【摘要】:本文分析了利用SendARP方法(基于ARP协议)来获取远程主机MAC地址的缺陷,提出了一种新思路——研究并利用NetBIOSNameService来快速获取远程主机MAC地址的方法,并给出了其在BorlandDelphi6中的程序。
【关键词】:MAC地址,远程主机,NetBIOS,TNMUDP
1引言
众所周知,在所有网卡信息中,最重要的莫过于网卡的MAC地址,即网卡的物理地址。MAC地址固化在网卡的ROM中,一般不易改动。因此在网络中需要监控一台计算机的最好的方法就是获取它的MAC地址。
那么,如何获取远程主机(RemoteHost,即和本地主机不在同一个子网中的主机)的MAC地址呢?一般的资料认为:采用IpHelperAPI的SendARP方法,但根据笔者的实验观察,此种方法行不通——它只能获取“本网段”内主机的MAC地址,如果源主机与目的主机不在同一个网段内,则该方法就只能获取“网关”的MAC地址,而无法获取目的主机的MAC地址。这是由ARP协议的工作原理决定的。
2获取远程主机MAC地址的原理及分析
下面是利用NetBIOS协议来获取“远程主机(Remotehost)”MAC地址的思路和实现方法。
大家都知道,NetBIOS(网络基本输入/输出系统)是一套用于网络通讯的调用接口,包含了NetBIOSName和MAC地址等信息。NetBIOS并没有对下层使用的协议进行限制,因此它除了可以在NetBEUI支持下运行之外,还可以在其他协议支持下运行。其中NetBIOSOverIP由于使用TCP/IP协议,使远程主机之间的NetBIOS通信得以较好实现。
在NetBIOSOverIP通信过程中,可假定源主机A向远程目的主机B请求其“NetBIOSNames”信息。则两者之间的通信过程如下所示:
首先,主机A向主机B发送“UDP-NetBIOS-NS”询问包,即向主机B的137端口,发Query包来询问主机B的NetBIOSNames信息。
其次,主机B接收到“UDP-NetBIOS-NS”询问包,假设主机B正确安装了NetBIOS服务,而且137端口开放,则主机B会向主机A发送一个“UDP-NetBIOS-NS”应答包,即发Answer包给主机A。
分析主机B反馈给主机A的Answer包可知:其中不仅包含了主机B的NetBIOSName信息,且包含了主机B的MAC地址。“UDP-NetBIOS-NS”应答包的结构及主要字段如下:
表1“UDP-NetBIOS-NS”应答包的结构及主要字段一览表
序号字段名长度
1TransactionID两字节(16位)
2Flags两字节(16位)
3Questions两字节(16位)
4AnswerRRs两字节(16位)
5AuthorityRRs两字节(16位)
6AdditionalRRs两字节(16位)
7Name<Workstation/Redirector>34字节(272位)
8Type:NBSTAT两字节(16位)
9Class:INET两字节(16位)
10TimeToLive四字节(32位)
11Length两字节(16位)
12Numberofname一个字节(8位)
NetBIOSNameInfo18×NumberOfName字节
UnitID6字节(48位)
…
其中,关键字段“UnitID”(6字节)就是主机B的MAC地址。
因此可以设想:本地主机构造“UDP-NetBIOS-NS”询问包,并发送给远程主机,然后再接收“UDP-NetBIOS-NS”应答包,并对其分析以提取出远程主机的MAC地址,这样就可以获取“远程主机”的MAC地址。
3获取远程主机MAC地址的实现
所以构造“UDP-NetBIOS-NS”询问包,其结构如下:
typetNetBiosNS=record
tID:word;
Flags:word;
Questions:word;
AnswerRRs:word;
AuthorityRRs:word;
AdditionalRRs:word;
Name:array[1..34]ofbyte;
tType:word;
tClass:word;
end;
利用Delphi6.0中的TNMUDP组件——它是用来实现在Internet或Intranet上发送或接收UDP的。接下来把这样的“询问包”放置到UDP的数据部分,再将其发出到远程主机。则可坐等“应答包”。
根据应答包的格式(见表1),可计算出“UnitID”字段在UDP包的数据部分的位置:先从第56字节位置,读出NumberOfNames(NetBIOS名字的个数,其中每个NetBIOSNamesInfo部分占18个字节),然后可计算出“UnitID”字段的位置=56+NumberOfNames×18,最后从该位置起连续读取6个字节,就是目的主机的MAC地址。
下面给出了在BorlandDelphi6中的实现“获取远程主机MAC地址”的主要代码。
procedureTForm1.Button2Click(Sender:TObject);//发送“UDP-NetBIOS-NS”询问包
var
MyStream:TMemoryStream;
t_ns:tNetBiosNS;
i:byte;
begin
witht_nsdo
begin
tID:=$0000;
Flags:=$1000;
Questions:=$0100;
AnswerRRs:=$0000;
AuthorityRRs:=$0000;
AdditionalRRs:=$0000;
Name[1]:=$20;
Name[2]:=$43;
Name[3]:=$4b;
(www.fabiaoba.com),是一个专门从事期刊推广期刊发表、投稿辅导、发表期刊的网站。
本站提供如何投稿辅导、发表期刊,寻求论文刊登合作,快速投稿辅导,投稿辅导格式指导等解决方案:省级论文刊登/国家级论文刊登/
CSSCI核心/医学投稿辅导/职称投稿辅导。
投稿邮箱:fabiaoba365@126.com
在线咨询:
275774677、
1003180928
在线咨询:
610071587、
1003160816
联系电话:18796993035
