常用網(wǎng)絡(luò)故障診斷命令演示文稿

常用網(wǎng)絡(luò)故障診斷命令演示文稿目前一頁\總數(shù)七十八頁\編于二十二點（優(yōu)選）常用網(wǎng)絡(luò)故障診斷命令.目前二頁\總數(shù)七十八頁\編于二十二點3.1ping

ping是用于測試網(wǎng)絡(luò)連接情況的程序。作為一個網(wǎng)絡(luò)維護人員，ping命令是第一個必須掌握的命令。ping是Windows系統(tǒng)自帶的一個可執(zhí)行命令。它可以檢查網(wǎng)絡(luò)是否能夠連通，并很好地幫助我們分析判定網(wǎng)絡(luò)故障。目前三頁\總數(shù)七十八頁\編于二十二點ping的原理是這樣的：網(wǎng)絡(luò)上的機器都有唯一確定的IP地址，ping發(fā)送一個ICMP回聲請求消息給目的地，并報告是否收到所希望的ICMP回聲應(yīng)答，根據(jù)返回的數(shù)據(jù)包我們可以確定網(wǎng)絡(luò)的連接情況。我們以圖3-1所示網(wǎng)絡(luò)為例，講述ping命令。圖中，有A、B、C、D四臺機器，一臺路由RA，子網(wǎng)掩碼均為，默認路由為。目前四頁\總數(shù)七十八頁\編于二十二點圖3-1ping命令實驗網(wǎng)絡(luò)目前五頁\總數(shù)七十八頁\編于二十二點1.在同一網(wǎng)段內(nèi)在主機A上運行“ping”后，都發(fā)生了些什么呢?首先，ping命令會構(gòu)建一個固定格式的ICMP請求數(shù)據(jù)包，然后由ICMP協(xié)議將這個數(shù)據(jù)包連同地址一起交給IP層協(xié)議，IP層協(xié)議將以地址作為目的地址，本機IP地址作為源地址，加上一些其他的控制信息，構(gòu)建一個IP數(shù)據(jù)包，并想辦法得到的MAC地址(這是數(shù)據(jù)鏈路層協(xié)議構(gòu)建數(shù)據(jù)鏈路層的幀所必需的)，以便交給數(shù)據(jù)鏈路層構(gòu)建一個數(shù)據(jù)幀。目前六頁\總數(shù)七十八頁\編于二十二點主機B收到這個數(shù)據(jù)幀后，先檢查其目的地址，并和本機的物理地址對比，如符合，則接收，否則丟棄。接收后檢查該數(shù)據(jù)幀，將IP數(shù)據(jù)包從幀中提取出來，交給本機的IP層協(xié)議。同樣，IP層檢查后，將有用的信息提取后交給ICMP協(xié)議，后者處理后，立即構(gòu)建一個ICMP應(yīng)答包，發(fā)送給主機A，其過程和主機A發(fā)送ICMP請求包到主機B一樣。目前七頁\總數(shù)七十八頁\編于二十二點2.不在同一網(wǎng)段內(nèi)在主機A上運行“ping”后，開始跟上面一樣。到了該獲取MAC地址時，IP協(xié)議通過計算發(fā)現(xiàn)D機與自己不在同一網(wǎng)段內(nèi)，就直接交路由器處理，也就是將路由器的MAC取過來。至于怎樣得到路由器的MAC，跟上面一樣，先在ARP緩存表找，找不到就廣播。路由器得到這個數(shù)據(jù)幀后，再跟主機D進行聯(lián)系，如果找不到，就向主機A返回一個超時的信息。目前八頁\總數(shù)七十八頁\編于二十二點3.1.1語法與參數(shù)

語法：

ping[-t][-a][-ncount][-llength][-f][-ittl][-rcount][-scount]

參數(shù)：

-t：若使用者不人為中斷會，系統(tǒng)就會不斷ping下去。

-a：將目標機器標識轉(zhuǎn)換為IP地址，其實不使用這個參數(shù)直接ping目標主機也會在結(jié)果中顯示目標主機的IP地址。

-ncount：要求ping命令連續(xù)發(fā)送數(shù)據(jù)報，直到發(fā)出并接收到count個請求。目前九頁\總數(shù)七十八頁\編于二十二點-l：發(fā)送緩沖區(qū)的大小。

-f：是一種快速方式ping。它可使ping輸出數(shù)據(jù)報的速度與數(shù)據(jù)報從遠程主機返回一樣快，或者更快，達到每秒100次。在這種方式下，每個請求用一個句點表示。對于每一個響應(yīng)打印一個空格鍵。

-i：生存期。

-r：使ping命令旁路掉用于發(fā)送數(shù)據(jù)報的正常路由表。

-spacketsize：使用戶能夠標識出要發(fā)送數(shù)據(jù)的字節(jié)數(shù)。缺省是56個字符，再加上8個字節(jié)的ICMP數(shù)據(jù)頭，共64個ICMP數(shù)據(jù)字節(jié)。目前十頁\總數(shù)七十八頁\編于二十二點1.?Requesttimedout

(1)對方已關(guān)機，或者網(wǎng)絡(luò)上根本沒有這個地址：比如在圖3-1中主機A中ping，或者主機B關(guān)機了，在主機A中ping都會得到超時信息。

(2)對方與自己不在同一網(wǎng)段內(nèi)，通過路由也無法找到對方。但有時對方確實是存在的。目前十一頁\總數(shù)七十八頁\編于二十二點(3)對方確實存在，但設(shè)置了ICMP數(shù)據(jù)包過濾(比如防火墻設(shè)置)。怎樣知道對方是存在還是不存在呢，可以用帶參數(shù)-a的ping命令探測對方，如果能得到對方的NETBIOS名稱，則說明對方是存在的，有防火墻設(shè)置。如果得不到，則多半是對方不存在或關(guān)機，或不在同一網(wǎng)段內(nèi)。

目前十二頁\總數(shù)七十八頁\編于二十二點(4)錯誤設(shè)置IP地址。正常情況下，一臺主機應(yīng)該有一個網(wǎng)卡、一個IP地址，或者多個網(wǎng)卡、多個IP地址。但如果在一臺計算機的“撥號網(wǎng)絡(luò)適配器”(相當于一塊軟網(wǎng)卡)的TCP/IP設(shè)置中，設(shè)置了一個與網(wǎng)卡IP地址處于同一子網(wǎng)的IP地址，這樣，在IP層協(xié)議看來，這臺主機就有兩個不同的接口處于同一網(wǎng)段內(nèi)。當從這臺主機ping其他的機器時，會存在這樣的問題：

目前十三頁\總數(shù)七十八頁\編于二十二點①主機不知道將數(shù)據(jù)包發(fā)到哪個網(wǎng)絡(luò)接口，因為有兩個網(wǎng)絡(luò)接口都連接在同一網(wǎng)段。

②主機不知道用哪個地址作為數(shù)據(jù)包的源地址。因此，從這臺主機去ping其他機器時，IP層協(xié)議會無法處理。超時后，ping就會給出一個“超時無應(yīng)答”的錯誤信息提示。但從其他主機ping這臺主機時，請求包從特定的網(wǎng)卡來，ICMP只須簡單地將目的、源地址互換，并更改一些標志即可，ICMP應(yīng)答包能順利發(fā)出，其他主機也就能成功ping通這臺機器了。目前十四頁\總數(shù)七十八頁\編于二十二點2.?DestinationhostUnreachable

對方與自己不在同一網(wǎng)段內(nèi)，而自己又未設(shè)置默認的路由。比如上例中A機中不設(shè)定默認的路由，運行ping，就會出現(xiàn)“DestinationhostUnreachable”。

這里要說明一下“destinationhostunreachable”和“timeout”的區(qū)別。如果所經(jīng)過的路由器的路由表中具有到達目標的路由，而目標因為其他原因不可到達，那么這時會出現(xiàn)“timeout”；如果路由表中連到達目標的路由都沒有，那么就會出現(xiàn)“destinationhostunreachable”。目前十五頁\總數(shù)七十八頁\編于二十二點3.?BadIPaddress

表示用戶可能沒有連接到DNS服務(wù)器，所以無法解析這個IP地址，也可能是IP地址不存在。

4.?Sourcequenchreceived

這個信息比較特殊，它出現(xiàn)的概率很小。它表示對方或中途的服務(wù)器繁忙，無法回應(yīng)。目前十六頁\總數(shù)七十八頁\編于二十二點5.?Unknownhost

這種出錯信息的意思是，該遠程主機的名字不能被域名服務(wù)器(DNS)轉(zhuǎn)換成IP地址。故障原因可能是域名服務(wù)器有故障，或者其名字不正確，或者網(wǎng)絡(luò)管理員的系統(tǒng)與遠程主機之間的通信線路有故障。目前十七頁\總數(shù)七十八頁\編于二十二點6.?Noanswer

這種故障說明本地系統(tǒng)有一條通向中心主機的路由，但卻接收不到它發(fā)給該中心主機的任何信息。故障原因可能是下列之一：

●中心主機沒有工作；

●本地或中心主機網(wǎng)絡(luò)配置不正確；

●本地或中心的路由器沒有工作；

●通信線路有故障；

●中心主機存在路由選擇問題。

目前十八頁\總數(shù)七十八頁\編于二十二點7.?Noroutetohost

網(wǎng)卡工作不正常。

8.?Transmitfailed,errorcode：10043

網(wǎng)卡驅(qū)動不正常。

9.Unknownhostname

DNS配置不正確。目前十九頁\總數(shù)七十八頁\編于二十二點3.1.2命令舉例

1.?ping本機IP

例如本機IP地址為：，則執(zhí)行命令ping。如果網(wǎng)卡安裝配置沒有問題，則應(yīng)有類似下列顯示：

Replayfrombytes=32time<10ms

Pingstatisticsfor

PacketsSent=4Received=4Lost=00%loss

Approximateroundtriptimesinmilli-seconds

Minimum=0msMaxiumu=1msAverage=0ms目前二十頁\總數(shù)七十八頁\編于二十二點如果在MS-DOS方式下執(zhí)行此命令顯示內(nèi)容為：Requesttimedout，則表明網(wǎng)卡安裝或配置有問題。將網(wǎng)線斷開再次執(zhí)行此命令，如果顯示正常，則說明本機使用的IP地址可能與另一臺正在使用的機器IP地址重復(fù)了。如果仍然不正常，則表明本機網(wǎng)卡安裝或配置有問題，需繼續(xù)檢查相關(guān)網(wǎng)絡(luò)配置。目前二十一頁\總數(shù)七十八頁\編于二十二點2.測試網(wǎng)速

在默認情況下，Windows只發(fā)送四個數(shù)據(jù)包，通過這個命令可以自己定義發(fā)送的個數(shù)，對衡量網(wǎng)絡(luò)速度很有幫助。比如想測試發(fā)送50個數(shù)據(jù)包的平均返回時間、最快時間及最慢時間，就可以通過以下獲知：

C:＼>ping-n508

Pinging8with32bytesofdata:

Replyfrom8:bytes=32time=50msTTL=241目前二十二頁\總數(shù)七十八頁\編于二十二點Replyfrom8:bytes=32time=50msTTL=241

Replyfrom8:bytes=32time=50msTTL=241

Requesttimedout.

…

Replyfrom8:bytes=32time=50msTTL=241

Replyfrom8:bytes=32time=50msTTL=241

Pingstatisticsfor8:

Packets:Sent=50,Received=48,Lost=2(4%loss),Approximateroundtriptimesinmilli-seconds:

Minimum=40ms,Maximum=51ms,Average=46ms目前二十三頁\總數(shù)七十八頁\編于二十二點由此可知，在給8發(fā)送50個數(shù)據(jù)包的過程當中，返回了48個，其中有兩個由于未知原因丟失，這48個數(shù)據(jù)包當中返回時間最快為40ms，最慢為51ms，平均返回時間為46ms。目前二十四頁\總數(shù)七十八頁\編于二十二點3.獲取路由信息

一般情況下發(fā)送的數(shù)據(jù)包是通過多個路由器才到達對方的，但到底是經(jīng)過了哪些路由器呢？通過參數(shù)R就可以設(shè)定用戶想探測經(jīng)過的路由器的個數(shù)，不過只能跟蹤到9個路

由器。

C:＼>ping-n1-R901

Pinging01with32bytesofdata:

Replyfrom01:bytes=32time=10msTTL=249

目前二十五頁\總數(shù)七十八頁\編于二十二點Route:87->

14->

0->

9->

49->

7->

01->

50->

0

目前二十六頁\總數(shù)七十八頁\編于二十二點Pingstatisticsfor01:

Packets:Sent=1,Received=1,Lost=0(0%loss),

Approximateroundtriptimesinmilli-seconds:

Minimum=10ms,Maximum=10ms,Average=10ms

由此可知，從用戶的計算機到01一共通過了87、14、0、9、49和7這幾個路由器。目前二十七頁\總數(shù)七十八頁\編于二十二點3.2nslookup

3.2.1語法與參數(shù)語法：nslookup[-SubCommand...][{ComputerToFind|[-Server]}]nslookup有兩種模式：1.非交互式如果僅需要查找一塊數(shù)據(jù)，則使用非交互式模式。對于第一個參數(shù)，鍵入要查找的計算機的名稱或IP地址。對于第二個參數(shù)，鍵入DNS名稱服務(wù)器的名稱或IP地址。如果省略第二個參數(shù)，則nslookup使用默認DNS名稱服務(wù)器。目前二十八頁\總數(shù)七十八頁\編于二十二點2.交互式

如果需要查找多塊數(shù)據(jù)，則可以使用交互式模式。對于第一個參數(shù)，鍵入連字符(-)。對于第二個參數(shù)，鍵入DNS名稱服務(wù)器的名稱或IP地址。如果省略兩個參數(shù)，則nslookup使用默認DNS名稱服務(wù)器。要隨時中斷交互式命令，按Ctrl?+?C。要退出，鍵入Exit。目前二十九頁\總數(shù)七十八頁\編于二十二點參數(shù)：

-SubCommand...：將一個或多個nslookup子命令指定為命令行選項。

ComputerToFind：如果未指定其他服務(wù)器，就使用當前默認DNS名稱服務(wù)器查閱ComputerToFind的信息。要查找不在當前DNS域的計算機，請在名稱上附加句點。

如果ComputerToFind是IP地址，并且查詢類型為A或PTR資源記錄類型，則返回計算機的名稱。如果ComputerToFind是一個名稱，并且沒有跟蹤期，則向該名稱添加默認DNS域名。此行為取決于下面set子命令的狀態(tài)：domain、srchlist、defname和search。目前三十頁\總數(shù)七十八頁\編于二十二點如果鍵入連字符“-”代替ComputerToFind，則命令提示符更改為nslookup交互式模式。

-Server：指定將該服務(wù)器作為DNS名稱服務(wù)器使用。如果省略了-Server，則將使用默認的DNS名稱服務(wù)器。

{help|?}：顯示nslookup子命令的簡短總結(jié)。

目前三十一頁\總數(shù)七十八頁\編于二十二點如果nslookup命令執(zhí)行成功，即可顯示出目標服務(wù)器的主機名和對應(yīng)的IP地址，稱之為正向解析。若失敗了，可能是執(zhí)行nslookup命令的計算機的DNS設(shè)置錯了，也有可能是所查詢的DNS服務(wù)器停止或工作異常。還有一種情況，雖然返回了應(yīng)答，但每當和該服務(wù)器通信就會失敗。這多數(shù)是目標服務(wù)器停止工作，但也有可能DNS服務(wù)器保存了錯誤的信息。在DNS服務(wù)器出現(xiàn)問題時，有時可能只能進行正向解析，無法進行逆向解析。此時，只需執(zhí)行nslookup命令，看是否輸出目標主機名即可。目前三十二頁\總數(shù)七十八頁\編于二十二點下面列出可能的錯誤消息：

1)?Timedout

重試一定時間和一定次數(shù)之后，服務(wù)器沒有響應(yīng)請求。可以通過settimeout子命令設(shè)置超時期，而利用setretry子命令設(shè)置重試次數(shù)。

2)?Noresponsefromserver

服務(wù)器上沒有運行DNS名稱服務(wù)器。

3)?Norecords

盡管計算機名有效，但是DNS名稱服務(wù)器沒有當前查詢類型的資源記錄。查詢類型使用setquerytype命令指定。目前三十三頁\總數(shù)七十八頁\編于二十二點4)?Nonexistentdomain

計算機或DNS域名不存在。

5)?Connectionrefused或Networkisunreachable

無法與DNS名稱服務(wù)器或指針服務(wù)器建立連接。該錯誤通常發(fā)生在ls和finger請求中。

目前三十四頁\總數(shù)七十八頁\編于二十二點6)?ServerfailureDNS

名稱服務(wù)器發(fā)現(xiàn)在其數(shù)據(jù)庫中內(nèi)部不一致而無法返回有效應(yīng)答。

7)?RefusedDNS

名稱服務(wù)器拒絕為請求服務(wù)。

8)?FormaterrorDNS

名稱服務(wù)器發(fā)現(xiàn)請求數(shù)據(jù)包的格式不正確。該錯誤可能表明nslookup中存在錯誤。目前三十五頁\總數(shù)七十八頁\編于二十二點

1.查找不同的數(shù)據(jù)類型

目前三十六頁\總數(shù)七十八頁\編于二十二點Address:

MXpreference=0,mailexchanger=

internetaddress=

>目前三十七頁\總數(shù)七十八頁\編于二十二點第一次查詢是查找遠程名稱，答案是權(quán)威的，但隨后的查詢是非權(quán)威的。第一次查詢遠程主機時，本地DNS服務(wù)器與作為該域權(quán)威的DNS服務(wù)器取得聯(lián)系。然后，本地DNS服務(wù)器緩存該信息，以便從本地服務(wù)器緩存中非權(quán)威地回答隨后的查詢。目前三十八頁\總數(shù)七十八頁\編于二十二點2.直接從另一個名稱服務(wù)器中進行查詢

要直接查詢另一個名稱服務(wù)器，使用server或lserver命令切換到該名稱服務(wù)器。lserver命令使用本地服務(wù)器得到要切換的服務(wù)器地址，而server命令使用當前默認服務(wù)器得到該地址。例如：

C:\>nslookup

DefaultServer:

Address:

>server

DefaultServer:

Address:

>目前三十九頁\總數(shù)七十八頁\編于二十二點3.3ipconfig

3.3.1語法與參數(shù)語法：ipconfig[/all][/renew[Adapter]][/release[Adapter]][/flushdns][/displaydns][/registerdns][/showclassidAdapter][/setclassidAdapter[ClassID]]參數(shù)：目前四十頁\總數(shù)七十八頁\編于二十二點/all：顯示所有適配器的完整TCP/IP配置信息。在沒有該參數(shù)的情況下，ipconfig只顯示各個適配器的IPv6地址(或IPv4地址)、子網(wǎng)掩碼和默認網(wǎng)關(guān)值。適配器可以代表物理接口或邏輯接口(例如撥號連接)。

/renew[Adapter]：更新所有適配器(如果未指定適配器)或特定適配器(如果包含了Adapter參數(shù))的DHCP配置。該參數(shù)僅在具有配置為自動獲取IP地址的適配器的計算機上可用。要指定適配器名稱，請鍵入使用不帶參數(shù)的ipconfig命令顯示的適配器名稱。

目前四十一頁\總數(shù)七十八頁\編于二十二點/release[Adapter]：發(fā)送DHCPRELEASE消息到DHCP服務(wù)器，以釋放所有適配器(如果未指定適配器)或特定適配器(如果包含了Adapter參數(shù))的當前DHCP配置并丟棄IP地址配置。該參數(shù)可以禁用配置為自動獲取IP地址的適配器的TCP/IP。要指定適配器名稱，請鍵入使用不帶參數(shù)的ipconfig命令顯示的適配器名稱。

/flushdns：刷新并重設(shè)DNS客戶解析緩存的內(nèi)容。在DNS故障排除期間，可以使用本過程從緩存中丟棄否定緩存項和任何其他動態(tài)添加項。目前四十二頁\總數(shù)七十八頁\編于二十二點/displaydns：顯示DNS客戶解析緩存的內(nèi)容，包括從LocalHosts文件預(yù)裝載的記錄，以及最近獲得的針對由計算機解析的名稱查詢的資源記錄。DNS客戶服務(wù)在查詢配置的DNS服務(wù)器之前使用這些信息快速解析被頻繁查詢的名稱。

/registerdns：初始化計算機上配置的DNS名稱和IP地址的手工動態(tài)注冊。可以使用該參數(shù)對失敗的DNS名稱注冊進行故障排除，或解決客戶和DNS服務(wù)器之間的動態(tài)更新問題，而不必重新啟動客戶端計算機。TCP/IP協(xié)議高級屬性中的DNS設(shè)置可以確定DNS中注冊了哪些名稱。目前四十三頁\總數(shù)七十八頁\編于二十二點/showclassidAdapter：顯示指定適配器的DHCP類別ID。要查看所有適配器的DHCP類別ID，請在Adapter位置使用星號“*”通配符。該參數(shù)僅在具有配置為自動獲取IP地址的適配器的計算機上可用。

/setclassidAdapter：[ClassID]配置特定適配器的DHCP類別ID。要設(shè)置所有適配器的DHCP類別ID，請在Adapter位置使用星號“*”通配符。該參數(shù)僅在具有配置為自動獲取IP地址的適配器的計算機上可用。如果未指定DHCP類別ID，則會刪除當前類別ID。

/?：在命令提示符下顯示幫助。目前四十四頁\總數(shù)七十八頁\編于二十二點3.3.2命令舉例

(1)要顯示所有適配器的基本TCP/IP配置，請鍵入：

ipconfig

(2)要顯示所有適配器的完整TCP/IP配置，請鍵入：

ipconfig/all

下面是ipconfig/all命令輸出，該計算機配置成使用DHCP服務(wù)器動態(tài)配置TCP/IP，并使用WINS和DNS服務(wù)器解析名稱。目前四十五頁\總數(shù)七十八頁\編于二十二點Windows2000IPConfiguration

NodeType........... :Hybrid

IPRoutingEnabled........? :No

WINSProxyEnabled...... :No

EthernetadapterLocalAreaConnection:

HostName.............. :

DNSServers.............:00

Description............. :3Com3C90xEthernetAdapter

PhysicalAddress......... :00-60-08-3E-46-07

DHCPEnabled........... :Yes

AutoconfigurationEnabled... :Yes目前四十六頁\總數(shù)七十八頁\編于二十二點IPAddress................:12

SubnetMask..............:

DefaultGateway...........:

DHCPServer............ :0

PrimaryWINSServer......:01

SecondaryWINSServer... :02

LeaseObtained...........:Wednesday,September02,199810:32:13AM

LeaseExpires.............:Friday,September18,199810:32:13AM目前四十七頁\總數(shù)七十八頁\編于二十二點(3)僅更新“本地連接”適配器由DHCP分配IP地址的配置，請鍵入：

ipconfig/renew“LocalAreaConnection”

(4)要在排除DNS的名稱解析故障期間刷新DNS解析器緩存，請鍵入：

ipconfig/flushdns

(5)要顯示名稱以Local開頭的所有適配器的DHCP類別ID，請鍵入：

ipconfig/showclassidLocal*

目前四十八頁\總數(shù)七十八頁\編于二十二點(6)要將“本地連接”適配器的DHCP類別ID設(shè)置為TEST，請鍵入：

ipconfig/setclassid“LocalAreaConnection”TEST

(7)要備份網(wǎng)絡(luò)設(shè)置，請鍵入：

ipconfig/batchbak-netcfg(將有關(guān)網(wǎng)絡(luò)配置的信息備份到文件bak-netcfg中)

(8)要為網(wǎng)卡動態(tài)分配新地址，請鍵入：

ipconfig/release1(去除網(wǎng)卡1的動態(tài)IP地址)

ipconfig/renew1(為網(wǎng)卡1重新動態(tài)分配IP地址)目前四十九頁\總數(shù)七十八頁\編于二十二點3.4netstat

3.4.1語法與參數(shù)語法：

netstat[-a][-b][-e][-n][-o][-pproto][-r][-s][-v][interval]參數(shù)：-a：顯示所有連接和監(jiān)聽端口。目前五十頁\總數(shù)七十八頁\編于二十二點-b：顯示包含于創(chuàng)建每個連接或監(jiān)聽端口的可執(zhí)行組件。在某些情況下已知可執(zhí)行組件擁有多個獨立組件，并且在這些情況下包含于創(chuàng)建連接或監(jiān)聽端口的組件序列被顯示。這種情況下，可執(zhí)行組件名在底部的[]中，頂部是其調(diào)用的組件等，直到TCP/IP部分。注意此選項可能需要很長時間，如果沒有足夠權(quán)限，則可能失敗。-e：顯示以太網(wǎng)統(tǒng)計信息。此選項可以與-s選項組合使用。-n：以數(shù)字形式顯示地址和端口號。-o：顯示與每個連接相關(guān)的所屬進程ID。目前五十一頁\總數(shù)七十八頁\編于二十二點-pproto：顯示proto指定的協(xié)議的連接；proto可以是下列協(xié)議之一：TCP、UDP、TCPv6或UDPv6。如果與-s選項一起使用以顯示按協(xié)議統(tǒng)計信息，proto可以是下列協(xié)議之一：IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP或UDPv6。

-r：顯示路由表。

-s：顯示按協(xié)議統(tǒng)計信息。默認顯示IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP和UDPv6的統(tǒng)計信息。

-p：選項用于指定默認情況的子集。

-v：與-b選項一起使用時將顯示包含于為所有可執(zhí)行組件創(chuàng)建連接或監(jiān)聽端口的組件。

目前五十二頁\總數(shù)七十八頁\編于二十二點3.4.2命令舉例

下面用一個實例簡單解釋一下netstat的使用：

C:\>netstat-a

ActiveConnections

ProtoLocalAddressForeignAddressState

TCPEagle:ftpEagle:0LISTENING

TCPEagle:telnetEagle:0LISTENING

TCPEagle:smtpEagle:0LISTENING

TCPEagle:httpEagle:0LISTENING

TCPEagle:epmapEagle:0LISTENING

目前五十三頁\總數(shù)七十八頁\編于二十二點TCPEagle:httpsEagle:0LISTENING

TCPEagle:microsoft-dsEagle:0LISTENING

TCPEagle:1030Eagle:0LISTENING

TCPEagle:microsoft-dslocalhost:1031ESTABLISHED

TCPEagle:netbios-ssnEagle:0LISTENING

TCPEagle:12135:9002CLOSE_WAIT

TCPEagle:244342:httpsCLOSE_WAIT

目前五十四頁\總數(shù)七十八頁\編于二十二點TCPEagle:291601:telnetESTABLISHED

TCPEagle:29280:4899TIME_WAIT

TCPEagle:34555:9002ESTABLISHED

TCPEagle:netbios-ssnEagle:0LISTENING

UDPEagle:microsoft-ds*:*

UDPEagle:1046*:*

UDPEagle:1050*:*目前五十五頁\總數(shù)七十八頁\編于二十二點協(xié)議(Proto)：TCP，是指傳輸層通訊協(xié)議。

本地機器名(LocalAddress)：Eagle，俗稱計算機名，安裝系統(tǒng)時設(shè)置的，可以在“我的計算機”屬性中修改。

遠程機器名(ForeignAddress)：指與本機通信的計算機。

State指TCP連接狀態(tài)，包括以下內(nèi)容：

LISTEN：在監(jiān)聽狀態(tài)中。

ESTABLISHED：已建立連接。

TIME_WAIT：該連接在目前已經(jīng)是等待的狀態(tài)。目前五十六頁\總數(shù)七十八頁\編于二十二點3.5nbtstat

3.5.1語法與參數(shù)

語法：

nbtstat[-aRemoteName][-AIPAddress][-c][-n][-r][-R][-RR][-s][-S][Interval]參數(shù)：-aRemoteName：顯示遠程計算機的NetBIOS名稱表。其中，RemoteName是遠程計算機的NetBIOS計算機名稱，NetBIOS名稱表是與運行在該計算機上的應(yīng)用程序相對應(yīng)的NetBIOS名稱列表。目前五十七頁\總數(shù)七十八頁\編于二十二點-AIPAddress：顯示遠程計算機的NetBIOS名稱表，其名稱由遠程計算機的IP地址指定(以小數(shù)點分隔)。

-c：顯示NetBIOS名稱緩存內(nèi)容、NetBIOS名稱表及其解析的各個地址。

-n：顯示本地計算機的NetBIOS名稱表。Registered的狀態(tài)表明該名稱是通過廣播還是WINS服務(wù)器注冊的。

-r：顯示NetBIOS名稱解析統(tǒng)計資料。在配置為使用WINS且運行WindowsXP或WindowsServer2003操作系統(tǒng)的計算機上，該參數(shù)將返回已通過廣播和WINS解析和注冊的名稱號碼。目前五十八頁\總數(shù)七十八頁\編于二十二點-R：清除NetBIOS名稱緩存的內(nèi)容，并從Lmhosts文件中重新加載帶有#PRE標記的

項目。

-RR：釋放并刷新通過WINS服務(wù)器注冊的本地計算機的NetBIOS名稱。

-s：顯示NetBIOS客戶端和服務(wù)器會話，并試圖將目標IP地址轉(zhuǎn)化為名稱。

-S：顯示NetBIOS客戶端和服務(wù)器會話，只通過IP地址列出遠程計算機。目前五十九頁\總數(shù)七十八頁\編于二十二點Interval：重新顯示選擇的統(tǒng)計資料，可以在每個顯示內(nèi)容之間中斷Interval中指定的秒數(shù)。按Ctrl?+?C停止重新顯示統(tǒng)計信息。如果省略該參數(shù)，則netstat將只顯示一次當前的配置信息。

/?：在命令提示符下顯示幫助。

標題描述：

Input：接收的字節(jié)數(shù)。

Output：發(fā)送的字節(jié)數(shù)。

In/Out：該連接是否從計算機傳出或者從其他計算機傳入到本地計算機。

目前六十頁\總數(shù)七十八頁\編于二十二點Lift：名稱表示緩存項在被清除之前所存留的時間。

LocalName：與連接相關(guān)的本地NetBIOS名稱。

RemoteHost：與遠程計算機相關(guān)的名稱或IP地址。

<03>轉(zhuǎn)化為十六進制的NetBIOS名稱的最后一個字節(jié)。每個NetBIOS名稱長度均為16個字符。最后一個字節(jié)通常有特殊的意義，因為相同的名稱(只有最后一個字節(jié)不同)可能在一臺計算機上出現(xiàn)幾次。例如，<20>在ASCII文本中是一個空格。目前六十一頁\總數(shù)七十八頁\編于二十二點Type：名稱類型。名稱可以是唯一名稱，也可以是組名稱。

Status：遠程計算機上是否在運行NetBIOS服務(wù)(已注冊)，或同一計算機名是否已注冊了相同的服務(wù)(沖突)。

StateNetBIOS：連接的狀態(tài)。

State描述的內(nèi)容包括：

Connected：會話已建立。

Associated：連接的終節(jié)點已經(jīng)被創(chuàng)建并與IP地址關(guān)聯(lián)。

Listening：該終節(jié)點對入站連接可用。

Idle：該終節(jié)點已被打開但不能接收連接。目前六十二頁\總數(shù)七十八頁\編于二十二點Connecting：會話處于連接階段。在此階段正在解析所選目標的由名稱到IP地址的

映射。

Accepting：當前正在接受入站會話，并將立即連接。

Reconnecting：會話將試圖重新連接(如果第一次連接嘗試失敗)。

Outbound：會話正處于連接階段，當前正在創(chuàng)建TCP連接。

Inbound：入站會話處于連接階段。

Disconnecting：會話正在斷開連接。

Disconnected：本地計算機已斷開連接，并正等待遠程系統(tǒng)的確認。目前六十三頁\總數(shù)七十八頁\編于二十二點3.5.2命令舉例(1)顯示NetBIOS計算機名為CORP07的遠程計算機的NetBIOS名稱表：nbtstat-aCORP07(2)顯示所分配IP地址為9的遠程計算機的NetBIOS名稱表：nbtstat-A9目前六十四頁\總數(shù)七十八頁\編于二十二點3.6tracert

3.6.1語法與參數(shù)語法：tracert[-d][-hmaximum_hops][-jhost-list][-wtimeout]target_name參數(shù)：-d：指定不將地址解析為計算機名。-hmaximum_hops：指定搜索目標的最大跳數(shù)。-jcomputer-list：指定沿computer-list的稀疏源路由。-wtimeout：每次應(yīng)答等待timeout指定的微秒數(shù)。target_name：目標計算機的名稱。目前六十五頁\總數(shù)七十八頁\編于二十二點3.6.2命令舉例tracert一般用來檢測故障的位置，可以用tracertIP發(fā)現(xiàn)在哪個環(huán)節(jié)上出了問題。雖然尚未確定是什么問題，但它已經(jīng)告訴了我們問題所在的位置。例如：Tracingrouteto[0]overamaximumof30hops:Tracecomplete.目前六十六頁\總數(shù)七十八頁\編于二十二點3.7arp

3.7.1語法與參數(shù)語法：arp-sinet_addreth_addr[if_addr]arp-dinet_addr[if_addr]arp-a[inet_addr][-Nif_addr]參數(shù)：目前六十七頁\總數(shù)七十八頁\編于二十二點-a或?-g：用于查看高速緩存中的所有項目。-a和?-g參數(shù)的結(jié)果是一樣的，多年來?-g一直是UNIX平臺上用來顯示ARP高速緩存中所有項目的選項，而Windows用的是arp-a，但它也可以接受比較傳統(tǒng)的?-g選項。-aIP：如果我們有多個網(wǎng)卡，那么使用arp-a加上接口的IP地址，就可以只顯示與該接口相關(guān)的ARP緩存項目。-sIP物理地址：我們可以向ARP高速緩存中人工輸入一個靜態(tài)項目。該項目在計算機引導(dǎo)過程中將保持有效狀態(tài)，或者在出現(xiàn)錯誤時，人工配置的物理地址將自動更新該項目。-dIP：使用本命令能夠人工刪除一個靜態(tài)項目。目前六十八頁\總數(shù)七十八頁\編于二十二點3.7.2命令舉例很多此起彼伏的瞬間掉線或大面積的斷網(wǎng)是ARP欺騙在作怪。從影響網(wǎng)絡(luò)連接通暢的方式來看，ARP欺騙分為兩種。一種是對路由器ARP表的欺騙；另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。目前六十九頁\總數(shù)七十八頁\編于二十二點第一種ARP欺騙的原理是截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷重復(fù)，使真實的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在PC看來，就是上不了網(wǎng)了。目前七十頁\總數(shù)七十八頁\編于二十二點一般來說，ARP欺騙攻擊的后果非常嚴重，大多數(shù)情況下會造成大面積掉線。有些網(wǎng)絡(luò)管理員對此不甚了解，出現(xiàn)故障時，認為PC沒有問題，交換機沒掉線，電信也不承認寬帶故障。而且如果第一種ARP欺騙發(fā)生時，只要重啟路由器，網(wǎng)絡(luò)就能全面恢復(fù)，那問題一定是在路由器了。為此，路由器背了不少黑鍋。如下操作可以防范ARP欺騙：①在寬帶路由器中把所有PC的IP-MAC輸入到一個靜態(tài)表中，這叫路由器IP-MAC綁定。②在內(nèi)網(wǎng)所有PC上設(shè)置網(wǎng)關(guān)的靜態(tài)ARP信息，這叫PC機IP-MAC綁定。兩項工作都做則稱其為IP-MAC雙向綁定。對每臺主機進行IP和MAC地址靜態(tài)綁定如下：

arp–sAA-AA-AA-AA-AA-AA目前七十一頁\總數(shù)七十八頁\編于二十二點3.8pathping

pathping提供有關(guān)在源和目標之間的中間躍點處網(wǎng)絡(luò)滯后和網(wǎng)絡(luò)丟失的信息。pathping在一段時間內(nèi)將多個回響請求消息發(fā)送到源和目標之間的各個路由器，然后根據(jù)各個路由器返回的數(shù)據(jù)報計算結(jié)果。因為pathping顯示在任何特定路由器或鏈接處的數(shù)據(jù)報的丟失程度，所以用戶可據(jù)此確定存在網(wǎng)絡(luò)問題的路由器或子網(wǎng)。pathping通過識別路徑上的路由器來執(zhí)行與tracert命令相同的功能。然后，該