计算机网络应用基础,实验三 常用网络指令,实验4：常用网络指令,1实验目的2实验任务与要求3实验工具和方法4实验步骤5. 实验思考题,1、实验目的,理解常用网络指令学习使用网络指令解决遇到的问题在学习过程中，使用网络体系结构对网络指令进行归纳,2实验任务与要求,Windows 网络指令的回顾和深入应用层：nslookup传输层：netstat 网络层：ipconfig, ping, tracert,pathping链路层：arp平台相关：net user,3实验工具和方法,建议在Windows XP的DOS状态下进行网络指令的实验注意不同Windows版本会给实验结果带来影响（例如：Windows 2000）,4实验步骤,自顶向下，实验下列指令应用层：nslookup传输层：netstat 网络层：ipconfig, ping, tracert, pathping链路层：arp平台相关：net user,nslookup的主要用途,检查DNS服务是否正常查询某个域名的相关IP地址查询某个网站的部署情况,netstat 主要用途,检查本地主机的端口占用情况Netstat an (Windows 2000/XP)检查占用本地主机的端口的进程（程序）Netstat abn (Windows XP)检查是否有病毒发送UDP包检查是否有本地主机有木马活动（检查处于listening、established状态的进程 ）确认本地主机上必要的服务器进程,Netstat abn 看进程,检查是否有本地主机有木马活动,我的机器有病毒在发包？,ipconfig的主要用途,检查当前主机IP地址配置Ipconfig （Windows 2000/xp）Winconfig (Windows 98)检查本地主机的MAC地址ipconfig /allDHCP网络链接故障处理ipconfig /renew,Ping的主要用途,Ping 有助于验证 IP 级的连通性可以使用 Ping 向目标主机名或 IP 地址发送 ICMP 报文请求回应使用 Ping 的步骤 Ping 环回地址验证是否在本地计算机上安装 TCP/IP 以及配置是否正确ping 127.0.0.1,使用 Ping 的步骤,Ping 本地计算机的 IP 地址验证是否正确地添加到网络 ping IP_address_of_local_host Ping 默认网关的 IP 地址验证默认网关是否运行 ping IP_address_of_default_gateway Ping 远程主机的 IP 地址验证能否通过路由器通讯 ping IP_address_of_remote_host,Ping 指令应用注意事项,由于ICMP具有“双刃剑”的作用：可以作为网络问题的诊断工具有可能为“黑客”用作攻击手段所以一旦指令测试失败，不能就此确定目标运行不正常，可能对方关闭ICMP服务可以采用其他网络应用程序（telnet, ftp, IE）进行访问和测试,使用 tracert 跟踪网络连接,通过向目标发送不同 IP 生存时间 (TTL) 值的“因特网控制消息协议 (ICMP)”数据包，Tracert 诊断程序确定到目标所采取的路由要求路径上的每个路由器在转发数据包之前至少将数据包上的 TTL 递减 1数据包上的 TTL 减为 0 时，路由器应该将“ICMP 已超时”的消息发回源系统,Tracert应用举例,数据包必须通过两个路由器（10.0.0.1 和 192.168.0.1）才能到达主机172.16.0.99主机的默认网关是 10.0.0.1，192.168.0 网络上的路由器的 IP 地址是 192.168.0.1 C:tracert 172.16.0.99 -d Tracing route to 172.16.0.99 over a maximum of 30 hops 1 2s 3s 2s 10,0.0,1 2 75 ms 83 ms 88 ms 192.168.0.1 3 73 ms 79 ms 93 ms 172.16.0.99 Trace complete.,使用 pathping 测试路由器,pathping 命令将 ping 和 tracert 命令的功能和这两个工具所不提供的其他信息结合起来pathping 命令在一段时间内将数据包发送到到达最终目标的路径上的每个路由器，然后基于数据包的计算机结果从每个步跳返回由于命令显示数据包在任何给定路由器或链接上丢失的程度，因此可以很容易地确定可能导致网络问题的路由器或链接,典型的 pathping 报告,D:pathping -n 7.54.1.196 Tracing route to 7.54.1.196 over a maximum of 30 hops: 0 172.16.87.35 1 172.16.87.218 2 192.68.52.1 3 192.68.80.1 4 7.54.247.14 5 7.54.1.196,Computing statistics for 125 seconds. Source to Here This Node/Link Hop RTT Lost/Sent = Pct Lost/Sent = Pct Address 0 172.16.87.35 0/ 100 = 0 | 1 41ms 0/ 100 = 0 0/ 100 = 0 172.16.87.218 13/ 100 = 13 | 2 22ms 16/ 100 = 16 3/ 100 = 3 192.68.52.1 0/ 100 = 0 | 3 24ms 13/ 100 = 13 0/ 100 = 0 192.68.80.1 0/ 100 = 0 | 4 21ms 14/ 100 = 14 1/ 100 = 1 10.54.247.14 0/ 100 = 0 | 5 24ms 13/ 100 = 13 0/ 100 = 0 10.54.1.196 Trace complete.,172.16.87.218和 192.68.52.1之间丢失 13 个数据包所有其他链接工作正常,Arp指令的主要用途,进行IP地址和MAC地址的翻译可以对关键地址对进行静态绑定（如默认网关的地址），防范arp攻击可以用来侦查局域网内主机当前IP和MAC地址的对应关系，发现IP地址“盗用”,网断了？,ARP病毒作祟的可能性大根据我们的理解推断：可能是ARP病毒是发了一个假冒的“默认网关”的ARP帧，使得路由器的物理地址“出错”所以，在dos命令提示符下：arp d （清理本地主机上arp表）然后再使用应用程序测试但是，由于动态获得的arp表容易破坏，对关键地址建议采用“静态绑定”使用arp s IP_Addr Mac_Addr进行绑定,Net user指令的用途,检查本地主机的用户Windows主机的用户分普通用户和服务用户，前者供主机登录使用，后者供服务程序使用检查用户的详细情况和权限删除存在问题的账户,我的机器上有木马？,Net user 查户口,aaa 是我机器上的合法用户？,ASPNET是谁的？,忠告,如果发现可疑用户（不是管理员设立，也不是服务账户，未知来源的账户）具有administrator权限可以使用系统功能进行删除如：net user aaa /delete,实验思考题,Windows的DOS状态下的网络指令与那些网络系统结构中的层次有关系？除了使用指令方式，那些windows图形界面的命令也可以完成某些指令同样的功能？,