信息安全-02-利用常见的网络命令获取网络信息

1、概述

掌握常见网络命令使用方法。
学习使用网络命令嗅探网络信息。
学习使用网络命令判断和处理网络问题。

2、利用ipconfig命令获取本地网络信息

ipconfig命令是调试计算机网络的常用命令，通常大家使用它显示计算机中网络适配器的IP地址、子网掩码及默认网关。

ipconfig/all命令显示所有网络适配器（网卡、拨号连接等）的完整TCP/IP配置信息。与ipconfig相比，它的信息更全更多，如IP是否动态分配、显示网卡的物理地址等。

• ipconfig/release 释放当前IP(适用于由DHCP自动获取IP的情况)
• ipconfig/renew 重新获取IP(适用于由DHCP自动获取IP的情况)
• ipconfig/displaydns 显示当前主机DNS缓存中的内容
• ipconfig/flushdns 清空DNS缓存

3、利用ping命令获取远程网络信息

ping能够以毫秒为单位显示发送请求到返回应答之间的时间量。如果应答时间短，表示数据报不必通过太多的路由器或网络，连接速度比较快。ping还能显示TTL（Time To Live，生存时间）值，通过TTL值可以推算数据包通过了多少个路由器。
此外，通过返回的TTL值还可以获悉对方主机的操作系统类型。

WINDOWS NT        TTL初始值：128

WINDOWS 95/98      TTL初始值：32

UNIX                 TTL初始值：255

LINUX                TTL初始值：64或255

ping -l定义发送数据包的大小，默认为32字节，我们利用它可以最大定义到65500字节。

ping -n 定义向目标IP发送数据包的次数，默认为4次。如果网络速度比较慢，定义1次即可。

这里time=36ms表示从发出数据包到接受到返回数据包所用的时间是36毫秒，从这里可以判断网络连接速度的大小。

通常利用ping命令可以快速查找网络故障(如：ping DNS、网关、本机ip、目标地址等)，也可以快速判断服务器连接速度。如果目标服务器安全防护性能差且出口带宽窄，也可能被攻击者通过ping进行攻击。
下面给出一个典型的检测次序及对应的可能故障：

• ping 127.0.0.1，如果测试成功，表明网卡、TCP/IP协议的安装、IP地址、子网掩码的设置正常。如果测试不成功，就表示TCP/IP的安装或设置存在有问题。
• ping 本机IP地址，如果测试不成功，则表示本地配置或安装存在问题，应当对网络设备和通讯介质进行测试、检查并排除。
• ping局域网内其他IP，如果测试成功，表明本地网络中的网卡和载体运行正确。但如果收到0个回送应答，那么表示子网掩码不正确或网卡配置错误或电缆系统有问题。
• ping 网关IP，这个命令如果应答正确，表示局域网中的网关路由器正在运行并能够做出应答。
• ping 远程IP，如果收到正确应答，表示成功的使用了缺省网关。对于拨号上网用户则表示能够成功的访问Internet（但不排除ISP的DNS会有问题）。
• ping localhost，localhost是系统的网络保留名，它是127.0.0.1的别名，每台计算机都应该能够将该名字转换成该地址。否则，则表示主机文件（/Windows/host）中存在问题。
• ping www.baidu.com（或其他著名网站域名），对此域名执行Ping命令，计算机必须先将域名转换成IP地址，通常是通过DNS服务器。如果这里出现故障，则表示本机DNS服务器的IP地址配置不正确，或它所访问的DNS服务器有故障。

4、其他常用网络命令

1) nslookup 命令
用来查看域名和IP的对应关系。

2) netstat 命令
这是一个用来查看网络状态的命令，可以了解网络当前的状态。

netstat -a 查看本地机器的所有开放端口。

netstat -n：以点分十进制的形式列出IP地址。

netstat -s按照各个协议分别显示其统计数据。

netstat -e 显示以太网卡的统计数据。

netstat -r 显示路由表。

3) tracert 命令
跟踪路由信息，使用此命令可以查出数据从本地机器传输到目标主机所经过的所有途径，这对我们了解网络布局和结构很有帮助，如果网络出现故障，就可以通过这条命令查看出现问题的位置。
输出有5列：第一列是描述路径的第n跳的数值，即沿着该路径的路由器序号；第二列是第一次往返时延；第三列是第二次往返时延；第四列是第三次往返时延；第五列是路由器的名字及其输入端口的IP地址。如果源从任何给定的路由器接收到的报文少于3条（由于网络中的分组丢失），traceroute在该路由器号码后面放一个星号，并报告到达那台路由器的少于3次的往返时间。

这里说明数据从本地机器传输到10.28.133.1的机器上，中间经过了10.28.132.1作为中转，说明这两台机器是不在同一段局域网内。

4) arp 命令

使用arp命令，能够查看本地计算机或另一台计算机的ARP高速缓存中的当前内容。此外，使用arp命令可以人工方式设置静态的网卡物理地址/IP地址对，使用这种方式可以为缺省网关和本地服务器等常用主机进行本地静态配置，这有助于减少网络上的信息量。

arp –a：用于查看高速缓存中的所有项目。

arp –d：删除所有动态arp表项。

arp –d IP：删除一个静态项目。

arp –s IP MAC：向ARP高速缓存中人工输入一个静态项目。该项目在计算机引导过程中将保持有效状态，或者在出现错误时，人工配置的物理地址将自动更新该项目。

5) nbtstat 命令

nbtstat -a RemoteName，使用这个参数，只要你知道了远程主机的机器名称，就可以得到它的NETBIOS信息。

nbtstat -A IP address这个参数也可以得到远程主机的NETBIOS信息，但需要你知道它的IP。

nbtstat -n 列出本地机器的NETBIOS信息。

nbtstat -c 列出远程[计算机]名称及其 IP 地址的 NBT 缓存

6) net 命令

net view 使用此命令查看远程主机的所有共享资源。命令格式：net view <IP>。

net use 使用此命令建立远程目标到本地计算机的影射。

net start/stop 使用此命令来启动或停止主机上的服务。命令格式：net start <servername>或net stop <servername>。

net user 使用此命令查看和账户有关的情况，包括新建账户、删除账户、查看特定账户、激活账户、账户禁用等。键入不带参数的net user，可以查看所有用户，包括已经禁用的。

net localgroup 使用此命令查看所有和用户组有关的信息和进行相关操作。

net time 使用此命令查看远程主机当前的时间，可以和Windows的计划任务命令配合启动程序任务。命令格式：net time <IP>。