ARP病毒攻擊的防范和處理

1、ARP病毒攻擊的防范和處理 如果在使用網(wǎng)絡(luò)時(shí)速度越來(lái)越慢，直至掉線，而過(guò)一段時(shí)間后又可能恢復(fù)正常，或者，重啟路由器后又可正常上網(wǎng)。故障出現(xiàn)時(shí)，網(wǎng)關(guān)ping 不通或有數(shù)據(jù)丟失，那么很有可能是受到了ARP病毒攻擊。下面我就談?wù)剬?duì)這種情況處理的一些意見(jiàn)。 一、首先診斷是否為ARP病毒攻擊 1、當(dāng)發(fā)現(xiàn)上網(wǎng)明顯變慢，或者突然掉線時(shí)，我們可以用arp-命令來(lái)檢查ARP表：（點(diǎn)擊 開(kāi)始 按鈕->選擇運(yùn)行->輸入 cmd 點(diǎn)擊 確定 按鈕，在窗口中輸入 arp -a 命令）如果發(fā)現(xiàn)網(wǎng)關(guān)的MAC地址發(fā)生了改變，或者發(fā)現(xiàn)有很多IP指向同一個(gè)物理地址，那么肯定就是ARP欺騙所致。 2、利用Anti AR

2、P Sniffer軟件查看（詳細(xì)使用略）。 二、找出ARP病毒主機(jī) 如果已經(jīng)不能上網(wǎng)，則先運(yùn)行一次命令arp d將arp緩存中的內(nèi)容刪空，計(jì)算機(jī)(電腦)可暫時(shí)恢復(fù)上網(wǎng)(攻擊如果不停止的話)，一旦能上網(wǎng)就立即將網(wǎng)絡(luò)斷掉(禁用網(wǎng)卡或拔掉網(wǎng)線)，再運(yùn)行arp a。1、用“arp d”命令，只能臨時(shí)解決上網(wǎng)問(wèn)題，要從根本上解決問(wèn)題，就得找到病毒主機(jī)。通過(guò)上面的arp a命令，可以判定改變了的網(wǎng)關(guān)MAC地址或多個(gè)IP指向的物理地址，就是病毒機(jī)的MAC地址。哪么對(duì)應(yīng)這個(gè)MAC地址的主機(jī)又是哪一臺(tái)呢，windows中有ipconfig/all命令查看每臺(tái)的信息，但如果電腦(計(jì)算機(jī)(電腦)數(shù)目多話，一臺(tái)臺(tái)查下

3、去不是辦法，因此可以下載一個(gè)叫“NBTSCAN”的軟件，它可以取到PC的真實(shí)IP地址和MAC地址。 命令：“nbtscan -r 192.168.80.0/24”（搜索整個(gè)192.168.80.0/24網(wǎng)段, 即 192.168.80.1-192.168.80.254）；或“nbtscan 192.168.80.25-137”搜索192.168.80.25-137 網(wǎng)段，即192.168.80.25-192.168.80.137。輸出結(jié)果第一列是IP地址，最后一列是MAC地址。這樣就可找到病毒主機(jī)的IP地址。 2、如果手頭一下沒(méi)這個(gè)軟件怎么辦呢？這時(shí)也可在客戶(hù)機(jī)運(yùn)行路由跟蹤命令如：tracer

4、t d ，馬上就發(fā)現(xiàn)第一條不是網(wǎng)關(guān)機(jī)的內(nèi)網(wǎng)ip，而是本網(wǎng)段內(nèi)的另外一臺(tái)機(jī)器的IP，再下一跳才是網(wǎng)關(guān)的內(nèi)網(wǎng)IP；正常情況是路由跟蹤執(zhí)行后的輸出第一條應(yīng)該是默認(rèn)網(wǎng)關(guān)地址，由此判定第一跳的那個(gè)非網(wǎng)關(guān)IP 地址的主機(jī)就是罪魁禍?zhǔn)住?當(dāng)然找到了IP之后，接下來(lái)是要找到這個(gè)IP具體所對(duì)應(yīng)的機(jī)子了，如果你每臺(tái)電腦(計(jì)算機(jī)(電腦)編了號(hào)，并使用固定IP，IP的設(shè)置也有規(guī)律的話，那么就很快找到了。但如果不是上面這種情況，IP設(shè)置又無(wú)規(guī)律，或者IP是動(dòng)態(tài)獲取的那該怎么辦呢？難道還是要一個(gè)個(gè)去查？非也！你可以這樣：把一臺(tái)機(jī)器的IP地址設(shè)置成與作祟機(jī)相同的相同，然后造成IP地址沖突，使中毒主機(jī)報(bào)警然后找到這個(gè)主機(jī)。

5、三、處理病毒主機(jī) 1、用殺毒軟件（反病毒軟件或防毒軟件殺毒軟件下載）查毒，殺毒。 2、建議重裝系統(tǒng)，一了百了。（當(dāng)然你應(yīng)注意除系統(tǒng)盤(pán)外其他盤(pán)有無(wú)病毒） 四、如何防范ARP病毒攻擊 1、從影響網(wǎng)絡(luò)連接通暢的方式來(lái)看，ARP欺騙分為二種，一種是對(duì)路由器ARP表的欺騙；另一種是對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。第一種ARP欺騙的原理是截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信息無(wú)法通過(guò)更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址，造成正常PC無(wú)法收到信息。第二種ARP欺騙的原理是偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)

6、據(jù)，而不是通過(guò)正常的路由器途徑上網(wǎng)。在PC看來(lái)，就是上不了網(wǎng)了，“網(wǎng)絡(luò)掉線了”。因此很多人建議用戶(hù)采用雙向綁定的方法解決并且防止ARP欺騙，這個(gè)確實(shí)是最好解決的辦法，但如果電腦(計(jì)算機(jī)(電腦)數(shù)量多的情況下，在路由器上作綁定工作量將很大，我個(gè)人認(rèn)為主要做好在PC上綁定路由器的IP和MAC地址就行了，在PC上綁定可以按下面方法做： 1）首先，獲得路由器的內(nèi)網(wǎng)的MAC地址（例如網(wǎng)關(guān)地址172.16.1.254的MAC地址為0022aa0022ee）。 2）編寫(xiě)一個(gè)批處理文件rarp.bat內(nèi)容如下： echo off arp -d arp -s 172.16.1.254 00-22-aa-00-2

7、2-ee 將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為您自己的網(wǎng)關(guān)IP地址和MAC地址即可。將這個(gè)批處理軟件拖到“windows-開(kāi)始-程序-啟動(dòng)”中。 這樣即減輕了一臺(tái)臺(tái)設(shè)置的麻煩，也避免了由于電腦(計(jì)算機(jī)(電腦)重新啟動(dòng)使得數(shù)據(jù)又要重做的麻煩。當(dāng)然最好電腦(計(jì)算機(jī)(電腦)要有還原卡和保護(hù)系統(tǒng)，使得這個(gè)批處理不會(huì)被隨意刪除掉。 2、作為網(wǎng)絡(luò)管理員，我認(rèn)為應(yīng)該充分利用一些工具軟件，備一些常用的工具，就ARP而言，推薦在手頭準(zhǔn)備這樣幾個(gè)軟件： “Anti ARP Sniffer”（使用Anti ARP Sniffer可以防止利用ARP技術(shù)進(jìn)行數(shù)據(jù)包截取以及防止利用ARP技術(shù)發(fā)送地址沖突數(shù)據(jù)包，并能查

8、找攻擊主機(jī)的IP及MAC地址）。 “NBTSCAN”（NBTSCAN可以取到PC的真實(shí)IP地址和MAC地址，利用它可以知道局域網(wǎng)內(nèi)每臺(tái)IP對(duì)應(yīng)的MAC地址） “網(wǎng)絡(luò)執(zhí)法官” （一款局域網(wǎng)管理輔助（是通過(guò)模擬人工手動(dòng)操作輔助，實(shí)現(xiàn)自動(dòng)打怪，自動(dòng)掛機(jī)等）軟件，采用網(wǎng)絡(luò)底層協(xié)議，能穿透各客戶(hù)端防火墻對(duì)網(wǎng)絡(luò)中的每一臺(tái)主機(jī)、交換機(jī)等配有IP的網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)控；采用網(wǎng)卡號(hào)（MAC）識(shí)別用戶(hù)，主要功能是依據(jù)管理員為各主機(jī)限定的權(quán)限，實(shí)時(shí)監(jiān)控整個(gè)局域網(wǎng)，并自動(dòng)對(duì)非法用戶(hù)進(jìn)行管理，可將非法用戶(hù)與網(wǎng)絡(luò)中某些主機(jī)或整個(gè)網(wǎng)絡(luò)隔離，而且無(wú)論局域網(wǎng)中的主機(jī)運(yùn)行何種防火墻，都不能逃避監(jiān)控，也不會(huì)引發(fā)防火墻警告，提高了網(wǎng)絡(luò)安

9、全性） 3、定時(shí)檢查局域網(wǎng)病毒，對(duì)機(jī)器進(jìn)行病毒掃描，平時(shí)給系統(tǒng)安裝好補(bǔ)丁程序，最好是局域網(wǎng)內(nèi)每臺(tái)電腦(計(jì)算機(jī)(電腦)保證有殺毒軟件（反病毒軟件或防毒軟件殺毒軟件下載）（可升級(jí)） 4、指導(dǎo)好網(wǎng)絡(luò)內(nèi)使用者不要隨便點(diǎn)擊打開(kāi)QQ、MSN等聊天工具上發(fā)來(lái)的鏈接信息，不要隨便打開(kāi)或運(yùn)行陌生、可疑文件和程序，如郵件中的陌生附件，外掛(改變網(wǎng)絡(luò)游戲軟件的程軟件下載序)程序等。 5、建議對(duì)局域網(wǎng)的每一臺(tái)電腦(計(jì)算機(jī)(電腦)盡量作用固定IP，路由器不啟用DHCP，對(duì)給網(wǎng)內(nèi)的每一臺(tái)電腦(計(jì)算機(jī)(電腦)編一個(gè)號(hào)，每一個(gè)號(hào)對(duì)應(yīng)一個(gè)唯一的IP，這樣有利用以后故障的查詢(xún)也方便管理。并利用“NBTSCAN”軟件查出每一IP對(duì)

10、應(yīng)的MAC地址，建立一個(gè)“電腦(計(jì)算機(jī)(電腦)編號(hào)-IP地址-MAC地址”一一對(duì)應(yīng)的數(shù)據(jù)庫(kù)。 -如何防止ARP攻擊！路由共享上網(wǎng)，2M的5人用！在路由里設(shè)置了靜態(tài)IP-IP和MAC對(duì)應(yīng)！也只設(shè)成有限的幾個(gè)！今天開(kāi)機(jī)上網(wǎng)居然上了一下就上不了！其中的四個(gè)人有嫌疑，IP可以改，MAC也可以改！顯示過(guò)攻擊的MAC都有其中的三個(gè)人！自己也開(kāi)了個(gè)AntiArp軟件防護(hù)，居然沒(méi)作用！以前如果給攻擊了就會(huì)提示！-（就是給別人用網(wǎng)管之類(lèi)的軟件限制不能上網(wǎng)）今天有時(shí)就有提示，有提示也不能上網(wǎng)，這個(gè)軟件等于失效了！路由的設(shè)置是我控制-可以排除是路由限制！我自己動(dòng)手改網(wǎng)的MAC重新連上有時(shí)可以，有時(shí)不可以，就算可以也

11、是只能上一會(huì)就不行！我想有人先用軟件禁止我上網(wǎng)，然后改用了我的MAC上網(wǎng)！這個(gè)軟件的功能肯定很強(qiáng)大！用了這個(gè)軟件就等于先發(fā)制人！可能所用和網(wǎng)關(guān)通訊的數(shù)據(jù)都給它欺騙了！所以無(wú)論我怎么做也沒(méi)用！不明白的是，開(kāi)了個(gè)AntiArp也沒(méi)用！-不過(guò)也難怪，軟件的東西出來(lái)就就肯定有破解的了，以前新出的時(shí)候可以有軟件去限別人的網(wǎng)速，后來(lái)出了個(gè)防ARP欺騙的，現(xiàn)在我的這個(gè)防ARP欺騙（AntiArp）的也不起作用-不會(huì)是版本太低吧！郁悶呀！E天的高手快來(lái)支招吧！ -我覺(jué)得局域網(wǎng)內(nèi)應(yīng)該有人使用ARP欺騙的木馬程序（比如：魔獸<是一款非常著名的即時(shí)戰(zhàn)略游戲下載軟件>世界，勁舞團(tuán)等盜號(hào)的軟件，某

12、些外掛(改變網(wǎng)絡(luò)游戲軟件的程軟件下載序)中也被惡意加載了此程序）。1、不要把你的網(wǎng)絡(luò)安全信任關(guān)系建立在IP基礎(chǔ)上或MAC基礎(chǔ)上，（rarp同樣存在欺騙的問(wèn)題），理想的關(guān)系應(yīng)該建立在IP+MAC基礎(chǔ)上。 2、設(shè)置靜態(tài)的MAC->IP對(duì)應(yīng)表，不要讓主機(jī)刷新你設(shè)定好的轉(zhuǎn)換表。 3、除非很有必要，否則停止使用ARP，將ARP做為永久條目保存在對(duì)應(yīng)表中。 4、使用ARP服務(wù)器。通過(guò)該服務(wù)器(server網(wǎng)絡(luò)資源下載)查找自己的ARP轉(zhuǎn)換表來(lái)響應(yīng)其他機(jī)器的ARP廣播。確保這臺(tái)ARP服務(wù)器不被黑。 5、使用"proxy"代理IP的傳輸。 6、使用硬件屏蔽主機(jī)。設(shè)置好你的路由，確保I

13、P地址能到達(dá)合法的路徑。（靜態(tài)配置路由ARP條目），注意，使用交換集線器和網(wǎng)橋無(wú)法阻止ARP欺騙。 7、管理員定期用響應(yīng)的IP包中獲得一個(gè)rarp請(qǐng)求，然后檢查ARP響應(yīng)的真實(shí)性。 8、管理員定期輪詢(xún)，檢查主機(jī)上的ARP緩存。 9、使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。注意有使用SNMP的情況下，ARP的欺騙有可能導(dǎo)致陷阱包丟失。-每臺(tái)主機(jī)都有一個(gè)臨時(shí)存放IP-MAC的對(duì)應(yīng)表ARP攻擊就通過(guò)更改這個(gè)緩存來(lái)達(dá)到欺騙的目的,使用靜態(tài)的ARP來(lái)綁定正確的MAC是一個(gè)有效的方法.在命令行下使用arp -a可以查看當(dāng)前的ARP緩存表.以下是本機(jī)的ARP表 ： C:Documents and Settingscnqin

14、g>arp -a Interface: 192.168.0.1 on Interface 0x1000003 Internet Address Physical Address Type 192.168.0.1 00-03-6b-7f-ed-02 dynamic 其中代表動(dòng)態(tài)緩存,即收到一個(gè)相關(guān)ARP包就會(huì)修改這項(xiàng).如果是個(gè)非法的含有不正確的網(wǎng)關(guān)的ARP包,這個(gè)表就會(huì)自動(dòng)更改.這樣我們就不能找到正確的網(wǎng)關(guān)MAC,就不能正常和其他主機(jī)通信.靜態(tài)表的建立用ARP -S IP MAC. 執(zhí)行arp -s 192.168.0.1 00-03-6b-7f-ed-02后,我們?cè)俅尾榭碅RP緩存表.

15、C:Documents and Settingscnqing>arp -a Interface: 192.168.0.1 on Interface 0x1000003 Internet Address Physical Address Type 192.168.0.1 00-03-6b-7f-ed-02 static 此時(shí)"TYPE"項(xiàng)變成了"static",靜態(tài)類(lèi)型.這個(gè)狀態(tài)下,是不會(huì)在接受到ARP包時(shí)改變本地緩存的.從而有效的防止ARP攻擊.靜態(tài)的ARP條目在每次重啟后都要消失需要重新設(shè)置. 此時(shí)我們就可以自己寫(xiě)一個(gè)批處理文件，文件內(nèi)容如下：

16、echo off arp -d arp -s 192.168.0.1 00-03-6b-7f-ed-02 寫(xiě)好之后我們把它存儲(chǔ)為 rarp.bat，再把此文件放到開(kāi)始菜單-程序-啟動(dòng)欄，這樣每次啟動(dòng)機(jī)器時(shí)，就自動(dòng)執(zhí)行此批處理文件。菜單-程序-啟動(dòng)欄默認(rèn)目錄：C:Documents and SettingsAll Users開(kāi)始菜單程序啟動(dòng)。-arp 修改和顯示“地址解析協(xié)議”    Arp顯示和修改“地址解析協(xié)議 (ARP)”緩存中的項(xiàng)目。ARP 緩存中包含一個(gè)或多個(gè)表，它們用于存儲(chǔ) IP 地址及其經(jīng)過(guò)解析的以太網(wǎng)或令牌環(huán)物理地址。計(jì)算機(jī)(電腦)上安裝的

17、每一個(gè)以太網(wǎng)或令牌環(huán)網(wǎng)絡(luò)適配器都有自己?jiǎn)为?dú)的表。如果在沒(méi)有參數(shù)的情況下使用，則 arp 命令將顯示幫助信息。語(yǔ)法arp-a InetAddr -N IfaceAddr -g InetAddr -N IfaceAddr -d InetAddr IfaceAddr -s InetAddr EtherAddr IfaceAddr參數(shù)-a InetAddr -N IfaceAddr 顯示所有接口的當(dāng)前 ARP 緩存表。要顯示特定 IP 地址的 ARP 緩存項(xiàng)，請(qǐng)使用帶有 InetAddr 參數(shù)的 arp -a，此處的 InetAddr 代表 IP 地址。如果未指定 InetAddr，則使用第一個(gè)適用的

18、接口。要顯示特定接口的 ARP 緩存表，請(qǐng)將 -N IfaceAddr 參數(shù)與 -a 參數(shù)一起使用，此處的 IfaceAddr 代表指派給該接口的 IP 地址。-N 參數(shù)區(qū)分大小寫(xiě)。-g InetAddr -N IfaceAddr 與 -a 相同。-d InetAddr IfaceAddr 刪除指定的 IP 地址項(xiàng)，此處的 InetAddr 代表 IP 地址。對(duì)于指定的接口，要?jiǎng)h除表中的某項(xiàng)，請(qǐng)使用 IfaceAddr 參數(shù)，此處的 IfaceAddr 代表指派給該接口的 IP 地址。要?jiǎng)h除所有項(xiàng)，請(qǐng)使用星號(hào) (*) 通配符代替 InetAddr。-s InetAddr EtherAddr I

19、faceAddr 向 ARP 緩存添加可將 IP 地址 InetAddr 解析成物理地址 EtherAddr 的靜態(tài)項(xiàng)。要向指定接口的表添加靜態(tài) ARP 緩存項(xiàng)，請(qǐng)使用 IfaceAddr 參數(shù)，此處的 IfaceAddr 代表指派給該接口的 IP 地址。/?在命令提示符下顯示幫助。注釋? InetAddr 和 IfaceAddr 的 IP 地址用帶圓點(diǎn)的十進(jìn)制記數(shù)法表示。 ? EtherAddr 的物理地址由六個(gè)字節(jié)組成，這些字節(jié)用十六進(jìn)制記數(shù)法表示并且用連字符隔開(kāi)（比如，00-AA-00-4F-2A-9C）。 ? 通過(guò) -s 參數(shù)添加的項(xiàng)屬于靜態(tài)項(xiàng)，它們不會(huì) ARP 緩存超時(shí)。如果終止 T

20、CP/IP 協(xié)議后再啟動(dòng)，這些項(xiàng)會(huì)被刪除。要?jiǎng)?chuàng)建永久的靜態(tài) ARP 緩存項(xiàng)，請(qǐng)將適當(dāng)?shù)?arp 命令置于批處理文件中，并使用“任務(wù)計(jì)劃”在啟動(dòng)時(shí)運(yùn)行該批處理文件。示例要顯示所有接口的 ARP 緩存表，可鍵入：arp -a對(duì)于指派的 IP 地址為 10.0.0.99 的接口，要顯示其 ARP 緩存表，可鍵入：arp -a -N 10.0.0.99要添加將 IP 地址 10.0.0.80 解析成物理地址 00-AA-00-4F-2A-9C 的靜態(tài) ARP 緩存項(xiàng)，可鍵入：arp -s 10.0.0.80 00-AA-00-4F-2A-9C臨時(shí)處理對(duì)策：步驟一、在能上網(wǎng)時(shí)，進(jìn)入MS-DOS窗口，輸入

21、命令：arp a 查看網(wǎng)關(guān)IP對(duì)應(yīng)的正確MAC地址，將其記錄下來(lái)。解決ARP病毒欺騙攻擊常用方法注：如果已經(jīng)不能上網(wǎng)，則先運(yùn)行一次命令arpd將arp緩存中的內(nèi)容刪空，計(jì)算機(jī)(電腦)可暫時(shí)恢復(fù)上網(wǎng)(攻擊如果不停止的話)，一旦能上網(wǎng)就立即將網(wǎng)絡(luò)斷掉(禁用網(wǎng)卡或拔掉網(wǎng)線)，再運(yùn)行arpa。步驟二、如果已經(jīng)有網(wǎng)關(guān)的正確MAC地址，在不能上網(wǎng)時(shí)，手工將網(wǎng)關(guān)IP和正確MAC綁定，可確保計(jì)算機(jī)(電腦)不再被攻擊影響。手工綁定可在MS-DOS窗口下運(yùn)行以下命令：arps網(wǎng)關(guān)IP網(wǎng)關(guān)MAC例如：假設(shè)計(jì)算機(jī)(電腦)所處網(wǎng)段的網(wǎng)關(guān)為218.197.192.254，本機(jī)地址為218.197.192.1在計(jì)算機(jī)(電腦

22、)上運(yùn)行arpa后輸出如下：C:Documents and Settings>arp -aInterface: 218.197.192.1 - 0x2Internet Address Physical Address Type218.197.192.254 00-01-02-03-04-05 dynamic其中00-01-02-03-04-05就是網(wǎng)關(guān)218.197.192.254對(duì)應(yīng)的MAC地址，類(lèi)型是動(dòng)態(tài)(dynamic)的，因此是可被改變。被攻擊后，再用該命令查看，就會(huì)發(fā)現(xiàn)該MAC已經(jīng)被替換成攻擊機(jī)器的MAC，如果大家希望能找出攻擊機(jī)器，徹底根除攻擊，可以在此時(shí)將該MAC記錄下來(lái)，

23、為以后查找做準(zhǔn)備。解決ARP病毒欺騙攻擊常用方法手工綁定的命令為：arp s 218.197.192.254 00-01-02-03-04-05綁定完，可再用arp a查看arp緩存：C:Documents and Settings>arp -aInterface: 218.197.192.1 - 0x2Internet Address Physical Address Type218.197.192.254 00-01-02-03-04-05 static這時(shí)，類(lèi)型變?yōu)殪o態(tài)(static)，就不會(huì)再受攻擊影響了。但是，需要說(shuō)明的是，手工綁定在計(jì)算機(jī)(電腦)關(guān)機(jī)重開(kāi)機(jī)后就會(huì)失效，需要再綁

24、定。所以，要徹底根除攻擊，只有找出網(wǎng)段內(nèi)被病毒感染的計(jì)算機(jī)(電腦)，令其殺毒，方可解決。找出病毒計(jì)算機(jī)(電腦)的方法：解決ARP病毒欺騙攻擊常用方法如果已有病毒計(jì)算機(jī)(電腦)的MAC地址，可使用NBTSCAN軟件找出網(wǎng)段內(nèi)與該MAC地址對(duì)應(yīng)的IP，即病毒計(jì)算機(jī)(電腦)的IP地址，然后可報(bào)告校網(wǎng)絡(luò)中心對(duì)其進(jìn)行查封。解決措施NBTSCAN的使用方法：下載nbtscan.rar到硬盤(pán)（硬碟HDD存儲(chǔ)媒介之一）后解壓，然后將cygwin1.dll和nbtscan.exe兩文件拷貝到c:windowssystem32(或system)下，進(jìn)入MSDOS窗口就可以輸入命令：nbtscan-r218.197.192.0/24(假設(shè)本機(jī)所處的網(wǎng)段是218.197.192，掩碼是255.255.255.0;實(shí)際使用該命令時(shí)，應(yīng)將斜體字部分改為正確的網(wǎng)段)。注：使用nbtscan時(shí)，有時(shí)因?yàn)橛行┯?jì)算機(jī)(電腦)