获取远程主机MAC地址的新思路及实现
赵建立 吴聪聪
(石家庄经济学院信息工程学院 石家庄 050031)

摘要：本文分析了利用SendARP方法（基于ARP协议）来获取远程主机MAC地址的缺陷，提出了一种新思路——研究并利用NetBIOS Name Service来快速获取远程主机MAC地址的方法，并给出了其在Borland Delphi6中的程序。
关键词：MAC地址，远程主机，NetBIOS，TNMUDP
1引 言
众所周知，在所有网卡信息中，最重要的莫过于网卡的MAC地址，即网卡的物理地址。MAC地址固化在网卡的ROM中，一般不易改动。因此在网络中需要监控一台计算机的最好的方法就是获取它的MAC地址。
那么，如何获取远程主机（Remote Host，即和本地主机不在同一个子网中的主机）的MAC地址呢？一般的资料认为：采用IpHelperAPI的SendARP方法，但根据笔者的实验观察，此种方法行不通——它只能获取“本网段”内主机的MAC地址，如果源主机与目的主机不在同一个网段内，则该方法就只能获取“网关”的MAC地址，而无法获取目的主机的MAC地址。这是由ARP协议的工作原理决定的。
2获取远程主机MAC地址的原理及分析
下面是利用NetBIOS协议来获取“远程主机（Remote host）”MAC地址的思路和实现方法。
大家都知道，NetBIOS（网络基本输入/输出系统）是一套用于网络通讯的调用接口，包含了NetBIOS Name和MAC地址等信息。NetBIOS并没有对下层使用的协议进行限制，因此它除了可以在NetBEUI支持下运行之外，还可以在其他协议支持下运行。其中NetBIOS Over IP由于使用TCP/IP协议，使远程主机之间的NetBIOS通信得以较好实现。
在NetBIOS Over IP通信过程中，可假定源主机A向远程目的主机B请求其“NetBIOS Names”信息。则两者之间的通信过程如下所示：
首先，主机A向主机B发送“UDP－NetBIOS－NS”询问包，即向主机B的137端口，发Query包来询问主机B的NetBIOS Names信息。
其次，主机B接收到“UDP－NetBIOS－NS”询问包，假设主机B正确安装了NetBIOS服务，而且137端口开放，则主机B会向主机A发送一个“UDP－NetBIOS－NS”应答包，即发Answer包给主机A。
分析主机B反馈给主机A的Answer包可知：其中不仅包含了主机B的NetBIOS Name信息，且包含了主机B的MAC地址。“UDP－NetBIOS－NS”应答包的结构及主要字段如下：
表1 “UDP－NetBIOS－NS”应答包的结构及主要字段一览表
序号 字段名 长度
1 Transaction ID 两字节（16位）
2 Flags 两字节（16位）
3 Questions 两字节（16位）
4 AnswerRRs 两字节（16位）
5 AuthorityRRs 两字节（16位）
6 AdditionalRRs 两字节（16位）
7 Name<Workstation/Redirector> 34字节（272位）
8 Type:NBSTAT 两字节（16位）
9 Class:INET 两字节（16位）
10 Time To Live 四字节（32位）
11 Length 两字节（16位）
12 Number of name 一个字节（8位）
NetBIOS Name Info 18×Number Of Name字节
Unit ID 6字节（48位）
…

其中，关键字段“Unit ID”（6字节）就是主机B的MAC地址。
因此可以设想：本地主机构造“UDP－NetBIOS－NS”询问包，并发送给远程主机，然后再接收“UDP－NetBIOS－NS”应答包，并对其分析以提取出远程主机的MAC地址，这样就可以获取 “远程主机”的MAC地址。
3获取远程主机MAC地址的实现
所以构造 “UDP－NetBIOS－NS”询问包，其结构如下：
type tNetBiosNS=record
tID:word;
Flags:word;
Questions:word;
AnswerRRs:word;
AuthorityRRs:word;
AdditionalRRs:word;
Name:array [1..34] of byte;
tType:word;
tClass:word;
end;
利用Delphi6.0中的TNMUDP组件——它是用来实现在Internet或Intranet上发送或接收UDP的。接下来把这样的“询问包”放置到UDP的数据部分，再将其发出到远程主机。则可坐等“应答包”。
根据应答包的格式（见表1），可计算出“Unit ID”字段在UDP包的数据部分的位置：先从第56字节位置，读出Number Of Names（NetBIOS名字的个数，其中每个NetBIOS Names Info部分占18个字节），然后可计算出“Unit ID”字段的位置＝56＋Number Of Names×18，最后从该位置起连续读取6个字节，就是目的主机的MAC地址。
下面给出了在Borland Delphi6中的实现“获取远程主机MAC地址”的主要代码。
procedure TForm1.Button2Click(Sender: TObject); //发送“UDP－NetBIOS－NS”询问包
var
MyStream:TMemoryStream;
t_ns:tNetBiosNS;
i:byte;
begin
with t_ns do
begin
tID:=$0000;
Flags:=$1000;
Questions:=$0100;
AnswerRRs:=$0000;
AuthorityRRs:=$0000;
AdditionalRRs:=$0000;
Name[1]:=$20;
Name[2]:=$43;
Name[3]:=$4b;
for i:=4 to 33 do
Name:=$41;
Name[34]:=$00;
tType:=$2100;
tClass:=$0100;
end;
nmudp1.LocalPort:=3000;//UDP绑定的本地主机的端口
nmudp1.RemoteHost:=edit1.Text;
nmudp1.RemotePort:=137;// NetBIOS－NS ,137端口
MyStream:=TmemoryStream.Create;
try
MyStream.Write(t_ns, sizeof(t_ns));
NMUDP1.SendStream(MyStream);
finally
MyStream.Free;
end;
end;
下面是接收发送“UDP－NetBIOS－NS”应答包并分析和显示处理结果的代码。
procedure TForm1.NMUDP1DataReceived(Sender: TComponent;
NumberBytes: Integer; FromIP: String; Port: Integer);
var
MyStream:TMemoryStream;
mac_str:array[1..6]of byte;
NumOfNames:byte;
begin
if numberbytes>0 then //如果接收的数据包字节数>0,则处理数据包
begin
MyStream:=TmemoryStream.Create;
try
NMUDP1.readstream(MyStream); //把接收到的数据包，读到内存中
MyStream.Seek(56,SoFromBeginning);//定位至Number Of Names字段
MyStream.Read(NumOfNames,1); //获取 Number Of Names字段的值

MyStream.Seek(NumOfNames*18,soFromCurrent); //定位至Unit ID字段
MyStream.Read(mac_str[1],6); //获取Unit ID字段的值
edit4.Text:=inttohex(mac_str[1],2)+'-'+ //将目的主机的MAC地址格式化输出
inttohex(mac_str[2],2)+'-'+
inttohex(mac_str[3],2)+'-'+
inttohex(mac_str[4],2)+'-'+
inttohex(mac_str[5],2)+'-'+
inttohex(mac_str[6],2);
finally
MyStream.Free;
end;
end;
end;
4结束语
这种方法的优点是：获取（扫描）MAC地址的效率较高。
一般针对某远程主机一次发送一个“UDP－NetBIOS－NS”询问包（当然具体发送几个，可以在程序中自己设定）即可，而不像其他也可获取MAC地址的方法，例如Winsock API函数Gethostbyaddr或者Netbios函数，执行的时候会发送多个“UDP－NetBIOS－NS”询问包，这样不但影响了获取速度，而且重复发送没必要。
当然，该方法除了可以获取MAC地址外，还可以很容易地获取远程主机的NetBIOS Name信息（即主机名、所在工作组等）。而且在本程序的基础上，也很容易地实现对指定IP地址段的MAC地址扫描，即批量获取MAC地址，不再赘述。

参考文献：
[1].《Window网络编程技术》Anthory Jones,Jim Ohlund

[返回上一页] [打 印]