Este informe identifica hosts que tienen el servicio NetBIOS en ejecución y accesible en Internet.
Estos servicios tienen el potencial de ser utilizados en ataques de amplificación por parte de delincuentes que desean realizar ataques de denegación de servicio.
El comando de shell análogo (desde un cuadro de Windows) para identificar estos hosts sería:
nbtstat-A [ip]
Para obtener más información sobre los esfuerzos de escaneo, consulte la página de resumen de escaneo de Internet.
Nombres de archivo: scan_netbios
CAMPOS
timestamp | Hora en que se sondeó la IP en UTC+0 |
ip | IP del dispositivo en cuestión |
protocol | Protocolo en el que se produjo la respuesta de DNS (generalmente UDP) |
port | Puerto del que provino la respuesta de NetBIOS |
hostname | Nombre DNS inverso del dispositivo en cuestión |
tag | siempre serán netbios |
mac_address | La dirección de control de acceso a medios (MAC) que NetBIOS informa que el host sondeado está utilizando |
asn | ASN de donde reside el dispositivo en cuestión |
geo | País donde reside el dispositivo en cuestión |
region | Estado/Provincia/Región administrativa donde reside el dispositivo en cuestión |
city | Ciudad donde reside el dispositivo en cuestión |
workgroup | El nombre de dominio/grupo de trabajo informado al que pertenece el host sondeado |
machine_name | El nombre NetBIOS notificado que utiliza el host probado |
username | El posible usuario que ha iniciado sesión en el host sondeado |
response_size | Tamaño de respuesta en bytes |
amplification | Factor de amplificación (Esta amplificación se basa únicamente en el tamaño de la carga útil enviada y el tamaño de la carga útil recibida) |
EJEMPLO
"timestamp","ip","protocol","port","hostname","tag","mac_address","asn","geo","region","city","workgroup","machine_name","username","naics","sic","sector","response_size","amplification"
"2010-02-10 00:00:00",192.168.0.1,udp,137,node01.example.com,netbios,AC-1F-6B-BD-2E-48,64512,ZZ,Region,City,GYMMANAGER,WIN-9TDP1G17CG2,,0,0,Government,175,3.50
"2010-02-10 00:00:01",192.168.0.2,udp,137,node02.example.com,netbios,00-00-00-00-00-00,64512,ZZ,Region,City,WORKGROUP,COMTREND,COMTREND,0,0,"Communications, Service Provider, and Hosting Service",229,4.58
"2010-02-10 00:00:02",192.168.0.3,udp,137,node03.example.com,netbios,00-00-00-00-00-00,64512,ZZ,Region,City,WORKGROUP,HILE,HILE,0,0,Government,229,4.58
Fuente: https://www.shadowserver.org/what-we-do/network-reporting/open-netbios-report/