ping和etstat和ARP命令使用详解.doc

etstat和ARP命令使用详解     XP下Netstat和ARP其实是个非常有用的工具，看到经常有的朋友忙于找一些复杂的网络软件，其实小小的Netstat有时候能解决非常多的问题。netstat命令是一个监控TCP/IP网络的非常有用的工具，它可以显示路由表、实际的网络连接以及每一个网络接口设备的状态信息。     IP数据包常通过以太网发送。以太网设备并不识别32位IP地址：它们是以48位以太网地址传输以太网数据包的。因此，IP驱动器必须把IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射，常常需要查看一张表。地址解析协议(Address Resolution Protocol，ARP)就是用来确定这些映象的协议。     ARP工作时，送出一个含有所希望的IP地址的以太网广播数据包。目的地主机，或另一个代表该主机的系统，以一个含有IP和以太网地址对的数据包作为应答。发送者将这个地址对高速缓存起来，以节约不必要的ARP通信如果有一个不被信任的节点对本地网络具有写访问许可权，那么也会有某种风险。这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己，然后它就可以扮演某些机器，或者顺便对数据流进行简单的修改。ARP机制常常是自动起作用的。在特别安全的网络上， ARP映射可以用固件，并且具有自动抑制协议达到防止干扰的目的。 现在将Netstat和ARP的基本用法整理一下，希望对没用过的朋友有点帮助。 stat – a 显示一个所有的有效连接信息列表，包括已建立的连接（ESTABLISHED），也包括监听连接请求（LISTENING）的那些socket。 Proto：表示所采用的运输层协议，在本例中有TCP和UDP协议； Local Address：表示本地址，如：“apolo:1025”,指的意思是本机名是“apolo”,本连接的端口号是“1025”； Foreign Address：表示另一端端系统的地址和端口号； State：表示连接状态。常有，LISTENING(监听),ESTABLISHED(已建立),TIME_WAIT(等待)。 stat -n 以点分四段式的形式输出IP地址，而不是象征性的主机名和网络名。   stat –r 显示关于路由表的信息，格式同“route -e”。除了显示有效路由外，还显示当前有效的连接。 一个路由表，其中Network Destination：表示的是目的网络。0.0.0.0表示不明网络，这是设置默认网关后系统自动产生的；127.0.0.0表示本机网络地址，用于测试。224.0.0.0表示组播地址。255.255.255.255表示限制广播地址。 Netmask：表示的是网络掩码。 Gateway：表示的是网关。本机的默认网关是218.18.33.1。 Interface：表示的是接口地址。 Metric：表示的是路由跳数。 stat –s 按照各个协议分别显示其统计数据。 分别显示了IP，TCP的数据统计情况。具体数据所表示的含义一目了然，在这里不再赘述。 stat –e 用于显示关于以太网的统计数据。它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。这些统计数据既有发送的数据报数量，也有接收的数据报数量。这个选项可以用来统计一些基本的网络流量 Unicast packets：表示广播分组。 Non-unicast packets：非广播分组。 stat –v 显示正在进行的工作。   ARP（地址转换协议）的使用 ARP是一个重要的TCP/IP协议，并且用于确定对应IP地址的网卡物理地址。使用arp命令，我们能够查看本地计算机或另一台计算机的ARP高速缓存中的当前内容。此外，使用arp命令，也可以用人工方式输入静态的网卡物理/IP地址对，使用这种方式为缺省网关和本地服务器等常用主机进行这项操作，有助于减少网络上的信息量。 1.arp -a或arp -g 用于查看高速缓存中的所有项目。-a和-g参数的结果是一样的，多年来-g一直是UNIX平台上用来显示ARP高速缓存中所有项目的选项，而Windows用的是arp -a（-a可被视为all，即全部的意思），但它也可以接受比较传统的-g选项。 2.arp -a [IP] 如果我们有多个网卡，那么使用arp -a加上接口的IP地址，就可以只显示与该接口相关的ARP缓存项目。 3.arp -s [IP] [物理地址] 可以向ARP高速缓存中人工输入一个静态项目。该项目在计算机引导过程中将保持有效状态，或者在出现错误时，人工配置的物理地址将自动更新该项目。   4.arp -d [IP] 使用本命令能够人工删除一个静态项目。 　Ping命令可以测试计算机名和计算机的IP地址，严正与对方计算机的连接，通过向对方主机发送“网际消息控制协议 (ICMP)”回响请求消息来验证与对方 TCP/IP 计算机的 IP 级连接。回响应答消息的接收情况将和往返过程的次数一起显示出来。Ping 是用于检测网络连接性、可到达性和名称解析的疑难问题的主要 TCP/IP 命令。如果不带参数，ping 将显示帮助。 　　语法 　　ping [-t] [-a] [-n Count] [-l Size] [-f] [-i TTL] [-v TOS] [-r Count] [-s Count] [{-j HostList 　 -k HostList}] [-w Timeout] [TargetName] 　　ping不带参数 　　只显示与远程计算机或本地计算机的连接情况，默认发送4个报文。 　　格式：ping 对方地址　　 　　 　　 　　参数 　　-t 　　指定在中断前 ping 可以持续发送回响请求信息到目的地。要中断并显示统计信息，请按 CTRL-BREAK。要中断并退出 ping，请按 CTRL-C。 　　 　　 -a 　　指定对目的地 IP 地址进行反向名称解析。如果解析成功，ping 将显示相应的主机名。 　　 　　 　　-n Count 　　指定发送回响请求消息的次数。默认值为 4。 　　 　　 　　 　　-lSize 　　指定发送的回响请求消息中“数据”字段的长度（以字节表示）。默认值为 32字节。size 的最大值是 65,527字节。 　　 　　 　　 　　-f 　　指定发送的回响请求消息带有“不要拆分”标志（所在的 IP 标题设为 1）。回响请求消息不能由目的地路径上的路由器进行拆分。该参数可用于检测并解决“路径最大传输单位 (PMTU)”的故障。 　　-i TTL 　　指定发送回响请求消息的 IP 标题中的 TTL 字段值。其默认值是是主机的默认 TTL 值。对于 Windows XP 主机，该值一般是 128。TTL 的最大值是 255。　　 -v TOS 　　指定发送回响请求消息的 IP 标题中的“服务类型 (TOS)”字段值。默认值是 0。TOS 被指定为 0 到 255 的十进制数。 　　-r Count 　　指定 IP 标题中的“记录路由”选项用于记录由回响请求消息和相应的回响应答消息使用的路径。路径中的每个跃点都使用“记录路由”选项中的一个值。如果可能，可以指定一个等于或大于来源和目的地之间跃点数的 Count。Count 的最小值必须为 1，最大值为 9。 　　 　　 　　 　　-s Count 　　指定 IP 标题中的“Internet 时间戳”选项用于记录每个跃点的回响请求消息和相应的回响应答消息的到达时间。Count 的最小值必须为 1，最大值为 4。 　　-jPath 　　指定回响请求消息使用带有 HostList 指定的中间目的地集的 IP 标题中的“稀疏资源路由”选项。可以由一个或多个具有松散源路由的路由器分隔连续中间的目的地。主机列表中的地址或名称的最大数为 9，主机列表是一系列由空格分开的 IP 地址（带点的十进制符号）。 　　-k HostList 　　指定回响请求消息使用带有 HostList 指定的中间目的地集的 IP 标题中的“严格来源路由”选项。使用严格来源路由，下一个中间目的地必须是直接可达的（必须是路由器接口上的邻居）。主机列表中的地址或名称的最大数为 9，主机列表是一系列由空格分开的 IP 地址（带点的十进制符号）。 -w Timeout 　　指定等待回响应答消息响应的时间（以微妙计），该回响应答消息响应接收到的指定回响请求消息。如果在超时时间内未接收到回响应答消息，将会显示“请求超时”的错误消息。默认的超时时间为 4000（4 秒 ）。 　　TargetName 　　指定目的端，它既可以是 IP 地址，也可以是主机名。 　　 /? 　　在命令提示符显示帮助。 　　注释 　　可以使用 ping 测试计算机名和计算机的 IP 地址。如果已成功验证 IP 地址但未成功验证计算机名，这可能是由于名称解析问题所致。在这种情况下，要确保指定的计算机名可以通过本地主机文件进行解析，其方法是通过域名系统 (DNS) 查询或 NetBIOS 名称解析技术进行解析。 　　只有当网际协议 (TCP/IP) 协议在 网络连接中安装为网络适配器属性的组件时，该命令才可用。 　　范例 　　以下范例显示 ping 的输出： 　　C:\>ping 　　Pinging [192.168.239.132] with 32 bytes of data: 　　Reply from 192.168.239.132: bytes=32 time=101ms TTL=124 　　Reply from 192.168.239.132: bytes=32 time=100ms TTL=124 　　Reply from 192.168.239.132: bytes=32 time=120ms TTL=124 　　Reply from 192.168.239.132: bytes=32 time=120ms TTL=124 　　要验证目的地 10.0.99.221 并解析 10.0.99.221 的主机名，请键入： 　　ping -a 10.0.99.221 　　要验证带有 10 个回响请求消息的 10.0.99.221，且每个消息的“数据”字段值为 1000 字节，请键入： 　　ping -n 10 -l 1000 10.0.99.221 　　要验证目的地 10.0.99.221 并记录 4 个跃点的路由，请键入： 　　ping -r 4 10.0.99.221 　　要验证目的地 10.0.99.221 并指定稀疏来源路由为 10.12.0.1-10.29.3.1-10.1.44.1，请键入： 　　ping -j 10.12.0.1 10.29.3.1 10.1.44.1 10.0.99.221 　　如果用以下命令可以会引起对方计算机死机或重新启动 　　命令格式： 　　ping –l 60000 –t ip 　　这个命令的原理就是向对方不停的发送大量同样的数据包，对方计算机会处理不过来，造成拒绝服务，但需要大量的计算机对目标机同时发送才可以。 　　常见问题：如果ping对方计算机时，出现Requst timed out可以判断为目标机有防火墙，禁止接受icmp数据包；或者目标机关机或网络不通畅。 Ipconfig/all Ipconfig/renew Ipconfig/release