Provide feedback
Saved searches
Use saved searches to filter your results more quickly
Sign up
Appearance settings
closed
int() argument must be a string or a number, not ‘NoneType’
Description
I started seeing this error while making .conf file modifications to drop a flowbit rule. Even after renaming disable.conf, drop.conf, and modify.conf so they will no longer be applied it still occurs. Unclear what’s causing it /wo any of my modified config applied anymore.
6/9/2019 -- 12:12:53 - <Debug> -- This is suricata-update version 1.0.5 (rev: None); Python: 2.7.16 (default, Apr 6 2019, 01:42:57) - [GCC 8.3.0]
6/9/2019 -- 12:12:53 - <Info> -- Loading /etc/suricata/update.yaml
6/9/2019 -- 12:12:53 - <Debug> -- Setting configuration value force -> False
6/9/2019 -- 12:12:53 - <Debug> -- Setting configuration value verbose -> True
6/9/2019 -- 12:12:53 - <Debug> -- Setting configuration value enable -> False
6/9/2019 -- 12:12:53 - <Debug> -- Setting configuration value no-merge -> False
6/9/2019 -- 12:12:53 - <Debug> -- Setting configuration value version -> False
6/9/2019 -- 12:12:53 - <Debug> -- Setting configuration value dump-sample-configs -> False
6/9/2019 -- 12:12:53 - <Debug> -- Setting configuration value no-test -> False
6/9/2019 -- 12:12:53 - <Debug> -- Setting configuration value subcommand -> update
6/9/2019 -- 12:12:53 - <Debug> -- Setting configuration value modify -> False
6/9/2019 -- 12:12:53 - <Debug> -- Setting configuration value no-reload -> False
6/9/2019 -- 12:12:53 - <Debug> -- Setting configuration value no-ignore -> False
6/9/2019 -- 12:12:53 - <Debug> -- Setting configuration value disable -> False
6/9/2019 -- 12:12:53 - <Debug> -- Setting configuration value etopen -> False
6/9/2019 -- 12:12:53 - <Debug> -- Setting configuration value now -> False
6/9/2019 -- 12:12:53 - <Debug> -- Setting configuration value url -> []
6/9/2019 -- 12:12:53 - <Debug> -- Setting configuration value drop -> False
6/9/2019 -- 12:12:53 - <Debug> -- Found suricata at /usr/bin/suricata
6/9/2019 -- 12:12:53 - <Info> -- Using data-directory /var/lib/suricata.
6/9/2019 -- 12:12:53 - <Info> -- Using Suricata configuration /etc/suricata/suricata.yaml
6/9/2019 -- 12:12:53 - <Info> -- Using /etc/suricata/rules for Suricata provided rules.
6/9/2019 -- 12:12:53 - <Info> -- Found Suricata version 4.1.4 at /usr/bin/suricata.
6/9/2019 -- 12:12:53 - <Info> -- Loading /etc/suricata/enable.conf.
6/9/2019 -- 12:12:53 - <Debug> -- Parsing regex matcher: re:ET SCAN
6/9/2019 -- 12:12:53 - <Info> -- Loading /etc/suricata/suricata.yaml
6/9/2019 -- 12:12:53 - <Info> -- Disabling rules with proto modbus
6/9/2019 -- 12:12:54 - <Debug> -- Resolved source oisf/trafficid to URL https://openinfosecfoundation.org/rules/trafficid/trafficid.rules.
6/9/2019 -- 12:12:54 - <Debug> -- Resolved source sslbl/ja3-fingerprints to URL https://sslbl.abuse.ch/blacklist/ja3_fingerprints.rules.
6/9/2019 -- 12:12:54 - <Debug> -- Resolved source et/blockrules/portgroupedbotcc to URL https://rules.emergingthreats.net/blockrules/emerging-botcc.portgrouped.suricata.rules.
6/9/2019 -- 12:12:54 - <Debug> -- Resolved source ptresearch/attackdetection to URL https://raw.githubusercontent.com/ptresearch/AttackDetection/master/pt.rules.tar.gz.
6/9/2019 -- 12:12:54 - <Debug> -- Resolved source et/blockrules/compromised to URL https://rules.emergingthreats.net/blockrules/emerging-compromised.suricata.rules.
6/9/2019 -- 12:12:54 - <Debug> -- Resolved source et/blockrules/ciarmy to URL https://rules.emergingthreats.net/blockrules/emerging-ciarmy.suricata.rules.
6/9/2019 -- 12:12:54 - <Debug> -- Resolved source et/blockrules/spamhaus to URL https://rules.emergingthreats.net/blockrules/emerging-drop.suricata.rules.
6/9/2019 -- 12:12:54 - <Debug> -- Resolved source et/open to URL https://rules.emergingthreats.net/open/suricata-4.1.4/emerging.rules.tar.gz.
6/9/2019 -- 12:12:54 - <Debug> -- Resolved source snort/registered to URL https://www.snort.org/rules/snortrules-snapshot-29120.tar.gz?oinkcode=0620450108513d84067863fcc0212cc98d99ad2e.
6/9/2019 -- 12:12:54 - <Debug> -- Resolved source snort/community2 to URL https://snort.org/downloads/community/community-rules.tar.gz.
6/9/2019 -- 12:12:54 - <Debug> -- Resolved source et/blockrules/tor to URL https://rules.emergingthreats.net/blockrules/emerging-tor.suricata.rules.
6/9/2019 -- 12:12:54 - <Debug> -- Resolved source sslbl/ssl-fp-blacklist to URL https://sslbl.abuse.ch/blacklist/sslblacklist.rules.
6/9/2019 -- 12:12:54 - <Debug> -- Resolved source tgreen/hunting to URL https://raw.githubusercontent.com/travisbgreen/hunting-rules/master/hunting.rules.
6/9/2019 -- 12:12:54 - <Debug> -- Resolved source et/blockrules/botcc to URL https://rules.emergingthreats.net/blockrules/emerging-botcc.suricata.rules.
6/9/2019 -- 12:12:54 - <Debug> -- Resolved source et/blockrules/dshield to URL https://rules.emergingthreats.net/blockrules/emerging-dshield.suricata.rules.
6/9/2019 -- 12:12:54 - <Debug> -- Resolved source etnetera/aggressive to URL https://security.etnetera.cz/feeds/etn_aggressive.rules.
6/9/2019 -- 12:12:54 - <Debug> -- Adding source https://rules.emergingthreats.net/open/suricata-4.1.4/emerging.rules.tar.gz.
6/9/2019 -- 12:12:54 - <Debug> -- Adding source https://sslbl.abuse.ch/blacklist/sslblacklist.rules.
6/9/2019 -- 12:12:54 - <Info> -- Last download less than 15 minutes ago. Not downloading https://rules.emergingthreats.net/blockrules/emerging-ciarmy.suricata.rules.
6/9/2019 -- 12:12:54 - <Info> -- Last download less than 15 minutes ago. Not downloading https://snort.org/downloads/community/community-rules.tar.gz.
6/9/2019 -- 12:12:54 - <Info> -- Last download less than 15 minutes ago. Not downloading https://rules.emergingthreats.net/blockrules/emerging-botcc.suricata.rules.
6/9/2019 -- 12:12:54 - <Info> -- Last download less than 15 minutes ago. Not downloading https://rules.emergingthreats.net/blockrules/emerging-tor.suricata.rules.
6/9/2019 -- 12:12:54 - <Info> -- Last download less than 15 minutes ago. Not downloading https://rules.emergingthreats.net/open/suricata-4.1.4/emerging.rules.tar.gz.
6/9/2019 -- 12:12:54 - <Info> -- Last download less than 15 minutes ago. Not downloading https://rules.emergingthreats.net/blockrules/emerging-dshield.suricata.rules.
6/9/2019 -- 12:12:54 - <Info> -- Last download less than 15 minutes ago. Not downloading https://rules.emergingthreats.net/blockrules/emerging-botcc.portgrouped.suricata.rules.
6/9/2019 -- 12:12:54 - <Info> -- Last download less than 15 minutes ago. Not downloading https://raw.githubusercontent.com/travisbgreen/hunting-rules/master/hunting.rules.
6/9/2019 -- 12:12:54 - <Info> -- Last download less than 15 minutes ago. Not downloading https://rules.emergingthreats.net/blockrules/emerging-compromised.suricata.rules.
6/9/2019 -- 12:12:54 - <Info> -- Last download less than 15 minutes ago. Not downloading https://sslbl.abuse.ch/blacklist/sslblacklist.rules.
6/9/2019 -- 12:12:54 - <Info> -- Last download less than 15 minutes ago. Not downloading https://sslbl.abuse.ch/blacklist/ja3_fingerprints.rules.
6/9/2019 -- 12:12:54 - <Info> -- Last download less than 15 minutes ago. Not downloading https://raw.githubusercontent.com/ptresearch/AttackDetection/master/pt.rules.tar.gz.
6/9/2019 -- 12:12:54 - <Info> -- Last download less than 15 minutes ago. Not downloading https://www.snort.org/rules/snortrules-snapshot-29120.tar.gz?oinkcode=0620450108513d84067863fcc0212cc98d99ad2e.
^C6/9/2019 -- 12:12:55 - <Info> -- Last download less than 15 minutes ago. Not downloading https://rules.emergingthreats.net/blockrules/emerging-drop.suricata.rules.
6/9/2019 -- 12:12:55 - <Info> -- Last download less than 15 minutes ago. Not downloading https://openinfosecfoundation.org/rules/trafficid/trafficid.rules.
6/9/2019 -- 12:12:55 - <Info> -- Last download less than 15 minutes ago. Not downloading https://security.etnetera.cz/feeds/etn_aggressive.rules.
6/9/2019 -- 12:12:55 - <Info> -- Loading local file /etc/suricata/rules/pass-http.rules
6/9/2019 -- 12:12:55 - <Info> -- Loading local file /etc/suricata/rules/pass.rules
6/9/2019 -- 12:12:55 - <Info> -- Loading local file /etc/suricata/rules/pass-ftp.rules
6/9/2019 -- 12:12:55 - <Info> -- Loading local file /etc/suricata/rules/pass-nfs.rules
6/9/2019 -- 12:12:55 - <Info> -- Loading local file /etc/suricata/rules/pass-smb.rules
6/9/2019 -- 12:12:55 - <Info> -- Loading local file /etc/suricata/rules/pass-smtp.rules
6/9/2019 -- 12:12:55 - <Info> -- Loading local file /etc/suricata/rules/pass-whitelist.rules
6/9/2019 -- 12:12:55 - <Info> -- Loading local file /etc/suricata/rules/otx_file_rules.rules
6/9/2019 -- 12:12:55 - <Info> -- Loading local file /etc/suricata/rules/otx_iprep.rules
6/9/2019 -- 12:12:55 - <Info> -- Loading local file /etc/suricata/rules/phishtank.rules
6/9/2019 -- 12:12:55 - <Info> -- Loading local file /etc/suricata/rules/malwaredomainlist.url.rules
6/9/2019 -- 12:12:55 - <Info> -- Loading local file /etc/suricata/rules/malwaredomainlist.domain.rules
6/9/2019 -- 12:12:55 - <Info> -- Loading local file /etc/suricata/rules/sslblacklist_tls_cert.rules
6/9/2019 -- 12:12:55 - <Info> -- Loading local file /etc/suricata/rules/urlhaus.rules
6/9/2019 -- 12:12:55 - <Info> -- Loading local file /etc/suricata/rules/feodotracker.rules
6/9/2019 -- 12:12:55 - <Info> -- Ignoring file rules/emerging-deleted.rules
6/9/2019 -- 12:12:55 - <Debug> -- Parsing etn_aggressive.rules.
6/9/2019 -- 12:12:55 - <Debug> -- Parsing rules/emerging-shellcode.rules.
6/9/2019 -- 12:12:55 - <Debug> -- Parsing rules/emerging-trojan.rules.
6/9/2019 -- 12:12:55 - <Debug> -- Parsing /etc/suricata/rules/pass-nfs.rules.
6/9/2019 -- 12:12:55 - <Debug> -- Parsing rules/emerging-scada.rules.
6/9/2019 -- 12:12:55 - <Debug> -- Parsing /etc/suricata/rules/pass-smtp.rules.
6/9/2019 -- 12:12:55 - <Debug> -- Parsing /etc/suricata/rules/pass-whitelist.rules.
6/9/2019 -- 12:12:55 - <Debug> -- Parsing rules/emerging-web_server.rules.
6/9/2019 -- 12:12:56 - <Debug> -- Parsing rules/botcc.rules.
6/9/2019 -- 12:12:56 - <Debug> -- Parsing /etc/suricata/rules/sslblacklist_tls_cert.rules.
6/9/2019 -- 12:12:56 - <Debug> -- Parsing rules/drop.rules.
6/9/2019 -- 12:12:56 - <Debug> -- Parsing /etc/suricata/rules/pass-http.rules.
6/9/2019 -- 12:12:56 - <Debug> -- Parsing rules/emerging-smtp.rules.
6/9/2019 -- 12:12:56 - <Debug> -- Parsing emerging-botcc.suricata.rules.
6/9/2019 -- 12:12:56 - <Debug> -- Parsing rules/pt-rules.rules.
6/9/2019 -- 12:12:56 - <Debug> -- Parsing rules/emerging-rpc.rules.
6/9/2019 -- 12:12:56 - <Debug> -- Parsing rules/emerging-mobile_malware.rules.
6/9/2019 -- 12:12:56 - <Debug> -- Parsing rules/emerging-icmp.rules.
6/9/2019 -- 12:12:56 - <Debug> -- Parsing /etc/suricata/rules/phishtank.rules.
6/9/2019 -- 12:12:57 - <Debug> -- Parsing rules/emerging-activex.rules.
6/9/2019 -- 12:12:57 - <Debug> -- Parsing rules/emerging-policy.rules.
6/9/2019 -- 12:12:57 - <Debug> -- Parsing rules/emerging-user_agents.rules.
6/9/2019 -- 12:12:57 - <Debug> -- Parsing rules/emerging-dns.rules.
6/9/2019 -- 12:12:57 - <Debug> -- Parsing community-rules/community.rules.
6/9/2019 -- 12:12:58 - <Debug> -- Parsing rules/emerging-misc.rules.
6/9/2019 -- 12:12:58 - <Debug> -- Parsing rules/emerging-ftp.rules.
6/9/2019 -- 12:12:58 - <Debug> -- Parsing rules/emerging-sql.rules.
6/9/2019 -- 12:12:58 - <Debug> -- Parsing emerging-compromised.suricata.rules.
6/9/2019 -- 12:12:58 - <Debug> -- Parsing rules/emerging-inappropriate.rules.
6/9/2019 -- 12:12:58 - <Debug> -- Parsing rules/emerging-tftp.rules.
6/9/2019 -- 12:12:58 - <Debug> -- Parsing /etc/suricata/rules/otx_iprep.rules.
6/9/2019 -- 12:12:58 - <Debug> -- Parsing rules/emerging-netbios.rules.
6/9/2019 -- 12:12:58 - <Debug> -- Parsing /etc/suricata/rules/malwaredomainlist.domain.rules.
6/9/2019 -- 12:12:58 - <Debug> -- Parsing emerging-tor.suricata.rules.
6/9/2019 -- 12:12:58 - <Debug> -- Parsing rules/emerging-chat.rules.
6/9/2019 -- 12:12:58 - <Debug> -- Parsing /etc/suricata/rules/otx_file_rules.rules.
6/9/2019 -- 12:12:58 - <Debug> -- Parsing sslblacklist.rules.
6/9/2019 -- 12:12:58 - <Debug> -- Parsing rules/emerging-dos.rules.
6/9/2019 -- 12:12:58 - <Debug> -- Parsing rules/emerging-worm.rules.
6/9/2019 -- 12:12:58 - <Debug> -- Parsing rules/tor.rules.
6/9/2019 -- 12:12:58 - <Debug> -- Parsing rules/emerging-icmp_info.rules.
6/9/2019 -- 12:12:58 - <Debug> -- Parsing emerging-botcc.portgrouped.suricata.rules.
6/9/2019 -- 12:12:58 - <Debug> -- Parsing rules/emerging-attack_response.rules.
6/9/2019 -- 12:12:58 - <Debug> -- Parsing rules/emerging-telnet.rules.
6/9/2019 -- 12:12:58 - <Debug> -- Parsing /etc/suricata/rules/feodotracker.rules.
6/9/2019 -- 12:12:59 - <Debug> -- Parsing rules/emerging-web_specific_apps.rules.
6/9/2019 -- 12:13:00 - <Debug> -- Parsing rules/dshield.rules.
6/9/2019 -- 12:13:00 - <Debug> -- Parsing /etc/suricata/rules/pass-smb.rules.
6/9/2019 -- 12:13:00 - <Debug> -- Parsing rules/emerging-games.rules.
6/9/2019 -- 12:13:00 - <Debug> -- Parsing rules/emerging-voip.rules.
6/9/2019 -- 12:13:00 - <Debug> -- Parsing /etc/suricata/rules/pass.rules.
6/9/2019 -- 12:13:00 - <Debug> -- Parsing rules/ciarmy.rules.
6/9/2019 -- 12:13:00 - <Debug> -- Parsing trafficid.rules.
6/9/2019 -- 12:13:00 - <Debug> -- Parsing /etc/suricata/rules/pass-ftp.rules.
6/9/2019 -- 12:13:00 - <Debug> -- Parsing hunting.rules.
6/9/2019 -- 12:13:00 - <Debug> -- Parsing rules/emerging-snmp.rules.
6/9/2019 -- 12:13:00 - <Debug> -- Parsing emerging-ciarmy.suricata.rules.
6/9/2019 -- 12:13:00 - <Debug> -- Parsing rules/emerging-exploit.rules.
6/9/2019 -- 12:13:00 - <Debug> -- Parsing /etc/suricata/rules/urlhaus.rules.
6/9/2019 -- 12:13:01 - <Debug> -- Parsing rules/emerging-malware.rules.
6/9/2019 -- 12:13:01 - <Debug> -- Parsing rules/emerging-info.rules.
6/9/2019 -- 12:13:01 - <Debug> -- Parsing rules/compromised.rules.
6/9/2019 -- 12:13:01 - <Debug> -- Parsing emerging-drop.suricata.rules.
6/9/2019 -- 12:13:01 - <Debug> -- Parsing /etc/suricata/rules/malwaredomainlist.url.rules.
6/9/2019 -- 12:13:02 - <Debug> -- Parsing rules/emerging-current_events.rules.
6/9/2019 -- 12:13:02 - <Debug> -- Parsing rules/emerging-p2p.rules.
6/9/2019 -- 12:13:02 - <Debug> -- Parsing rules/emerging-scan.rules.
6/9/2019 -- 12:13:02 - <Debug> -- Parsing emerging-dshield.suricata.rules.
6/9/2019 -- 12:13:02 - <Debug> -- Parsing rules/emerging-imap.rules.
6/9/2019 -- 12:13:02 - <Debug> -- Parsing rules/emerging-web_client.rules.
6/9/2019 -- 12:13:02 - <Debug> -- Parsing rules/botcc.portgrouped.rules.
6/9/2019 -- 12:13:02 - <Debug> -- Parsing rules/emerging-pop3.rules.
6/9/2019 -- 12:13:02 - <Debug> -- Parsing ja3_fingerprints.rules.
6/9/2019 -- 12:13:03 - <Info> -- Loaded 68241 rules.
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2000536] ET SCAN NMAP -sO
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2009582] ET SCAN NMAP -sS window 1024
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2000540] ET SCAN NMAP -sA (2)
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2003870] ET SCAN ProxyReconBot POST method to Mail
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2017142] ET SCAN Arachni Web Scan
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2016763] ET SCAN Non-Malicious SSH/SSL Scanner on the run
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2000546] ET SCAN NMAP -f -sX
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2010343] ET SCAN pangolin SQL injection tool
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2000543] ET SCAN NMAP -f -sF
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2001904] ET SCAN Behavioral Unusually fast inbound Telnet Connections, Potential Scan or Brute Force
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2011031] ET SCAN HTTP GET invalid method case
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2009476] ET SCAN Possible jBroFuzz Fuzzer Detected
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2001553] ET SCAN Possible SSL Brute Force attack or Site Crawl
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2000545] ET SCAN NMAP -f -sV
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2011368] ET SCAN Malformed Packet SYN RST
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2011034] ET SCAN HTTP OPTIONS invalid method case
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2000538] ET SCAN NMAP -sA (1)
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2008230] ET SCAN Behavioral Unusually fast outbound Telnet Connections, Potential Scan or Brute Force
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2009768] ET SCAN NBTStat Query Response to External Destination, Possible Windows Network Enumeration
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2000544] ET SCAN NMAP -f -sN
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2009885] ET SCAN Unusually Fast 404 Error Messages (Page Not Found), Possible Web Application Scan/Directory Guessing Attack
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2009286] ET SCAN Modbus Scanning detected
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2011033] ET SCAN HTTP HEAD invalid method case
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2014893] ET SCAN critical.io Scan
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2009584] ET SCAN NMAP -sS window 4096
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2009767] ET SCAN Multiple NBTStat Query Responses to External Destination, Possible Automated Windows Network Enumeration
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2000537] ET SCAN NMAP -sS window 2048
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2011367] ET SCAN Malformed Packet SYN FIN
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2002973] ET SCAN Behavioral Unusual Port 3127 traffic, Potential Scan or Backdoor
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2009749] ET SCAN Unusually Fast 403 Error Messages, Possible Web Application Scan
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2009583] ET SCAN NMAP -sS window 3072
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2009884] ET SCAN Unusually Fast 400 Error Messages (Bad Request), Possible Web Application Scan
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2012755] ET SCAN Possible SQLMAP Scan
6/9/2019 -- 12:13:03 - <Debug> -- Enabling: # [1:2011032] ET SCAN HTTP POST invalid method case
6/9/2019 -- 12:13:04 - <Info> -- Disabled 0 rules.
6/9/2019 -- 12:13:04 - <Info> -- Enabled 34 rules.
6/9/2019 -- 12:13:04 - <Info> -- Modified 0 rules.
6/9/2019 -- 12:13:04 - <Info> -- Dropped 0 rules.
6/9/2019 -- 12:13:05 - <Debug> -- Found 349 required flowbits.
6/9/2019 -- 12:13:05 - <Debug> -- Found 53 rules to enable to for flowbit requirements
6/9/2019 -- 12:13:05 - <Debug> -- Found 350 required flowbits.
6/9/2019 -- 12:13:05 - <Debug> -- Found 0 rules to enable to for flowbit requirements
6/9/2019 -- 12:13:05 - <Debug> -- All required rules enabled.
6/9/2019 -- 12:13:05 - <Info> -- Enabled 50 rules for flowbit dependencies.
6/9/2019 -- 12:13:05 - <Info> -- Backing up current rules.
6/9/2019 -- 12:13:06 - <Debug> -- Recording existing file /var/lib/suricata/rules/suricata.rules with hash 'bcab609a88b53954effb0a3691a91776'.
Traceback (most recent call last):
File "/usr/bin/suricata-update", line 33, in <module>
sys.exit(main.main())
File "/usr/bin/../lib/python2.7/site-packages/suricata/update/main.py", line 1458, in main
sys.exit(_main())
File "/usr/bin/../lib/python2.7/site-packages/suricata/update/main.py", line 1401, in _main
write_merged(os.path.join(output_filename), rulemap)
File "/usr/bin/../lib/python2.7/site-packages/suricata/update/main.py", line 583, in write_merged
oldset[rule.id] = True
File "/usr/bin/../lib/python2.7/site-packages/suricata/update/rule.py", line 121, in id
return (int(self.gid), int(self.sid))
TypeError: int() argument must be a string or a number, not 'NoneType'
- History
- Notes
- Property changes
At least one thing that’s weird in the debug logs, are the multiple misaligned counts of flowbit rewquirements…
6/9/2019 — 12:13:05 — <Debug> — Found 53 rules to enable to for flowbit requirements
6/9/2019 — 12:13:05 — <Debug> — Found 0 rules to enable to for flowbit requirements
I’ve been able to get this to re-occur, but I’m still unclear of the specifics. Seems to have something to do with adding / removing the following in order to disable a flowbit rule:
modify.conf:
1:2018959 «flowbits:.*;» «»
disable.conf
1:2018959
Guessing this is due to the modify rule using a greedy match, which replaced many parts of the rule and not just the flowbits portion of the rule. Which likely resulted in a rule without a SID.
- Warnings should be output for such rather than crashing.
- Something else weird is occurring, as removing that modify.conf line would not resolve the issue after it occured; perhaps related to parsing of backup files
Kenneth Kolano wrote:
Guessing this is due to the modify rule using a greedy match, which replaced many parts of the rule and not just the flowbits portion of the rule. Which likely resulted in a rule without a SID.
Correct. suricata-update uses python re library, see here: https://docs.python.org/3/library/re.html
It mentions about the ‘*’ character that it does a greedy match and for your regex, it tends to remove everything after the flowbits, to avoid that, use
1:2018959 "flowbits:.*?;" "". This seems to be working fine on my end, let me know if this seems to be failing for your usecase.
- Warnings should be output for such rather than crashing.
In the latest master if you’ll check, we raise an exception with a clearer message for such cases however, it is not a regular output, it is a traceback since sid is crucial for any rule.
raise BadSidError("Sid cannot be of type null")
suricata.update.rule.BadSidError: Sid cannot be of type null
- Something else weird is occurring, as removing that modify.conf line would not resolve the issue after it occured; perhaps related to parsing of backup files
Yes, the code to overwrite the old rule file was never executed because of the error. This has also been fixed in the latest master with the exception as mentioned above.
So, in case regex is incorrect, its fairly hard to figure out with code unless it is something that causes major damage. If you have any suggestions for dealing with such situations, they’re very welcome.
- Status changed from New to Assigned
- Target version set to TBD
- Priority changed from Normal to Low
Hi, Kenneth!
Does the above solution fix problem for you? Let me know if the issue still persists.
- Status changed from Assigned to Closed
Please feel free to open a new issue in case you still see any problem. Thank you.
Also available in: Atom
PDF
Утилита NBTSTAT .
Команда NBTSTAT позволяет получить статистику протокола
NetBIOS over TCP/IP (NetBT), таблицу имен локальных и удаленных компьютеров и содержимое кэш NetBIOS имен. Применение NBTSTAT позволяет принудительно обновить кэш NetBIOS-имен компьютеров и имена, зарегистрированные с помощью серверов Windows Internet Name Service (WINS).
Синтаксис:
nbtstat[-aRemoteName] [-AIPAddress] [-c] [-n] [-r] [-R] [-RR] [-s] [-S] [Interval]
Параметры командной строки:
-a RemoteName — отображает таблицу имен удаленного компьютера. NetBIOS-имена соответствуют перечню NetBIOS-приложений, выполняющихся на удаленном компьютере.
-A IPAddress — то же самое, что и в предыдущем случае, но вместо имени удаленного компьютера используется его IP-адрес
.
-c — отображает кэш имен NetBIOS и соответствующих им IP-адресов.
-n — отображает таблицу NetBIOS-имен на локальном компьютере. Состояние «Зарегистрирован» означает, что имя зарегистрировано с использованием широковещательного запроса или с помощью сервера WINS.
-r — отображает статистику разрешения NetBIOS-имен. На компьютерах под управлением Windows XP и старше, выдается раздельная статистика о разрешении имен с помощью широковещетельной рассылки и с помощью сервера имен WINS.
-R — очистка кэш NetBIOS-имен и загрузка данных из секции #PRE файла LMHOSTS.
-RR — очистка кэш NetBIOS — имен на локальном компьютере и их повторная регистрация с использованием сервера WINS.
-s — отображает статистику NetBIOS — сессий между клиентом и сервером и NetBIOS-имена удаленных узлов.
-S — отображает статистику сессий между клиентом и сервером и IP-адреса удаленных узлов.
Interval — интервал обновления отображаемых данных в секундах. Для прекращения автоматического обновления используется комбинация клавиш CTRL+C
/? — отобразить справку по использованию NBTSTAT.
Примеры использования:
nbtstat -n — вывести список зарегистрированных NetBIOS-имен на локальном компьютере.
nbtstat -a SERVER — вывести список зарегистрированных NetBIOS-имен на компьютере SERVER.
nbtstat -A 192.168.1.1 — вывести список зарегистрированных NetBIOS-имен на удаленном компьютере с IP-адресом 192.168.1.1 .
nbtstat -RR — выполнить очистку и перерегистрацию NetBIOS-имен на локальном компьютере.
Утилита NETSH.EXE
Утилита сетевой оболочки NETSH (NETwork SHell) — наиболее полное и
функциональное стандартное средство управления сетью с использованием
командной строки в среде Windows XP и старше. Набор внутренних команд сетевой
оболочки пополняется с появлением новых версий операционной системы, что
необходимо учитывать при работе в локальной сети с различными ОС. Так,
например, команда уровня wlan ( netsh wlan — управление беспроводной сетью)
может использоваться на компьютерах под управлением Windows Vista и старше и
отсутствует в Widows XP. Синтаксис используемых команд и параметров также
может различаться в разных операционных системах семейства Windows.
При запуске NETSH.EXE без параметров на экран выводится приглашение к вводу внутренних команд оболочки. Набор команд представляет собой многоуровневую структуру, позволяющую выполнять необходимые действия в выбранном контексте. При вводе знака вопроса ? можно получить краткую справку по доступному перечню команд на данном уровне. Ввод команды данного уровня со знаком вопроса вызовет отображение справки по ее использованию. Аналогичную справку можно получить, введя определенную команду и, после перехода на уровень ее выполнения, ввести знак вопроса. При необходимости, можно выполнить нужное действие без использования интерактивного режима, указав в качестве параметров командной строки последовательный набор внутренних команд NETSH и необходимых параметров. Например:
netsh advfirewall show global последовательно выполняется команда первого уровня advfirewall, в ее контексте, команда следующего уровня show с параметром global
Команды NETSH можно выполнить и на удаленном компьютере с использованием подключения по локальной сети. Netsh также предоставляет возможность выполнения сценариев, представляющих собой группу команд в текстовом файле, выполняемых в режиме очередности на определенном компьютере. В целом, возможности NETSH настолько обширны, что трудно найти сетевую задачу, которую невозможно было бы решить с использованием данной утилиты.
Синтаксис:
NETSH.EXE [-a AliasFile] [-c Context] [-r RemoteMachine]
[-u [DomainName\]UserName] [-p Password | *]
[Command | -f ScriptFile]
-a AliasFile — не завершать работу а перейти к приглашению ввода команд после выполнения AliasFile. AliasFile — имя текстового файла, в котором содержатся одна или несколько команд netsh .
-c Context — изменить контекст (уровень) команд netsh.
-r RemoteMachine — выполнять команды netsh на удаленном компьютере. В качестве RemoteMachine может использоваться имя или IP-адрес.
[-u DomainName\]UserName — имя пользователя для подключения к удаленному компьютеру. Если не задано, то используется текущее имя пользователя.
-p Password пароль для подключения к удаленному компьютеру.
Command — команда оболочки netsh , которую необходимо выполнить.
-f ScriptFile — аналогично ключу -a, но после выполнения команд файла сценария Scriptfile, работа netsh завершается.
Пример полученной справки об использовании по команде netsh ? или вводе знака вопроса на приглашение при запуске netsh без параметров в среде ОС Windows 7:
Применимы следующие команды:
Команды в этом контексте:
? — Отображение списка команд.
add — Добавление элемента конфигурации в список элементов.
advfirewall — Изменения в контексте ‘netsh advfirewall’.
branchcache — Изменения в контексте ‘netsh branchcache’.
bridge — Изменения в контексте ‘netsh bridge’.
delete — Удаление элемента конфигурации из списка элементов.
dhcpclient — Изменения в контексте ‘netsh dhcpclient’.
dnsclient — Изменения в контексте ‘netsh dnsclient’.
dump — Отображение сценария конфигурации.
exec — Запуск файла сценария.
firewall — Изменения в контексте ‘netsh firewall’.
help — Отображение списка команд.
http — Изменения в контексте ‘netsh http’.
interface — Изменения в контексте ‘netsh interface’.
ipsec — Изменения в контексте ‘netsh ipsec’.
lan — Изменения в контексте ‘netsh lan’.
mbn — Изменения в контексте ‘netsh mbn’.
namespace — Изменения в контексте ‘netsh namespace’.
nap — Изменения в контексте ‘netsh nap’.
netio — Изменения в контексте ‘netsh netio’.
p2p — Изменения в контексте ‘netsh p2p’.
ras — Изменения в контексте ‘netsh ras’.
rpc — Изменения в контексте ‘netsh rpc’.
set — Обновление параметров конфигурации.
show — Отображение информации.
trace — Изменения в контексте ‘netsh trace’.
wcn — Изменения в контексте ‘netsh wcn’.
wfp — Изменения в контексте ‘netsh wfp’.
winhttp — Изменения в контексте ‘netsh winhttp’.
winsock — Изменения в контексте ‘netsh winsock’.
wlan — Изменения в контексте ‘netsh wlan’.
Доступны следующие дочерние контексты:
advfirewall branchcache bridge dhcpclient dnsclient firewall http interface ipsec lan mbn namespace nap netio p2p ras rpc trace wcn wfp winhttp winsock wlan
Чтобы получить справку по команде, введите эту команду,
затем пробел и «?»
Примеры практического использования NETSH.
Для примера, нужно получить справку в контексте работы с конфигурацией беспроводной сети wlan .
Последовательно выполняем команды
netsh
wlan
set file open C:\wlanhelp.txt
?
set file close
В данном примере, команда
set file open C:\wlanhelp.txt устанавливает режим вывода консольных сообщений в файл с именем C:\wlanhelp.txt. После установки данного режима, все, что вводится с клавиатуры и отображается на экране, будет записано в указанный текстовый файл. Таким образом, можно создавать файлы журналов отдельных сессий использования netsh . Вместо параметра open можно использовать append и имя уже существующего файла журнала. В таком режиме данные будут записываться в конец существующего текстового файла.
Команда dump создает сценарий, который содержит текущую конфигурацию. Если данные сценария сохранить в текстовый файл, то при необходимости, его можно будет использовать для восстановления измененных параметров с помощью команды загрузки и выполнения скриптов exec.
Для сохранения используется команда:
dump Имя файла сценария
Для восстановления настроек из файла сценария используется команда:
exec Имя файла сценария
В некоторых версиях netsh команда dump с указанием имени файла почему-то не работает. Однако, для сохранения конфигурации можно воспользоваться способом, описанным выше — использовать запись в файл командой set file open C:\mynet.sav .
netsh
set file open C:\mynet.sav
dump
quit
Остается только слегка исправить полученный файл сценария C:\mynet.sav — удалить 1-ю строчку с командой dump и последние — с приглашением netsh и (или) командой quit
Второй способ — использовать netsh с перенаправлением вывода команды dump в файл:
netsh dump > C:\mynet.sav
Для сохранения отдельного контекста конфигурации можно воспользоваться командой dump на соответствующем уровне :
netsh interface dump > C:\myinterf.cnf — сохранить настройки сетевых интерфейсов в виде сценария netsh в файле C:\myinterf.cnf
Для восстановления сетевой конфигурации можно воспользоваться
netsh exec C:\mynet.sav
Обычно, после восстановления сетевых настроек из файла сценария , требуется перезапуск некоторых сетевых служб, а желательнее — выполнить перезагрузку Windows
Иногда требуется выполнить некоторые команды на одном уровне, перейти на другой, и снова вернуться на предыдущий. Для выполнения таких переходов используются команды pushd и popd . Принцип переключения между контекстами основан на обработке очереди в соответствии с правилом «первым вошел — последним вышел» или first-in-last-out (FILO) stack. Команда pushd запоминает текущий уровень (контекст) в стеке, а команда popd извлекает его из стека. Например:
netsh> — приглашение первого уровня команды nesh
pushd — введена команда запоминания контекста в стек
netsh> — приглашении netsh не меняется, контекст прежний.
interface ipv4 — переход на уровень interface и уровень ipv4
netsh interface ipv4> — соответственно, изменилась строка приглашения, отображая текущий контекст выполнения команды netsh
set address local static 192.168.1.9 255.255.255.0 192.168.1.1 1 — команда, меняющая настройки IP протокола.
netsh interface ip> — контекст выполнения команды, отображаемый в приглашении не изменяется.
popd — команда извлечения из стека запомненного контекста.
netsh > — строка приглашения изменилась, отображая текущий контекст выполнения команды netsh .
Без использования команд pushd и popd практически невозможно полноценное использование сценариев netsh.
Кроме сохранения и восстановления настроек использование команды dump позволяет получить примеры в виде сценария, соответствующего текущей конфигурации. Например, дамп секции interface дает пример выполнения команд netsh в контексте настроек сетевых интерфейсов.
Пример сценария :
#========================
# Конфигурация интерфейса
#========================
pushd interface
reset all
popd
# Конец конфигурации интерфейса
. . .
# —————————————-
# Настройка IP-интерфейсов
# —————————————-
pushd interface ip
# Интерфейс настройки IP для «Подключение по локальной сети»
set address name=» Подключение по локальной сети » source=static addr=192.168.0.1 mask=255.255.255.0
set dns name=»Подключение по локальной сети» source=static addr=192.168.0.2 mask=255.255.255.0
set wins name=» Подключение по локальной сети » source=static addr=192.168.0.9
Строки сценария, начинающиеся с символа #, являются комментариями. Команды pushd и popd позволяют определить контекст исполнения других команд netsh. Команды настроек конфигурации плюс справочная информация самой netsh позволяют довольно легко получить командную строку для выполнения отдельных сетевых настроек:
— Сменить IP-адрес в командной строке:
netsh interface ip set address name=»Подключение по локальной сети» source=static addr=192.168.0.58 mask=255.255.255.0
name — имя сетевого подключения
source — static — статический IP-адрес. Возможно значение DHCP, если адрес назначается автоматически сервером DHCP.
addr — значение IP-адреса
mask — значение маски сети.
Для получения сведений о дополнительных возможностях конфигурирования сетевых интерфейсов можно перейти на соответствующий контекст выполнения netsh, и выполнить интересующую команду с параметром ? . Например:
netch — старт NETSH
interface — перейти в контекст настройки сетевых интерфейсов interface
ip — перейти в контекст настройки протокола IP
set file open C:\setaddr.txt — записывать сессию в файл. Эта команда используется, если нужна справочная информация в виде текстового файла .
set address ? выдать справку по использованию set address
set file close — закрыть файл справки.
quit — завершить работу с netsh
Для Windows Vista / Windows 7 синтаксис будет немного отличаться,
уровню ip будет соответствовать уровень ipv4 :
netch — старт NETSH
interface — перейти в контекст настройки сетевых интерфейсов interface
ipv4 — перейти в контекст настройки протокола IP
set file open C:\setaddr.txt — записывать сессию в файл. Эта команда используется, если нужна справочная информация в виде текстового файла .
set address ? выдать справку по использованию set address
set file close
quit — завершить работу с netsh
Пример синтаксиса для смены адреса DNS-сервера в настройках сетевого подключения
«Подключение по локальной сети 2» на адрес
публичного DNS-сервера Googl в среде Windows 7:
netsh interface ipv4 set dnsservers name=»Подключение по локальной сети 2″ static 8.8.8.8 primary
Из информации файла справки следует, что возможно использование
параметров командной строки netsh без указания ключевых слов:
netsh interface ip set address name=»Подключение по локальной сети» source=static addr=192.168.0.58 mask=255.255.255.0 gateway=192.168.0.1 gwmetric=1
Аналогично, без указания ключевых слов:
netsh interface ip set address name=»Подключение по локальной сети» static 192.168.0.58 255.255.255.0 192.168.0.1 1
При изменении одного из параметров настроек необходимо указывать и остальные. Например, только для изменения адреса шлюза по умолчанию недостаточно выполнить команду
netsh interface ip set address name=»Подключение по локальной сети» gateway=192.168.0.1 gwmetric=1
При ее выполнении отсутствующие параметры (IP-адрес и маска) будут сброшены. Для правильной смены шлюза по умолчанию команда должна быть следующей:
netsh interface ip set address name=»Подключение по локальной сети» source=static addr=192.168.0.58 mask=255.255.255.0 gateway=192.168.0.1 gwmetric=1
Утилита NETSTAT.EXE
Утилита netstat.exe присутствует во всех версиях Windows, однако, существуют некоторые отличия используемых параметров командной строки и результатов ее выполнения, в зависимости от операционной системы. Используется для отображения TCP и UDP -соединений, слушаемых портов, таблицы маршрутизации, статистических данных для различных протоколов.
Синтаксис:
netstat[-a] [-e] [-n] [-o] [-pProtocol] [-r] [-s] [Interval]
-a
— отображение всех активных соединений по протоколам TCP и UDP, а также, списка портов, которые ожидают входящие соединения (слушаемых портов).
-b
— отображение всех активных соединений по протоколам TCP и UDP, а также, списка портов, которые ожидают входящие соединения (слушаемых портов) с информацией об именах исполняемых файлов. Данный параметр применим для операционных систем Widows XP и старше.
-e
— отображение статистики Ethernet в виде счетчиков принятых и отправленных байт и пакетов.
-n — отображение номеров портов в виде десятичных чисел.
-o
— отображение соединений, включая идентификатор процесса (PID) для каждого соединения.
-p Protocol —
отображение соединений для заданного протокола. Протокол может принимать значения
tcp, udp, tcpv6, udpv6 . При использовании совместно с параметром -s в качестве протокола можно задавать tcp, udp, icmp, ip, tcpv6, udpv6, icmpv6, ipv6.
-s —
отображение статистических данных по протоколам TCP, UDP, ICMP, IP , TCP over IPv6, UDP over IPv6, ICMPv6, и IPv6 . Если задан параметр -p , то статистика будет отбражатися только для выбранных протоколов.
-r —
отображение таблицы маршрутов. Эквивалент команды route print
Interval — интервал обновления отображаемой информации в секундах.
-v — отображать подробную информацию.
/? — отобразить справку по использованию netstat
При использовании утилиты netstat.exe удобно пользоваться командами
постраничного вывода (more), перенаправления стандартного вывода в файл ( > )
и поиска текста в результатах (find).
netstat -a | more — отобразить все соединения в постраничном режиме
вывода на экран.
netstat -a > C:\netstatall.txt — отобразить все соединения с
записью результатов в файл C:\netstatall.txt.
netstat -a | find /I «LISTENING» — отобразить все соединения со
статусом LISTENING. Ключ /I в команде find указывает, что при
поиске текста не нужно учитывать регистр символов.
netstat -a | find /I «listening» > C:\listening.txt — отобразить все
соединения со статусом LISTENING с записью результатов в
файл C:\listening.txt.
Пример отображаемой информации:
Активные подключения
Имя Локальный адрес Внешний адрес Состояние
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
[ httpd.exe]
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
Не удается получить сведения о владельце
TCP 0.0.0.0:5800 0.0.0.0:0 LISTENING
[WinVNC.exe]
TCP 127.0.0.1:50197 127.0.0.1:50198 ESTABLISHED
[firefox.exe]
UDP 192.168.0.107:1900 *:*
SSDPSRV
[svchost.exe]
. . .
Имя — название протокола.
Локальный адрес — локальный IP-адрес участвующий в соединении или связанный со службой, ожидающей входящие соединения (слушающей порт). Если в качестве адреса отображается 0.0.0.0 , то это означает — «любой адрес», т.е в соединении могут использоваться все IP-адреса существующие на данном компьютере. Адрес 127.0.0.1 — это петлевой интерфейс, используемый в качестве средства IP протокола для взаимодействия между процессами без реальной передачи данных.
Внешний адрес Внешний IP-адрес, участвующий в создании соединения.
Состояние — состояние соединения. Состояние Listening
говорит о том, что строка состояния отображает информацию о сетевой службе,
которая ожидает входящие соединения по соответствующему протоколу на
адрес и порт, отображаемые в колонке «Локальный адрес «. Состояние
ESTABLISHED указывает на активное соединение. В колонке «Состояние»
для соединений по протоколу TCP может отображаться текущий этап TCP-сессии
определяемый по обработке значений флагов в заголовке TCP — пакета (Syn, Ask,
Fin … ). Возможные состояния:
CLOSE_WAIT — ожидание закрытия соединения.
CLOSED — соединение закрыто.
ESTABLISHED — соединение установлено.
LISTENING — ожидается соединение (слушается порт)
TIME_WAIT — превышение времени ответа.
Имя программного модуля, связанного с данным соединением отображается, если
задан параметр -b в командной строке при запуске netstat.exe.
Примеры использования :
netstat -a -b
netstat -ab — параметры командной строки можно объединять. Параметр -ab эквивалентен -a -b
netstat -a -n -b — отобразить список всех соединений с числовыми номерами портов
netstat -anb — аналогично предыдущей команде.
netstat -anbv — при использовании параметра -v отображается последовательность компонентов, участвующих в создании соединения или
слушаемого порта.
netstat -e — получить статистические данные для Ethernet. Отображается суммарные значения принятых и полученных байт для всех сетевых адаптеров.
netstat -e -v — кроме суммарных статистических данных для Ethernet, отображается статистика для каждого сетевого интерфейса.
netstat -e -s — дополнительно к статистике Ethernet, отображается статистика для протоколов IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP и UDPv6
netstat -s — получить статистику по протоколам IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP и UDPv6
netstat -s -p udp — получить статистику только по протоколу UDP
netstat -s -p icmp — получить статистику только по протоколу ICMP
Более подробное описание команды netstat с примерами
http://ab57.ru/cmdlist.html
Overview
NBTSTAT is a Windows command-line utility used for troubleshooting NetBIOS over TCP/IP (NBT) connections. It displays protocol statistics and current TCP/IP connections using NBT (NetBIOS over TCP/IP). This command is primarily useful in diagnosing NetBIOS name resolution issues, helping network administrators manage network connectivity and troubleshoot issues in a Windows network environment.
Syntax
The general syntax for NBTSTAT is:
nbtstat [options]
The command options specify the operation to be performed. Some options can be combined for richer output or detailed diagnostics.
Options/Flags
-
-a <RemoteName>
Lists the NetBIOS names registered by a remote machine specified by its name. This is useful for verifying the names registered on a remote machine. -
-A <IPAddress>
Lists the NetBIOS names registered by a remote machine specified by its IP address. Useful for resolutions where the device name is not known but the IP address is. -
-c
Shows the NetBIOS name cache, the table of NetBIOS names and their resolved IP addresses. -
-n
Displays NetBIOS names registered locally on the system. Good for verifying which names are being broadcast from the local machine. -
-r
Shows NetBIOS name resolution statistics, including counts of names resolved locally by broadcasting or via a WINS server. -
-R
Purges and reloads the remote cache name table. Useful for troubleshooting,name resolution issues. -
-S
Lists sessions table with destination IPs and their state. Not to be confused with session details from other tools likenetstat. -
-s
Lists sessions table, converting destination IPs to host names via the hosts file or Domain Name System (DNS), when possible.
Examples
-
View NetBIOS names and connection statistics:
nbtstat -a workstation01 -
Refresh the NetBIOS name cache and display the local NetBIOS names:
nbtstat -R nbtstat -n -
Display NetBIOS name resolution statistics:
nbtstat -r -
Check the remote cache entries:
nbtstat -c -
Display session table with host names:
nbtstat -s
Common Issues
-
Resolution Failure: Can occur if the target device’s NetBIOS names are not properly registered or if network issues prevent access. Ensuring proper network configuration and verifying that the target device is online and properly configured can mitigate this issue.
-
Cache Issues: Incorrect or outdated entries in the NetBIOS cache can lead to resolution issues. Using
nbtstat -Rcan clear and reload the cache to overcome these errors.
Integration
NBTSTAT can be combined with ping or ipconfig to diagnose network connectivity and resolution issues:
ipconfig /all
nbtstat -a workstation02
ping workstation02
This sequence helps to verify both IP configuration and NetBIOS names resolution by displaying all relevant network configurations and testing connectivity.
NETSTAT: Display network statistics, current TCP/IP connections, and port status.IPCONFIG: Display all current TCP/IP network configuration values and refresh DHCP and DNS settings.PING: Check the ability to reach a network node online and measure the round-trip time for messages sent from the originating host.
For detailed NetBIOS and network troubleshooting, consider visiting the official Microsoft documentation.
NBTSTAT — Mostly phased out¶
Nbtstat is designed to help troubleshoot NetBIOS name resolution problems.
Connect to NetBios Computer¶
1 2 3 |
|
- The Result lists major services:
- <00>: Workstation Service
- <20>: Server Service
- <03>: Messenger Service
List Remote NetBIOS Computers/Sessions¶
1 2 3 |
|
List NetBios Name Resolution Stats¶
1
|
|
Purge NetBios Name Cache¶
1
|
|
Release and Refresh NetBios Names¶
1
|
|