，那么基于Internet的攻击就不可能实现。NetBIOSNameServer最近也发现很多接入交换机出现类似的情况，因为接入交换机端口所属VLAN在核心交换机上也有，最终竟然导致接入交换机和汇聚交换机、核心交换机间的链路阻塞，使得网络变得基本不通初步分析了一下捕获到的数据，基本认定原因在于好多个人计算机内包含恶意/流氓软件，会不停地访问btamail.net、bar.baidu.com、sobar.baidu.com等域名，同时，windows的名字解析机制的顺序是：1.hosts2.netbios,wins,lmhosts3.dns所以，就会在网络中产生大量nbns的数据包解决办法（准备测试）：设置交换机的ACL禁用源端口137、目的端口137，如果要用到wins服