常用網(wǎng)絡(luò)故障診斷命令第一頁，共78頁。（優(yōu)選）常用網(wǎng)絡(luò)故障診斷命令.第二頁，共78頁。3.1ping

ping是用于測試網(wǎng)絡(luò)連接情況的程序。作為一個網(wǎng)絡(luò)維護(hù)人員，ping命令是第一個必須掌握的命令。ping是Windows系統(tǒng)自帶的一個可執(zhí)行命令。它可以檢查網(wǎng)絡(luò)是否能夠連通，并很好地幫助我們分析判定網(wǎng)絡(luò)故障。第三頁，共78頁。ping的原理是這樣的：網(wǎng)絡(luò)上的機(jī)器都有唯一確定的IP地址，ping發(fā)送一個ICMP回聲請求消息給目的地，并報(bào)告是否收到所希望的ICMP回聲應(yīng)答，根據(jù)返回的數(shù)據(jù)包我們可以確定網(wǎng)絡(luò)的連接情況。我們以圖3-1所示網(wǎng)絡(luò)為例，講述ping命令。圖中，有A、B、C、D四臺機(jī)器，一臺路由RA，子網(wǎng)掩碼均為，默認(rèn)路由為。第四頁，共78頁。圖3-1ping命令實(shí)驗(yàn)網(wǎng)絡(luò)第五頁，共78頁。1.在同一網(wǎng)段內(nèi)在主機(jī)A上運(yùn)行“ping”后，都發(fā)生了些什么呢?首先，ping命令會構(gòu)建一個固定格式的ICMP請求數(shù)據(jù)包，然后由ICMP協(xié)議將這個數(shù)據(jù)包連同地址一起交給IP層協(xié)議，IP層協(xié)議將以地址作為目的地址，本機(jī)IP地址作為源地址，加上一些其他的控制信息，構(gòu)建一個IP數(shù)據(jù)包，并想辦法得到的MAC地址(這是數(shù)據(jù)鏈路層協(xié)議構(gòu)建數(shù)據(jù)鏈路層的幀所必需的)，以便交給數(shù)據(jù)鏈路層構(gòu)建一個數(shù)據(jù)幀。第六頁，共78頁。主機(jī)B收到這個數(shù)據(jù)幀后，先檢查其目的地址，并和本機(jī)的物理地址對比，如符合，則接收，否則丟棄。接收后檢查該數(shù)據(jù)幀，將IP數(shù)據(jù)包從幀中提取出來，交給本機(jī)的IP層協(xié)議。同樣，IP層檢查后，將有用的信息提取后交給ICMP協(xié)議，后者處理后，立即構(gòu)建一個ICMP應(yīng)答包，發(fā)送給主機(jī)A，其過程和主機(jī)A發(fā)送ICMP請求包到主機(jī)B一樣。第七頁，共78頁。2.不在同一網(wǎng)段內(nèi)在主機(jī)A上運(yùn)行“ping”后，開始跟上面一樣。到了該獲取MAC地址時，IP協(xié)議通過計(jì)算發(fā)現(xiàn)D機(jī)與自己不在同一網(wǎng)段內(nèi)，就直接交路由器處理，也就是將路由器的MAC取過來。至于怎樣得到路由器的MAC，跟上面一樣，先在ARP緩存表找，找不到就廣播。路由器得到這個數(shù)據(jù)幀后，再跟主機(jī)D進(jìn)行聯(lián)系，如果找不到，就向主機(jī)A返回一個超時的信息。第八頁，共78頁。3.1.1語法與參數(shù)

語法：

ping[-t][-a][-ncount][-llength][-f][-ittl][-rcount][-scount]

參數(shù)：

-t：若使用者不人為中斷會，系統(tǒng)就會不斷ping下去。

-a：將目標(biāo)機(jī)器標(biāo)識轉(zhuǎn)換為IP地址，其實(shí)不使用這個參數(shù)直接ping目標(biāo)主機(jī)也會在結(jié)果中顯示目標(biāo)主機(jī)的IP地址。

-ncount：要求ping命令連續(xù)發(fā)送數(shù)據(jù)報(bào)，直到發(fā)出并接收到count個請求。第九頁，共78頁。-l：發(fā)送緩沖區(qū)的大小。

-f：是一種快速方式ping。它可使ping輸出數(shù)據(jù)報(bào)的速度與數(shù)據(jù)報(bào)從遠(yuǎn)程主機(jī)返回一樣快，或者更快，達(dá)到每秒100次。在這種方式下，每個請求用一個句點(diǎn)表示。對于每一個響應(yīng)打印一個空格鍵。

-i：生存期。

-r：使ping命令旁路掉用于發(fā)送數(shù)據(jù)報(bào)的正常路由表。

-spacketsize：使用戶能夠標(biāo)識出要發(fā)送數(shù)據(jù)的字節(jié)數(shù)。缺省是56個字符，再加上8個字節(jié)的ICMP數(shù)據(jù)頭，共64個ICMP數(shù)據(jù)字節(jié)。第十頁，共78頁。1.?Requesttimedout

(1)對方已關(guān)機(jī)，或者網(wǎng)絡(luò)上根本沒有這個地址：比如在圖3-1中主機(jī)A中ping，或者主機(jī)B關(guān)機(jī)了，在主機(jī)A中ping都會得到超時信息。

(2)對方與自己不在同一網(wǎng)段內(nèi)，通過路由也無法找到對方。但有時對方確實(shí)是存在的。第十一頁，共78頁。(3)對方確實(shí)存在，但設(shè)置了ICMP數(shù)據(jù)包過濾(比如防火墻設(shè)置)。怎樣知道對方是存在還是不存在呢，可以用帶參數(shù)-a的ping命令探測對方，如果能得到對方的NETBIOS名稱，則說明對方是存在的，有防火墻設(shè)置。如果得不到，則多半是對方不存在或關(guān)機(jī)，或不在同一網(wǎng)段內(nèi)。

第十二頁，共78頁。(4)錯誤設(shè)置IP地址。正常情況下，一臺主機(jī)應(yīng)該有一個網(wǎng)卡、一個IP地址，或者多個網(wǎng)卡、多個IP地址。但如果在一臺計(jì)算機(jī)的“撥號網(wǎng)絡(luò)適配器”(相當(dāng)于一塊軟網(wǎng)卡)的TCP/IP設(shè)置中，設(shè)置了一個與網(wǎng)卡IP地址處于同一子網(wǎng)的IP地址，這樣，在IP層協(xié)議看來，這臺主機(jī)就有兩個不同的接口處于同一網(wǎng)段內(nèi)。當(dāng)從這臺主機(jī)ping其他的機(jī)器時，會存在這樣的問題：

第十三頁，共78頁。①主機(jī)不知道將數(shù)據(jù)包發(fā)到哪個網(wǎng)絡(luò)接口，因?yàn)橛袃蓚€網(wǎng)絡(luò)接口都連接在同一網(wǎng)段。

②主機(jī)不知道用哪個地址作為數(shù)據(jù)包的源地址。因此，從這臺主機(jī)去ping其他機(jī)器時，IP層協(xié)議會無法處理。超時后，ping就會給出一個“超時無應(yīng)答”的錯誤信息提示。但從其他主機(jī)ping這臺主機(jī)時，請求包從特定的網(wǎng)卡來，ICMP只須簡單地將目的、源地址互換，并更改一些標(biāo)志即可，ICMP應(yīng)答包能順利發(fā)出，其他主機(jī)也就能成功ping通這臺機(jī)器了。第十四頁，共78頁。2.?DestinationhostUnreachable

對方與自己不在同一網(wǎng)段內(nèi)，而自己又未設(shè)置默認(rèn)的路由。比如上例中A機(jī)中不設(shè)定默認(rèn)的路由，運(yùn)行ping，就會出現(xiàn)“DestinationhostUnreachable”。

這里要說明一下“destinationhostunreachable”和“timeout”的區(qū)別。如果所經(jīng)過的路由器的路由表中具有到達(dá)目標(biāo)的路由，而目標(biāo)因?yàn)槠渌虿豢傻竭_(dá)，那么這時會出現(xiàn)“timeout”；如果路由表中連到達(dá)目標(biāo)的路由都沒有，那么就會出現(xiàn)“destinationhostunreachable”。第十五頁，共78頁。3.?BadIPaddress

表示用戶可能沒有連接到DNS服務(wù)器，所以無法解析這個IP地址，也可能是IP地址不存在。

4.?Sourcequenchreceived

這個信息比較特殊，它出現(xiàn)的概率很小。它表示對方或中途的服務(wù)器繁忙，無法回應(yīng)。第十六頁，共78頁。5.?Unknownhost

這種出錯信息的意思是，該遠(yuǎn)程主機(jī)的名字不能被域名服務(wù)器(DNS)轉(zhuǎn)換成IP地址。故障原因可能是域名服務(wù)器有故障，或者其名字不正確，或者網(wǎng)絡(luò)管理員的系統(tǒng)與遠(yuǎn)程主機(jī)之間的通信線路有故障。第十七頁，共78頁。6.?Noanswer

這種故障說明本地系統(tǒng)有一條通向中心主機(jī)的路由，但卻接收不到它發(fā)給該中心主機(jī)的任何信息。故障原因可能是下列之一：

●中心主機(jī)沒有工作；

●本地或中心主機(jī)網(wǎng)絡(luò)配置不正確；

●本地或中心的路由器沒有工作；

●通信線路有故障；

●中心主機(jī)存在路由選擇問題。

第十八頁，共78頁。7.?Noroutetohost

網(wǎng)卡工作不正常。

8.?Transmitfailed,errorcode：10043

網(wǎng)卡驅(qū)動不正常。

9.Unknownhostname

DNS配置不正確。第十九頁，共78頁。3.1.2命令舉例

1.?ping本機(jī)IP

例如本機(jī)IP地址為：，則執(zhí)行命令ping。如果網(wǎng)卡安裝配置沒有問題，則應(yīng)有類似下列顯示：

Replayfrombytes=32time<10ms

Pingstatisticsfor

PacketsSent=4Received=4Lost=00%loss

Approximateroundtriptimesinmilli-seconds

Minimum=0msMaxiumu=1msAverage=0ms第二十頁，共78頁。如果在MS-DOS方式下執(zhí)行此命令顯示內(nèi)容為：Requesttimedout，則表明網(wǎng)卡安裝或配置有問題。將網(wǎng)線斷開再次執(zhí)行此命令，如果顯示正常，則說明本機(jī)使用的IP地址可能與另一臺正在使用的機(jī)器IP地址重復(fù)了。如果仍然不正常，則表明本機(jī)網(wǎng)卡安裝或配置有問題，需繼續(xù)檢查相關(guān)網(wǎng)絡(luò)配置。第二十一頁，共78頁。2.測試網(wǎng)速

在默認(rèn)情況下，Windows只發(fā)送四個數(shù)據(jù)包，通過這個命令可以自己定義發(fā)送的個數(shù)，對衡量網(wǎng)絡(luò)速度很有幫助。比如想測試發(fā)送50個數(shù)據(jù)包的平均返回時間、最快時間及最慢時間，就可以通過以下獲知：

C:＼>ping-n508

Pinging8with32bytesofdata:

Replyfrom8:bytes=32time=50msTTL=241第二十二頁，共78頁。Replyfrom8:bytes=32time=50msTTL=241

Replyfrom8:bytes=32time=50msTTL=241

Requesttimedout.

…

Replyfrom8:bytes=32time=50msTTL=241

Replyfrom8:bytes=32time=50msTTL=241

Pingstatisticsfor8:

Packets:Sent=50,Received=48,Lost=2(4%loss),Approximateroundtriptimesinmilli-seconds:

Minimum=40ms,Maximum=51ms,Average=46ms第二十三頁，共78頁。由此可知，在給8發(fā)送50個數(shù)據(jù)包的過程當(dāng)中，返回了48個，其中有兩個由于未知原因丟失，這48個數(shù)據(jù)包當(dāng)中返回時間最快為40ms，最慢為51ms，平均返回時間為46ms。第二十四頁，共78頁。3.獲取路由信息

一般情況下發(fā)送的數(shù)據(jù)包是通過多個路由器才到達(dá)對方的，但到底是經(jīng)過了哪些路由器呢？通過參數(shù)R就可以設(shè)定用戶想探測經(jīng)過的路由器的個數(shù)，不過只能跟蹤到9個路

由器。

C:＼>ping-n1-R901

Pinging01with32bytesofdata:

Replyfrom01:bytes=32time=10msTTL=249

第二十五頁，共78頁。Route:87->

14->

0->

9->

49->

7->

01->

50->

0

第二十六頁，共78頁。Pingstatisticsfor01:

Packets:Sent=1,Received=1,Lost=0(0%loss),

Approximateroundtriptimesinmilli-seconds:

Minimum=10ms,Maximum=10ms,Average=10ms

由此可知，從用戶的計(jì)算機(jī)到01一共通過了87、14、0、9、49和7這幾個路由器。第二十七頁，共78頁。3.2nslookup

3.2.1語法與參數(shù)語法：nslookup[-SubCommand...][{ComputerToFind|[-Server]}]nslookup有兩種模式：1.非交互式如果僅需要查找一塊數(shù)據(jù)，則使用非交互式模式。對于第一個參數(shù)，鍵入要查找的計(jì)算機(jī)的名稱或IP地址。對于第二個參數(shù)，鍵入DNS名稱服務(wù)器的名稱或IP地址。如果省略第二個參數(shù)，則nslookup使用默認(rèn)DNS名稱服務(wù)器。第二十八頁，共78頁。2.交互式

如果需要查找多塊數(shù)據(jù)，則可以使用交互式模式。對于第一個參數(shù)，鍵入連字符(-)。對于第二個參數(shù)，鍵入DNS名稱服務(wù)器的名稱或IP地址。如果省略兩個參數(shù)，則nslookup使用默認(rèn)DNS名稱服務(wù)器。要隨時中斷交互式命令，按Ctrl?+?C。要退出，鍵入Exit。第二十九頁，共78頁。參數(shù)：

-SubCommand...：將一個或多個nslookup子命令指定為命令行選項(xiàng)。

ComputerToFind：如果未指定其他服務(wù)器，就使用當(dāng)前默認(rèn)DNS名稱服務(wù)器查閱ComputerToFind的信息。要查找不在當(dāng)前DNS域的計(jì)算機(jī)，請?jiān)诿Q上附加句點(diǎn)。

如果ComputerToFind是IP地址，并且查詢類型為A或PTR資源記錄類型，則返回計(jì)算機(jī)的名稱。如果ComputerToFind是一個名稱，并且沒有跟蹤期，則向該名稱添加默認(rèn)DNS域名。此行為取決于下面set子命令的狀態(tài)：domain、srchlist、defname和search。第三十頁，共78頁。如果鍵入連字符“-”代替ComputerToFind，則命令提示符更改為nslookup交互式模式。

-Server：指定將該服務(wù)器作為DNS名稱服務(wù)器使用。如果省略了-Server，則將使用默認(rèn)的DNS名稱服務(wù)器。

{help|?}：顯示nslookup子命令的簡短總結(jié)。

第三十一頁，共78頁。如果nslookup命令執(zhí)行成功，即可顯示出目標(biāo)服務(wù)器的主機(jī)名和對應(yīng)的IP地址，稱之為正向解析。若失敗了，可能是執(zhí)行nslookup命令的計(jì)算機(jī)的DNS設(shè)置錯了，也有可能是所查詢的DNS服務(wù)器停止或工作異常。還有一種情況，雖然返回了應(yīng)答，但每當(dāng)和該服務(wù)器通信就會失敗。這多數(shù)是目標(biāo)服務(wù)器停止工作，但也有可能DNS服務(wù)器保存了錯誤的信息。在DNS服務(wù)器出現(xiàn)問題時，有時可能只能進(jìn)行正向解析，無法進(jìn)行逆向解析。此時，只需執(zhí)行nslookup命令，看是否輸出目標(biāo)主機(jī)名即可。第三十二頁，共78頁。下面列出可能的錯誤消息：

1)?Timedout

重試一定時間和一定次數(shù)之后，服務(wù)器沒有響應(yīng)請求?？梢酝ㄟ^settimeout子命令設(shè)置超時期，而利用setretry子命令設(shè)置重試次數(shù)。

2)?Noresponsefromserver

服務(wù)器上沒有運(yùn)行DNS名稱服務(wù)器。

3)?Norecords

盡管計(jì)算機(jī)名有效，但是DNS名稱服務(wù)器沒有當(dāng)前查詢類型的資源記錄。查詢類型使用setquerytype命令指定。第三十三頁，共78頁。4)?Nonexistentdomain

計(jì)算機(jī)或DNS域名不存在。

5)?Connectionrefused或Networkisunreachable

無法與DNS名稱服務(wù)器或指針服務(wù)器建立連接。該錯誤通常發(fā)生在ls和finger請求中。

第三十四頁，共78頁。6)?ServerfailureDNS

名稱服務(wù)器發(fā)現(xiàn)在其數(shù)據(jù)庫中內(nèi)部不一致而無法返回有效應(yīng)答。

7)?RefusedDNS

名稱服務(wù)器拒絕為請求服務(wù)。

8)?FormaterrorDNS

名稱服務(wù)器發(fā)現(xiàn)請求數(shù)據(jù)包的格式不正確。該錯誤可能表明nslookup中存在錯誤。第三十五頁，共78頁。

1.查找不同的數(shù)據(jù)類型

要在域名空間中查找不同的數(shù)據(jù)類型，可在命令提示符下使用settype或setq[uerytype]命令。例如，若查詢郵件交換器數(shù)據(jù)，則可輸入：

C:\>nslookup

DefaultServer:

Address:

>setq=mx

>mailhost

Server:第三十六頁，共78頁。Address:

MXpreference=0,mailexchanger=

internetaddress=

>第三十七頁，共78頁。第一次查詢是查找遠(yuǎn)程名稱，答案是權(quán)威的，但隨后的查詢是非權(quán)威的。第一次查詢遠(yuǎn)程主機(jī)時，本地DNS服務(wù)器與作為該域權(quán)威的DNS服務(wù)器取得聯(lián)系。然后，本地DNS服務(wù)器緩存該信息，以便從本地服務(wù)器緩存中非權(quán)威地回答隨后的查詢。第三十八頁，共78頁。2.直接從另一個名稱服務(wù)器中進(jìn)行查詢

要直接查詢另一個名稱服務(wù)器，使用server或lserver命令切換到該名稱服務(wù)器。lserver命令使用本地服務(wù)器得到要切換的服務(wù)器地址，而server命令使用當(dāng)前默認(rèn)服務(wù)器得到該地址。例如：

C:\>nslookup

DefaultServer:

Address:

>server

DefaultServer:

Address:

>第三十九頁，共78頁。3.3ipconfig

3.3.1語法與參數(shù)語法：ipconfig[/all][/renew[Adapter]][/release[Adapter]][/flushdns][/displaydns][/registerdns][/showclassidAdapter][/setclassidAdapter[ClassID]]參數(shù)：第四十頁，共78頁。/all：顯示所有適配器的完整TCP/IP配置信息。在沒有該參數(shù)的情況下，ipconfig只顯示各個適配器的IPv6地址(或IPv4地址)、子網(wǎng)掩碼和默認(rèn)網(wǎng)關(guān)值。適配器可以代表物理接口或邏輯接口(例如撥號連接)。

/renew[Adapter]：更新所有適配器(如果未指定適配器)或特定適配器(如果包含了Adapter參數(shù))的DHCP配置。該參數(shù)僅在具有配置為自動獲取IP地址的適配器的計(jì)算機(jī)上可用。要指定適配器名稱，請鍵入使用不帶參數(shù)的ipconfig命令顯示的適配器名稱。

第四十一頁，共78頁。/release[Adapter]：發(fā)送DHCPRELEASE消息到DHCP服務(wù)器，以釋放所有適配器(如果未指定適配器)或特定適配器(如果包含了Adapter參數(shù))的當(dāng)前DHCP配置并丟棄IP地址配置。該參數(shù)可以禁用配置為自動獲取IP地址的適配器的TCP/IP。要指定適配器名稱，請鍵入使用不帶參數(shù)的ipconfig命令顯示的適配器名稱。

/flushdns：刷新并重設(shè)DNS客戶解析緩存的內(nèi)容。在DNS故障排除期間，可以使用本過程從緩存中丟棄否定緩存項(xiàng)和任何其他動態(tài)添加項(xiàng)。第四十二頁，共78頁。/displaydns：顯示DNS客戶解析緩存的內(nèi)容，包括從LocalHosts文件預(yù)裝載的記錄，以及最近獲得的針對由計(jì)算機(jī)解析的名稱查詢的資源記錄。DNS客戶服務(wù)在查詢配置的DNS服務(wù)器之前使用這些信息快速解析被頻繁查詢的名稱。

/registerdns：初始化計(jì)算機(jī)上配置的DNS名稱和IP地址的手工動態(tài)注冊。可以使用該參數(shù)對失敗的DNS名稱注冊進(jìn)行故障排除，或解決客戶和DNS服務(wù)器之間的動態(tài)更新問題，而不必重新啟動客戶端計(jì)算機(jī)。TCP/IP協(xié)議高級屬性中的DNS設(shè)置可以確定DNS中注冊了哪些名稱。第四十三頁，共78頁。/showclassidAdapter：顯示指定適配器的DHCP類別ID。要查看所有適配器的DHCP類別ID，請?jiān)贏dapter位置使用星號“*”通配符。該參數(shù)僅在具有配置為自動獲取IP地址的適配器的計(jì)算機(jī)上可用。

/setclassidAdapter：[ClassID]配置特定適配器的DHCP類別ID。要設(shè)置所有適配器的DHCP類別ID，請?jiān)贏dapter位置使用星號“*”通配符。該參數(shù)僅在具有配置為自動獲取IP地址的適配器的計(jì)算機(jī)上可用。如果未指定DHCP類別ID，則會刪除當(dāng)前類別ID。

/?：在命令提示符下顯示幫助。第四十四頁，共78頁。3.3.2命令舉例

(1)要顯示所有適配器的基本TCP/IP配置，請鍵入：

ipconfig

(2)要顯示所有適配器的完整TCP/IP配置，請鍵入：

ipconfig/all

下面是ipconfig/all命令輸出，該計(jì)算機(jī)配置成使用DHCP服務(wù)器動態(tài)配置TCP/IP，并使用WINS和DNS服務(wù)器解析名稱。第四十五頁，共78頁。Windows2000IPConfiguration

NodeType........... :Hybrid

IPRoutingEnabled........? :No

WINSProxyEnabled...... :No

EthernetadapterLocalAreaConnection:

HostName.............. :

DNSServers.............:00

Description............. :3Com3C90xEthernetAdapter

PhysicalAddress......... :00-60-08-3E-46-07

DHCPEnabled........... :Yes

AutoconfigurationEnabled... :Yes第四十六頁，共78頁。IPAddress................:12

SubnetMask..............:

DefaultGateway...........:

DHCPServer............ :0

PrimaryWINSServer......:01

SecondaryWINSServer... :02

LeaseObtained...........:Wednesday,September02,199810:32:13AM

LeaseExpires.............:Friday,September18,199810:32:13AM第四十七頁，共78頁。(3)僅更新“本地連接”適配器由DHCP分配IP地址的配置，請鍵入：

ipconfig/renew“LocalAreaConnection”

(4)要在排除DNS的名稱解析故障期間刷新DNS解析器緩存，請鍵入：

ipconfig/flushdns

(5)要顯示名稱以Local開頭的所有適配器的DHCP類別ID，請鍵入：

ipconfig/showclassidLocal*

第四十八頁，共78頁。(6)要將“本地連接”適配器的DHCP類別ID設(shè)置為TEST，請鍵入：

ipconfig/setclassid“LocalAreaConnection”TEST

(7)要備份網(wǎng)絡(luò)設(shè)置，請鍵入：

ipconfig/batchbak-netcfg(將有關(guān)網(wǎng)絡(luò)配置的信息備份到文件bak-netcfg中)

(8)要為網(wǎng)卡動態(tài)分配新地址，請鍵入：

ipconfig/release1(去除網(wǎng)卡1的動態(tài)IP地址)

ipconfig/renew1(為網(wǎng)卡1重新動態(tài)分配IP地址)第四十九頁，共78頁。3.4netstat

3.4.1語法與參數(shù)語法：

netstat[-a][-b][-e][-n][-o][-pproto][-r][-s][-v][interval]參數(shù)：-a：顯示所有連接和監(jiān)聽端口。第五十頁，共78頁。-b：顯示包含于創(chuàng)建每個連接或監(jiān)聽端口的可執(zhí)行組件。在某些情況下已知可執(zhí)行組件擁有多個獨(dú)立組件，并且在這些情況下包含于創(chuàng)建連接或監(jiān)聽端口的組件序列被顯示。這種情況下，可執(zhí)行組件名在底部的[]中，頂部是其調(diào)用的組件等，直到TCP/IP部分。注意此選項(xiàng)可能需要很長時間，如果沒有足夠權(quán)限，則可能失敗。-e：顯示以太網(wǎng)統(tǒng)計(jì)信息。此選項(xiàng)可以與-s選項(xiàng)組合使用。-n：以數(shù)字形式顯示地址和端口號。-o：顯示與每個連接相關(guān)的所屬進(jìn)程ID。第五十一頁，共78頁。-pproto：顯示proto指定的協(xié)議的連接；proto可以是下列協(xié)議之一：TCP、UDP、TCPv6或UDPv6。如果與-s選項(xiàng)一起使用以顯示按協(xié)議統(tǒng)計(jì)信息，proto可以是下列協(xié)議之一：IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP或UDPv6。

-r：顯示路由表。

-s：顯示按協(xié)議統(tǒng)計(jì)信息。默認(rèn)顯示IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP和UDPv6的統(tǒng)計(jì)信息。

-p：選項(xiàng)用于指定默認(rèn)情況的子集。

-v：與-b選項(xiàng)一起使用時將顯示包含于為所有可執(zhí)行組件創(chuàng)建連接或監(jiān)聽端口的組件。

第五十二頁，共78頁。3.4.2命令舉例

下面用一個實(shí)例簡單解釋一下netstat的使用：

C:\>netstat-a

ActiveConnections

ProtoLocalAddressForeignAddressState

TCPEagle:ftpEagle:0LISTENING

TCPEagle:telnetEagle:0LISTENING

TCPEagle:smtpEagle:0LISTENING

TCPEagle:httpEagle:0LISTENING

TCPEagle:epmapEagle:0LISTENING

第五十三頁，共78頁。TCPEagle:httpsEagle:0LISTENING

TCPEagle:microsoft-dsEagle:0LISTENING

TCPEagle:1030Eagle:0LISTENING

TCPEagle:microsoft-dslocalhost:1031ESTABLISHED

TCPEagle:netbios-ssnEagle:0LISTENING

TCPEagle:12135:9002CLOSE_WAIT

TCPEagle:244342:httpsCLOSE_WAIT

第五十四頁，共78頁。TCPEagle:291601:telnetESTABLISHED

TCPEagle:29280:4899TIME_WAIT

TCPEagle:34555:9002ESTABLISHED

TCPEagle:netbios-ssnEagle:0LISTENING

UDPEagle:microsoft-ds*:*

UDPEagle:1046*:*

UDPEagle:1050*:*第五十五頁，共78頁。協(xié)議(Proto)：TCP，是指傳輸層通訊協(xié)議。

本地機(jī)器名(LocalAddress)：Eagle，俗稱計(jì)算機(jī)名，安裝系統(tǒng)時設(shè)置的，可以在“我的計(jì)算機(jī)”屬性中修改。

遠(yuǎn)程機(jī)器名(ForeignAddress)：指與本機(jī)通信的計(jì)算機(jī)。

State指TCP連接狀態(tài)，包括以下內(nèi)容：

LISTEN：在監(jiān)聽狀態(tài)中。

ESTABLISHED：已建立連接。

TIME_WAIT：該連接在目前已經(jīng)是等待的狀態(tài)。第五十六頁，共78頁。3.5nbtstat

3.5.1語法與參數(shù)

語法：

nbtstat[-aRemoteName][-AIPAddress][-c][-n][-r][-R][-RR][-s][-S][Interval]參數(shù)：-aRemoteName：顯示遠(yuǎn)程計(jì)算機(jī)的NetBIOS名稱表。其中，RemoteName是遠(yuǎn)程計(jì)算機(jī)的NetBIOS計(jì)算機(jī)名稱，NetBIOS名稱表是與運(yùn)行在該計(jì)算機(jī)上的應(yīng)用程序相對應(yīng)的NetBIOS名稱列表。第五十七頁，共78頁。-AIPAddress：顯示遠(yuǎn)程計(jì)算機(jī)的NetBIOS名稱表，其名稱由遠(yuǎn)程計(jì)算機(jī)的IP地址指定(以小數(shù)點(diǎn)分隔)。

-c：顯示NetBIOS名稱緩存內(nèi)容、NetBIOS名稱表及其解析的各個地址。

-n：顯示本地計(jì)算機(jī)的NetBIOS名稱表。Registered的狀態(tài)表明該名稱是通過廣播還是WINS服務(wù)器注冊的。

-r：顯示NetBIOS名稱解析統(tǒng)計(jì)資料。在配置為使用WINS且運(yùn)行WindowsXP或WindowsServer2003操作系統(tǒng)的計(jì)算機(jī)上，該參數(shù)將返回已通過廣播和WINS解析和注冊的名稱號碼。第五十八頁，共78頁。-R：清除NetBIOS名稱緩存的內(nèi)容，并從Lmhosts文件中重新加載帶有#PRE標(biāo)記的

項(xiàng)目。

-RR：釋放并刷新通過WINS服務(wù)器注冊的本地計(jì)算機(jī)的NetBIOS名稱。

-s：顯示NetBIOS客戶端和服務(wù)器會話，并試圖將目標(biāo)IP地址轉(zhuǎn)化為名稱。

-S：顯示NetBIOS客戶端和服務(wù)器會話，只通過IP地址列出遠(yuǎn)程計(jì)算機(jī)。第五十九頁，共78頁。Interval：重新顯示選擇的統(tǒng)計(jì)資料，可以在每個顯示內(nèi)容之間中斷Interval中指定的秒數(shù)。按Ctrl?+?C停止重新顯示統(tǒng)計(jì)信息。如果省略該參數(shù)，則netstat將只顯示一次當(dāng)前的配置信息。

/?：在命令提示符下顯示幫助。

標(biāo)題描述：

Input：接收的字節(jié)數(shù)。

Output：發(fā)送的字節(jié)數(shù)。

In/Out：該連接是否從計(jì)算機(jī)傳出或者從其他計(jì)算機(jī)傳入到本地計(jì)算機(jī)。

第六十頁，共78頁。Lift：名稱表示緩存項(xiàng)在被清除之前所存留的時間。

LocalName：與連接相關(guān)的本地NetBIOS名稱。

RemoteHost：與遠(yuǎn)程計(jì)算機(jī)相關(guān)的名稱或IP地址。

<03>轉(zhuǎn)化為十六進(jìn)制的NetBIOS名稱的最后一個字節(jié)。每個NetBIOS名稱長度均為16個字符。最后一個字節(jié)通常有特殊的意義，因?yàn)橄嗤拿Q(只有最后一個字節(jié)不同)可能在一臺計(jì)算機(jī)上出現(xiàn)幾次。例如，<20>在ASCII文本中是一個空格。第六十一頁，共78頁。Type：名稱類型。名稱可以是唯一名稱，也可以是組名稱。

Status：遠(yuǎn)程計(jì)算機(jī)上是否在運(yùn)行NetBIOS服務(wù)(已注冊)，或同一計(jì)算機(jī)名是否已注冊了相同的服務(wù)(沖突)。

StateNetBIOS：連接的狀態(tài)。

State描述的內(nèi)容包括：

Connected：會話已建立。

Associated：連接的終節(jié)點(diǎn)已經(jīng)被創(chuàng)建并與IP地址關(guān)聯(lián)。

Listening：該終節(jié)點(diǎn)對入站連接可用。

Idle：該終節(jié)點(diǎn)已被打開但不能接收連接。第六十二頁，共78頁。Connecting：會話處于連接階段。在此階段正在解析所選目標(biāo)的由名稱到IP地址的

映射。

Accepting：當(dāng)前正在接受入站會話，并將立即連接。

Reconnecting：會話將試圖重新連接(如果第一次連接嘗試失敗)。

Outbound：會話正處于連接階段，當(dāng)前正在創(chuàng)建TCP連接。

Inbound：入站會話處于連接階段。

Disconnecting：會話正在斷開連接。

Disconnected：本地計(jì)算機(jī)已斷開連接，并正等待遠(yuǎn)程系統(tǒng)的確認(rèn)。第六十三頁，共78頁。3.5.2命令舉例(1)顯示NetBIOS計(jì)算機(jī)名為CORP07的遠(yuǎn)程計(jì)算機(jī)的NetBIOS名稱表：nbtstat-aCORP07(2)顯示所分配IP地址為9的遠(yuǎn)程計(jì)算機(jī)的NetBIOS名稱表：nbtstat-A9第六十四頁，共78頁。3.6tracert

3.6.1語法與參數(shù)語法：tracert[-d][-hmaximum_hops][-jhost-list][-wtimeout]target_name參數(shù)：-d：指定不將地址解析為計(jì)算機(jī)名。-hmaximum_hops：指定搜索目標(biāo)的最大跳數(shù)。-jcomputer-list：指定沿computer-list的稀疏源路由。-wtimeout：每次應(yīng)答等待timeout指定的微秒數(shù)。target_name：目標(biāo)計(jì)算機(jī)的名稱。第六十五頁，共78頁。3.6.2命令舉例tracert一般用來檢測故障的位置，可以用tracertIP發(fā)現(xiàn)在哪個環(huán)節(jié)上出了問題。雖然尚未確定是什么問題，但它已經(jīng)告訴了我們問題所在的位置。例如：C:\>tracert-dTracingrouteto[0]overamaximumof30hops:12ms1ms1ms23ms2ms1ms5432ms2ms2ms5342ms2ms2ms0Tracecomplete.第六十六頁，共78頁。3.7arp

3.7.1語法與參數(shù)語法：arp-sinet_addreth_addr[if_addr]arp-dinet_addr[if_addr]arp-a[inet_addr][-Nif_addr]參數(shù)：第六十七頁，共78頁。-a或?-g：用于查看高速緩存中的所有項(xiàng)目。-a和?-g參數(shù)的結(jié)果是一樣的，多年來?-g一直是UNIX平臺上用來顯示ARP高速緩存中所有項(xiàng)目的選項(xiàng)，而Windows用的是arp-a，但它也可以接受比較傳統(tǒng)的?-g選項(xiàng)。-aIP：如果我們有多個網(wǎng)卡，那么使用arp-a加上接口的IP地址，就可以只顯示與該接口相關(guān)的ARP緩存項(xiàng)目。-sIP物理地址：我們可以向ARP高速緩存中人工輸入一個靜態(tài)項(xiàng)目。該項(xiàng)目在計(jì)算機(jī)引導(dǎo)過程中將保持有效狀態(tài)，或者在出現(xiàn)錯誤時，人工配置的物理地址將自動更新該項(xiàng)目。-dIP：使用本命令能夠人工刪除一個靜態(tài)項(xiàng)目。第六十八頁，共78頁。3.7.2命令舉例很多此起彼伏的瞬間掉線或大面積的斷網(wǎng)是ARP欺騙在作怪。從影響網(wǎng)絡(luò)連接通暢的方式來看，ARP欺騙分為兩種。一種是對路由器ARP表的欺騙；另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。第六十九頁，共78頁。第一種ARP欺騙的原理是截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷重復(fù)，使真實(shí)的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在PC看來，就是上不了網(wǎng)了。第七十頁，共78頁。一般來說，ARP欺騙攻擊的后果非常嚴(yán)重，大多數(shù)情況下會造成大面積掉線。有些網(wǎng)絡(luò)管理員對此不甚了解，出現(xiàn)故障時，認(rèn)為PC沒有問題，交換機(jī)沒掉線，電信也不承認(rèn)寬帶故障。而且如果第一種ARP欺騙發(fā)生時，只要重啟路由器，網(wǎng)絡(luò)就能全面恢復(fù)，那問題一定是在路由器了。為此，路由器背了不少黑鍋。如下操作可以防范ARP欺騙：①在寬帶路由器中把所有PC的IP-MAC輸入到一個靜態(tài)表中，這叫路由器IP-MAC綁定。②在內(nèi)網(wǎng)所有PC上設(shè)置網(wǎng)關(guān)的靜態(tài)ARP信息，這叫PC機(jī)IP-MAC綁定。兩項(xiàng)工作都做則稱其為IP-MAC雙向綁定。對每臺主機(jī)進(jìn)行IP和MAC地址靜態(tài)綁定如下：

arp–sAA-AA-AA-AA-A