计算机网络管理(雷震甲)(第三版)6-9章 (3)

第八章网络管理工具8.1Wnidows管理命令8.2网络监视工具8.3网络管理平台8.1网络诊断和配置命令8.1.1 ipconfig　　ipconfig命令相当于Windows9x中的图形化命令Winipcfg，是最常用的Windows实用程序，可以显示所有网卡的TCP/IP配置参数，可以刷新动态主机配置(DHCP)和域名系统(DNS)的设置。ipconfig的语法如下：　　ipconfig[/all][/renew[Adapter]][/release[Adapter]][/flushdns][/displaydns][/registerdns][/showclassidAdapter][/setclassidAdapter[ClassID]]　　对常用的命令参数解释如下。　　● /?：显示帮助信息，对本章中其他命令有同样作用。　　● /all：显示所有网卡的TCP/IP配置信息。如果没有该参数，则只显示各个网卡的IP地址、子网掩码和默认网关地址。　　● /renew[Adapter]：更新网卡的DHCP配置，如果使用标识符Adapter说明了网卡的名字，则只更新指定网卡的配置，否则就更新所有网卡的配置。这个参数只能用于动态配置IP的计算机。使用不带参数的ipconfig命令，可以列出所有网卡的名字。　　● /release[Adapter]：向DHCP服务器发送DHCPRelease请求，释放网卡的DHCP配置参数和当前使用的IP地址。　　● /flushdns：刷新客户端DNS缓存的内容。在DNS排错期间，可以使用这个命令丢弃负缓存项，以及其他动态添加的缓存项。　　● /displaydns：显示客户端DNS缓存的内容，该缓存中包含从本地主机文件中添加的预装载项，以及最近通过名字解析查询得到的资源记录。DNS客户端服务使用这些信息快速处理经常出现的名字查询。 /registerdns：刷新所有DHCP租约，重新注册DNS名字。在不重启计算机的情况下，可以利用这个参数来排除DNS名字注册中的故障，解决客户机和DNS服务器之间的手工动态更新问。可以利用“高级TCP/IP设置”来注册本地连接的DNS后缀，如图8-1所示。图8-1“高级TCP/IP设置”对话框 /showclassidAdapter：显示网卡的DHCP类别ID。利用通配符“*”代替标识符Adapter，可以显示所有网卡的DHCP类别ID。这个参数仅适用于自动配置IP地址的计算机。可以根据某种把DHCP客户机划分成不同的类别，以便于管理。例如，把移动客户划分到租约期较短的类，固定客户划分到租约期较长的类。 /setclassidAdapter[ClassID]：对指定的网卡设置DHCP类别ID。如果未指定DHCP类别ID，则会删除当前的类别ID。如果Adapter名称包含空格，则要在名称两边使用引号。网卡名称中可以使用通配符星号“*”，例如，Local*可以代表所有以字符串Local开头的网卡，而*Con*可以表示所有包含字符串Con的网卡。　　举例如下：　　(1)如果要显示所有网卡的基本TCP/IP配置参数，则键入：　　ipconfig　　(2)如果要显示所有网卡的完整TCP/IP配置参数，则键入：　　ipconfig/all　　(3)如果仅更新本地连接的网卡由DHCP分配的IP地址，则键入：　　ipconfig/renew"LocalAreaConnection"　　(4)在排除DNS名称解析故障时，如果要刷新DNS解析器缓存，则键入：　　ipconfig/flushdns　　(5)如果要显示名称以Local开头的所有网卡的DHCP类别ID，则键入：　　ipconfig/showclassidLocal*　　(6)如果要将“本地连接”网卡的DHCP类别ID设置为TEST，则键入：　　ipconfig/setclassid"LocalAreaConnection"TEST图8-2所示为ipconfig/all命令显示的网络配置参数，其中列出了主机名、网卡物理地址、DHCP租约期、DHCP分配的IP地址、子网掩码、默认网关和DNS服务器的IP地址等参数。图8-3所示为ipconfig/showclassid命令显示的“本地连接”的类别标识。图8-2ipconfig命令显示的结果图8-3ipconfig/showclassid命令显示的结果8.1.2 ping　　ping命令通过发送ICMP回声请求报文来检验与另外一个计算机的连接。这是一个用于排除连接故障的测试命令，如果不带参数则显示帮助信息。ping命令的语法如下：　　ping [-t][-a][-n Count][-lSize][-f][-i TTL][-v TOS][-r Count][-s Count][{-j HostList|-kHostList}][-w Timeout][TargetName]　　对以上命令参数解释如下：　　 -t：持续发送回声请求直至输入Ctrl + Break或Ctrl + C被中断，前者显示统计信息，后者不显示统计信息。　　 -a：用IP地址表示目标，进行反向名字解析，如果命令执行成功，则显示对应的主机名。　　 -nCount：说明发送回声请求的次数，默认为4次。　　 -lSize：说明回声请求报文的字节数，默认是32，最大为65 527。　　 -f：在IP头中设置不分段标志，用于测试通路上传输的最大报文长度。　　 -iTTL：说明IP头中TTL字段的值，通常取主机的TTL值，对于WindowsXP主机，这个值是128，最大为255。　　 -vTOS：说明IP头中TOS(TypeofService)字段的值，默认是0。　　 -rCount：在IP头中添加路由记录选项，Count表示源和目标之间的跃点数，其值在1～9之间。　　 -sCount：在IP头中添加时间戳选项，用于记录达到每一跃点的时间，Count的值在1～4之间。　　 -jHostList：在IP头中使用松散源路由选项，HostList指明中间节点(路由器)的地址或名字，最多9个，用空格隔开。　　 -kHostList：在IP头中使用严格源路由选项，HostList指明中间节点(路由器)的地址或名字，最多9个，用空格隔开。　　 -wTimeout：指明等待回声响应的时间(μs)，如果响应超时，则显示出错信息“Requesttimedout”，默认超时间隔为4s。　　 TargetName：用IP地址或主机名表示目标设备。　　使用ping命令必须安装并运行TCP/IP协议。可以使用IP地址或主机名来表示目标设备。如果ping一个IP地址成功，而ping对应的主机名失败，则可以断定名字解析有问题。无论名字解析是通过DNS、NetBIOS或是本地主机文件，都可以用这个方法进行故障诊断，举例如下：　　举例如下：　　(1)如果要测试目标10.0.99.221并进行名字解析，则键入：　　ping-a10.0.99.221　　(2)如果要测试目标10.0.99.221，发送10次请求，每个响应为1000字节，则键入：　　ping-n10-l100010.0.99.221　　(3)如果要测试目标10.0.99.221，并记录4个跃点的路由，则键入：　　ping-r410.0.99.221　　(4)如果要测试目标10.0.99.221，并说明松散源路由，则键入：　　ping-j10.12.0.110.29.3.110.1.44.110.0.99.221图8-4pingwww.163.com.cn命令的结果8.1.3 arp　　arp命令用于显示和修改地址解析协议(ARP)缓存表的内容，缓存表项是IP地址与网卡地址对。计算机上安装的每个网卡各有一个缓存表。如果使用不含参数的arp命令，则显示帮助信息。arp命令的语法如下：　　arp [-a[InetAddr][-N IfaceAddr]][-g[InetAddr][-N IfaceAddr]][-d InetAddr[IfaceAddr]][-s InetAddrEtherAddr[IfaceAddr]]　　对以上命令参数解释如下：　　 -a[InetAddr][-NIfaceAddr]：显示所有接口的ARP缓存表。如果要显示特定IP地址的ARP表项，则使用参数InetAddr；如果要显示指定接口的ARP缓存表，则使用参数-NIfaceAddr。这里，N必须大写，InetAddr和IfaceAddr都是IP地址。　　 -g[InetAddr][-NIfaceAddr]：与参数-a相同。　　 -dInetAddr[IfaceAddr]：删除由InetAddr指示的ARP缓存表项。要删除特定接口的ARP缓存表项，使用参数IfaceAddr指明接口的IP地址。要删除所有ARP缓存表项，使用通配符“*”代替参数InetAddr。　　 -sInetAddrEtherAddr[IfaceAddr]：添加一个静态的ARP表项，把IP地址InetAddr映射到物理地址EtherAddr。参数IfaceAddr指定了接口的IP地址。　　IP地址InetAddr和IfaceAddr用点分十进制表示。物理地址EtherAddr由6个字节组成，每个字节用两个十六进制数表示，字节之间用连字符“-”分开，例如00-AA-00-4F-2A-9C。　　用参数-s添加的ARP表项是静态的，不会由于超时而被删除。如果TCP/IP停止运行，ARP表项都被删除。为了生成一个固定的静态表项，可以在批文件中加入适当的ARP命令，并在机器启动时运行批文件，举例如下：　　(1)要显示ARP缓存表的内容，输入arp-a　　(2)要显示IP地址为10.0.0.99的接口的ARP缓存表，输入arp-a-N10.0.0.99　　(3)要添加一个静态表项，把IP地址10.0.0.80解析为物理地址00-AA-00-4F-2A-9C，则输入arp-s10.0.0.8000-AA-00-4F-2A-9C图8-5使用arp命令添加一个静态表项的例子8.1.4netstat　　netstat命令用于显示TCP连接、计算机正在监听的端口、以太网统计信息、IP路由表、IPv4统计信息(包括IP、ICMP、TCP和UDP等协议)、IPv6统计信息(包括IPv6、ICMPv6、TCPoverIPv6、UDPoverIPv6等协议)等。如果不使用参数，则显示活动的TCP连接。netstat命令的语法如下：　　netstat [-a][-e][-n][-o][-p Protocol][-r][-s][Interval]　　对常用参数解释如下：　　● -a：显示所有活动的TCP连接，以及正在监听的TCP和UDP端口。　　● -e：显示以太网统计信息，例如发送和接收的字节数，以及出错的次数等。这个参数可以与-s参数联合使用。　　● -n：显示活动的TCP连接，地址和端口号以数字形式表示。　　● -o：显示活动的TCP连接以及每个连接对应的进程ID。在Windows任务管理器中可以找到与进程ID对应的应用。这个参数可以与-a、-n和-p联合使用。　　● -pProtocol：用标识符Protocol指定要显示的协议，可以是TCP、UDP、TCPv6或者UDPv6。如果与参数-s联合使用，则可以显示协议TCP、UDP、ICMP、IP、TCPv6、UDPv6、ICMPv6或IPv6的统计数据。　　● -s显示每个协议的统计数据。默认情况下，统计TCP、UDP、ICMP和IP协议发送和接收的数据包、出错的数据包、连接成功或失败的次数等。如果与-p参数联合使用，则可以指定要显示统计数据的协议。　　● -r：显示IP路由表的内容，其作用等价于路由打印命令routeprint。　　● Interval：说明重新显示信息的时间间隔，按Ctrl+C键则停止显示。如果不使用这个参数，则只显示一次。　　netstat显示的统计信息分为4栏或5栏，解释如下。　　(1) Protocol：表示协议的名字(例如TCP或UDP)　　(2) LocalAddress：本地计算机的地址和端口。通常显示本地计算机的名字和端口名字(例如ftp)。如果使用了-n参数，则显示本地计算机的IP地址和端口号；如果端口尚未建立，则用“*”表示。　　(3) ForeignAddress：远程计算机的地址和端口。通常显示远程计算机的名字和端口名字(例如ftp)。如果使用了-n参数，则显示远程计算机的IP地址和端口号；如果端口尚未建立，则用“*”表示。　　(4) State：表示TCP连接的状态，用下面的状态名字表示：　　CLOSE_WAIT收到对方的连接释放请求　　CLOSED连接已关闭　　ESTABLISHED连接已建立　　FIN_WAIT_1已发出连接释放请求　　FIN_WAIT_2等待对方的连接释放请求　　LAST_ACK等待对方的连接释放应答　　LISTEN正在监听端口　　SYN_RECEIVED收到对方的连接建立请求　　SYN_SEND已主动发出连接建立请求　　TIMED_WAIT等待一段时间后将释放连接　　举例如下：　　(1)如果要显示以太网的统计信息和所有协议的统计信息，则键入：　　netstat-e-s　　(2)如果要显示TCP和UDP协议的统计信息，则键入：　　netstat-s-ptcpudp　　(3)如果要显示TCP连接及其对应的进程ID，每4秒显示一次，则键入：　　netstat-o4　　(4)如果要以数字形式显示TCP连接及其对应的进程ID，则键入：　　netstat-n-o图8-6命令netstat-o4显示的统计信息8.1.5 tracert　　tracert命令与UNIX中的traceroute命令的功能相同，都是确定到达目标的路径，并显示通路上每一个路由器的IP地址。tracert通过多次向目标发送ICMP回声(echo)请求报文，每次增加IP头中TTL字段的值，就可以确定到达各个路由器的时间。显示的地址是路由器接近源的这一边的端口地址。tracert命令的语法如下：　　tracert[-d][-hMaximumHops][-jHostList][-wTimeout] [TargetName]　　对常用参数解释如下。　　● -d：不进行名字解析，显示中间结点的IP地址，这样可以加快跟踪的速度。　　● -h：MaximumHops：说明地址搜索的最大跃点数，默认值是30跳。　　● -j HostList：说明发送回声请求报文要使用IP头中的松散源路由选项，标识符HostList列出必须经过的中间结点的地址或名字，最多可以列出9个中间结点，各个中间结点用空格隔开。　　● -wTimeout：说明了等待ICMP回声响应报文的时间(μs)，如果接收超时，则显示星号“*”，默认超时间隔是4秒。　　● TargetName：用IP地址或主机名表示的目标。　　这个诊断工具通过多次发送ICMP回声请求报文来确定到达目标的路径，每个报文中的TTL字段的值都是不同的。通路上的路由器在转发IP数据报之前先要对TTL字段减一，如果TTL为0，则路由器就向源端返回一个超时(TimeExceeded)报文，并丢弃原来要转发的报文。在tracert第一次发送的回声请求报文中置TTL = 1，然后每次加1，这样就能收到沿途各个路由器返回的超时报文，直至收到目标返回的ICMP回声响应报文。如果有的路由器不返回超时报文，那么这个路由器就是不可见的，显示列表中用星号“*”表示之。　　举例如下：　　(1)要跟踪到达主机corp7.microsoft.com的路径，则键入：　　tracertcorp7.microsoft.com　　(2要跟踪到达主机corp7.microsoft.com的路径，并且不进行名字解析，只显示中间结点的IP地址，则键入：　　tracert-dcorp7.microsoft.com　　(3)要跟踪到达主机corp7.microsoft.com的路径，并使用松散源路由，则键入：　　tracert-j10.12.0.110.29.3.110.1.44.1corp7.microsoft.com　　图8.7是利用命令tracertwww.163.com.cn显示的路由跟踪列表。图8.7tracert命令的显示结果8.1.6pathpingpathping命令结合了ping和tracert两个命令的功能，可以显示通信线路上每个子网的延迟和丢包率。pathping命令在一段时间内向通路中的各个路由器发送多个回声请求报文，然后根据每个路由器返回的数据包计算统计结果。由于pathping命令显示了每个路由器(或链路)丢失数据包的程度，所以用户可以据此确定哪些路由器或者子网存在通信问题。pathping命令的语法如下：pathping[-n][-hMaximumHops][-gHostList][-pPeriod][-qNumQueries[-wTimeout][-T][-R][TargetName]　以上参数解释如下：　 -n：不进行名字解析，以加快显示速度。　　 -hMaximumHops：说明了搜索目标期间的最大跃点数，默认为30。　　 -gHostList：在发送回声请求报文时使用松散源路由，标识符HostList列出了中间节点的名字或地址。最多可以列出9个中间节点，用空格分开。　　 -pPeriod：说明两次ping之间的时间间隔(ms)，默认为1/4s。　　 -qNumQueries：说明发送给每个路由器的回声请求报文的数量，默认为100个。　　 -wTimeout：说明每次等待回声响应的时间，默认为3s。　　 -T：对发送的回声请求数据包附加上第二层优先标志(如802.1p)。这样可以测试出不具备区分第二层优先级能力的设备，这个开关用于测试网络连接提供不同服务质量(QoS)的能力。　　 -R：确定通路上的设备是否支持资源预约协议(RSVP)，这个开关用于测试网络连接提供不同服务质量(QoS)的能力。　　 TargetName：用IP地址或名字表示的目标。pathping命令的参数对大小写是敏感的，所以T和R必须大写。为了防止网络拥塞，ping的频率不能太快，这样也可以防止突发性丢包。　　当使用 -pPeriod参数时，对每一个中间节点一次只发送一个回声请求包，对同一节点，两次ping之间的时间间隔是Period乘以跃点数。　　当使用 -wTimeout参数时，多个回声请求包并行地发出，因此标识符Timeout规定的时间并不受Period规定的时间限制。　　IEEE802.1p标准使得局域网交换机具有以优先级区分信息流的能力，向支持声音、图像和数据的综合业务迈进了一步。802.1p定义了8种不同的优先级，分别用于支持时间关键的通信(如RIP和OSPF的路由更新报文)、延迟敏感的应用(如交互式语音和视频)、可控负载的多媒体流、重要的SAP数据以及尽力而为(best-effort)的通信等。符合802.1p规范的交换机具有多队列缓冲硬件，可以对较高优先级的分组进行快速处理，使得这些分组能够越过低级别分组迅速通过交换机。　　在传统的单一缓冲区交换机中，当信息传输出现拥塞时，所有分组将平等地排队等待，直到可继续前进。由于传统设备不能识别第二层优先级标签，那些带有优先标签的分组就会被丢弃，所以应用开关T可以区分传统交换机与可提供第二层优先级的交换机。　　R参数用于对资源预约协议的测试。RSVP预约报文在会话开始之前首先发送给通路上的每一个设备。如果设备不支持RSVP，它返回一个ICMP“目标不可到达”报文；如果设备支持RSVP，它返回一个“预约错误信息”报文。有一些设备什么信息也不返回，如果这种情况出现，则显示超时信息。　　图8-8所示的例子显示了命令C:\>pathping-ncorp1的输出。pathping命令运行时产生的第一个结果就是路径列表，与tracert命令显示的结果相同。接着出现一个大约125 s的“忙”消息，“忙”时间的长短随着跃点数的多少有所变化。这期间，从上述列表中的路由器以及它们之间的链路收集统计信息，最后显示测试结果。　　如图8-8所示，Node/LinkLost/Sent=Pct和Address栏显示在172.16.87.218与192.168.52.1之间链路上的丢包率是13%。第2跳和第4跳的路由器也丢失了数据包，但是这对它们转发的通信量不会产生影响。在图中的地址栏(Address)中，以直杠“|”表示由于链路拥塞而产生的丢包，至于路由器丢包的原因，则可能是设备过载了。图8-8命令C:\>pathping-ncorpl的输出8.1.7route　　route命令的功能是显示和修改本地的IP路由表，如果不带参数，则给出帮助信息。route命令的语法如下：　　route[-f][-p][Command[Destination][maskNetmask][Gateway][metricMetric]][ifInterface]]　　以上参数解释如下：　　 -f：删除路由表中的网络路由(子网掩码不是255.255.255.255)、本地环路路由(目标地址为127.0.0.0，子网掩码为255.0.0.0)和组播路由(目标地址为224.0.0.0，子网掩码为240.0.0.0)。如果与其他命令(如add、change或delete)联合使用，在运行这个命令前先清除路由表。　　 -p：与add命令联合使用时，一条路由被添加到注册表中，当TCP/IP协议启动时，用于初始化路由表。在默认情况下，系统重新启动时不保留添加的路由。与print命令联合使用时则显示持久路由列表。对于其他命令，这个参数被忽略。持久路由保存在注册表中的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes位置。　　 Command：表示要运行的命令，可用的命令如表8-1所示。　　 Destination：说明目标地址，可以是网络地址(IP地址中对应主机的比特都是0)、主机地址或默认路由(0.0.0.0)。　　 maskNetmask：说明了目标地址对应的子网掩码。网络地址的子网掩码依据网络的大小而变化，主机地址的子网掩码为255.255.255.255，默认路由的子网掩码为0.0.0.0。如果忽略了这个参数，默认的子网掩码为255.255.255.255。由于在路由寻址中具有关键作用，所以目标地址不能特异于对应的子网掩码。换言之，如果子网掩码的某个比特是0，则目标地址的对应比特不能为1。　　 Gateway：说明下一跃点的IP地址。对于本地连接的子网，网关地址是本地子网中分配给接口的IP地址。对于远程路由，网关地址是相邻路由器中直接连接的IP地址。　　 metricMetric：说明路由度量值(1～9999)，通常选择度量值最小的路由。度量值可以根据跃点数、链路速率、通路可靠性、通路的吞吐率以及管理属性等参数确定。　　 ifInterface：说明接口的索引。使用routeprint命令可以显示接口索引列表。接口索引可以使用十进制数或十六进制数表示。如果忽略if参数，接口索引根据网关地址确定。　　路由表中可能出现很大的度量值，这是TCP/IP协议根据LAN接口配置的IP地址、子网掩码和默认网关等参数自动计算的度量值。自动计算接口度量值是默认的，就是根据接口的速率调整路由度量，所以最快的接口生成了最低的度量值。要消除大的度量值，就要在“高级TCP/IP设置”对话框中取消“自动跃点计数”复选框，如图8-9所示。图8-9“高级TCP/IP设置”对话框　　可以用名字表示路由目标，如果在%Systemroot%\System32\Dtivers\Etc\hosts或Lmhosts文件中存在相应的表项。可以用名字表示网关，只要这个名字可以通过标准方法解析为IP地址。　　在使用命令print或delete时可以忽略参数Gateway，使用通配符来代替目标和网关。目标可以用一个星号“*”来代替。如果目标的值中包含星号“*”或问号“？”，也被看做是通配符，用于匹配被打印或被删除的目标路由。事实上，星号可以匹配任何字符串，问号则用于匹配任何单个字符。如10.*.1、192.168.*和*224*都是合法的通配符。　　如果使用了目标地址与子网掩码的无效组合，则会显示“Route:badgatewayaddressnetmask”的错误信息。当目标地址中的一个或多个比特被设置为“1”，而子网掩码的对应比特却被设置为“0”时，就会出现这种错误。为了检查这种错误，可以把目标地址和子网掩码都用二进制表示。子网掩码的二进制表示中，开头有一串“1”，代表网络地址部分，后跟一串“0”，代表主机地址部分。这样就可以确定是否目标地址中属于主机的比特被设置成了“1”。　　(1)要显示整个路由器的内容，输入routeprint　　(2)要显示路由表中以10.开头的表项，输入routeprint10.*　　(3)对网关地址192.168.12.1要添加一条默认路由，则输入routeadd0.0.0.0mask0.0.0.0192.168.12.1　　(4)要添加一条到达目标10.41.0.0(子网掩码为255.255.0.0)的路由，下一跃点地址为10.27.0.1，则输入routeadd10.41.0.0mask255.255.0.010.27.0.1　　(5)要添加一条到达目标10.41.0.0(子网掩码为255.255.0.0)的持久路由，下一跃点地址为10.27.0.1，则输入route-padd10.41.0.0mask255.255.0.010.27.0.1　　(6)要添加一条到达目标10.41.0.0255.255.0.0的路由，下一跃点地址为10.27.0.1，度量值为7，则输入routeadd10.41.0.0mask255.255.0.010.27.0.1metric7　　(7)要添加一条到达目标10.41.0.0255.255.0.0的路由，下一跃点地址为10.27.0.1，接口索引为0x3，则输入routeadd10.41.0.0mask255.255.0.010.27.0.1if0x3　　(8)要删除到达目标10.41.0.0255.255.0.0的路由，则输入routedelete10.41.0.0mask255.255.0.0　　(9)要删除路由表中所有以10.开头的表项，则输入routedelete10.*　　(10)要把目标10.41.0.0255.255.0.0的下一跃点地址由10.27.0.1改为10.27.0.25，则输入　　routechange10.41.0.0mask255.255.0.010.27.0.258.1.8netsh　　1．netsh上下文　　netsh利用动态链接库(DLL)与操作系统的其他组件产生交互作用。netsh助手(helper)是一种动态链接库文件，提供了称为上下文(context)的扩展特性，这是一组可作用于某种网络组件的命令。netsh上下文扩大了它的作用，可以对多种服务、实用程序或协议提供配置和监控功能。例如，Dhcpmon.dll就是一种netsh助手文件，它提供了一组配置和管理DHCP服务器的命令。　　运行netsh命令要从cmd.exe提示符开始，然后转到指定的上下文。可使用的上下文取决于已经安装的网络组件。例如，在netsh命令提示符(netsh>)下输入dhcp，就会转到DHCP上下文，但是如果没有安装DHCP服务，则会出现下面的信息：Thefollowingcommandwasnotfound:dhcp.　　2．使用多个上下文　　从一个上下文可以转到另一个上下文，后者叫做子上下文。例如，在路由上下文中可以转到IP或IPX上下文。为了显示在某个上下文中可使用的子上下文和命令列表，可以在netsh提示符下输入上下文的名字，后跟问号“？”或“help”。例如，为了显示在路由(routing)上下文中可使用的子上下文和命令，在netsh提示符下输入netsh>routing?或者netsh>routinghelp　　为了不改变当前上下文而完成另外一个上下文中的任务，可以在netsh提示符下输入命令的上下文路径。例如，要在IGMP上下文中添加“本地连接”接口而不改变IGMP上下文，则输入　　netsh>routingipigmpaddinterface"LocalAreaConnection"startupqueryinterval=21　　3．在cmd.exe命令提示符下运行netsh命令　　为了在远程WindowsServer2003中运行netsh命令，首先要通过“远程桌面连接”连接到正在运行终端服务器的WindowsServer2003系统中。在cmd.exe命令提示符下输入netsh，就进入了netsh>提示符。netsh的语法如下：　　netsh [-a AliasFile][-c Context][-r RemoteComputer][{NetshCommand|-f ScriptFile}]　　对以上参数解释如下：　　 -aAliasFile：运行AliasFile文件后返回netsh提示符。　　 -cContext：转到指定的netsh上下文，可用的netsh上下文如表8-2所示。　　 -rRemoteComputer：配置远程计算机。　　 NetshCommand：说明要使用的netsh命令。　　 -fScriptFile：运行脚本后转出netsh.exe。　　关于 -r参数的使用值得注意。如果在 -r参数中使用了另外的命令，则netsh在远程计算机上执行这个命令，然后返回到cmd.exe命令提示符下。如果使用 -r参数而没有使用其他命令，则netsh保持在远程模式。这个过程类似于在netsh命令提示符下执行setmachine命令。在使用 -r参数时，只是在当前的netsh实例中配置目标机器。在转出并重新进入netsh后，目标机器又变成了本地计算机。远程计算机的名字可以是存储在WINS服务器上的名字、UNC(UniversalNamingConvention)名字、可以被DNS服务器解析的Internet名字或者IP地址。　　4．在netsh.exe提示符下运行netsh命令　　在netsh> 提示符下可以使用下面一些命令。　　 ..：转移到上一层上下文。　　 abort：放弃在脱机模式下所作的修改。　　 addhelperDLLName：在netsh中安装netsh助手文件DLLName。　　 alias[AliasName]：显示指定的别名。alias[AliasName][string1[string2...]]命令用于设置AliasName的别名为指定的字符串。　　可以使用别名命令行替换netsh命令，或者将其他平台中更熟悉的命令映射到适当的netsh命令。下面是使用alias的例子，这个脚本设置了两个别名Shaddr和Shp，并进入netshinterfaceip上下文。　　aliasshaddrshowinterfaceipaddr　　aliasshpshowhelpers　　interfaceip　　如果在netsh命令提示符下输入shaddr，则被解释为命令showinterfaceipaddr。如果在Netsh命令提示符下输入shp，则被解释为命令showhelpers。　　 bye：转出netsh。　　 commit：向路由器提交在脱机模式下所作的改变。　　 deletehelper DLLName：删除netsh助手文件DLLName。　　 dump[FileName]：生成一个包含当前配置的脚本。如果要把脚本保存在文件中，则使用参数FileName。如果不带参数，则显示当前配置脚本。　　 execScriptFile：装载并运行脚本文件ScriptFile。脚本文件运行在一个或多个计算机上。　　 exit：从netsh转出。　　 help：显示帮助信息，可以用/?、?或h代替。　　 offline：设置为脱机模式。　　 online：设置为联机模式。　　在脱机模式下作出的配置可以保存起来，通过运行commit命令或联机命令在路由器上执行。从脱机模式转到联机模式时，在脱机模式下作出的改变会反映在当前正在运行的配置中，而在联机模式下作出的改变会立即反映在当前正在运行的配置中。　　 popd：从堆栈中恢复上下文。　　 pushd：把当前的上下文保存在堆栈中。　　popd与pushd配合使用，可以改变到新的上下文，运行新的命令，然后恢复前面的上下文。下面是使用这两个命令的例子，这个脚本首先从根脚本转到interfaceip上下文，添加一个静态路由，然后返回根上下文。　　netsh>　　pushd　　netsh>　　interfaceip　　netshinterfaceip>　　setaddresslocalstatic10.0.0.9255.0.0.010.0.0.11　　netshinterfaceip>　　popd 　　netsh>　　 quit：转出Netsh。　　 setfile{openFileName|appendFileName|close}：把命令提示符窗口的输出复制到指定的文件，其中的参数如下：openFileName：打开文件FileName，并发送命令提示符窗口的输出到这个文件。　　appendFileName：附加命令提示符窗口的输出到指定的文件FileName。　　Close：停止发送输出并关闭文件。　　如果指定的文件不存在，则netsh生成一个新文件。如果指定的文件存在，则netsh重写文件中已有的数据。下面的命令生成一个叫做session.log的记录文件，并复制netsh的输入和输出到这个文件。　　setfileopenC:\session.log　　 setmachine[[ComputerName=]string]：指定当前要完成配置任务的计算机，其中的字符串string是远程计算机的名字。如果不带参数，则指本地计算机。　　在一个脚本中，可以在多个计算机上执行命令。首先利用setmachine命令说明一个计算机ComputerA，在这个计算机上运行随后的命令。然后再利用setmachine命令指定另外一个计算机ComputerB，再在这个计算机上运行命令。　　 setmode{online|offline}：设置为联机或脱机模式。　　 show{alias|helper|mode}：显示别名、助手或当前的模式。　　 unalias AliasName：删除指定的别名。8.1.9nslookup　　nslookup命令用于显示DNS查询信息，诊断和排除DNS故障。使用这个工具必须熟悉DNS服务器的工作原理。Nslookup有交互式和非交互式两种工作方式，nslookup的语法如下：　　 nslookup[-option...]：使用默认服务器，进入交互方式。　　 nslookup[-option...] –server：使用指定服务器server，进入交互方式。　　 nslookup[-option...]host：使用默认服务器，查询主机信息。　　 nslookup[-option...]host server：使用指定服务器server，查询主机信息。　　 ?|/?|/help：显示帮助信息。　　1．非交互式工作　　所谓非交互式工作就是只使用一次nslookup命令，然后又返回到cmd.exe提示符下。如果只查询一项信息，可以进入这种工作方式。nslookup命令后面可以跟随一个或多个命令行选项(option)，用于设置查询参数。每个命令行选项由一个连字符“-”后跟选项的名字，有时还要加一个等号“=”和一个数值。　　在非交互方式中，第一个参数是要查询的计算机(host)的名字或IP地址，第二个参数是DNS服务器(server)的名字或IP地址，整个命令行的长度必须小于256个字符。如果忽略了第二个参数，则使用默认的DNS服务器。如果指定的host是IP地址，则返回计算机的名字。如果指定的host是名字，并且没有尾随的句点，则默认的DNS域名被附加在后面(设置了defname)，查询结果给出目标计算机的IP地址。如果要查找不在当前DNS域中的计算机，在其名字后面要添加一个句点“.”(称为尾随点)。下面举例说明非交互方式的用法。(1)应用默认的DNS服务器根据域名查找IP地址。C:\>nslookupns1.isi.eduServer:ns1.domain.comAddress:202.30.19.1 Non-authoritativeanswer:#给出应答的服务器不是该域的权威服务器Name:ns1.isi.eduAddress:128.9.0.107#查出的IP地址(2)应用默认的DNS服务器根据IP地址查找域名。C:\>nslookup128.9.0.107Server:ns1.domain.comAddress:202.30.19.1 Name:ns1.isi.edu#查出的IP地址Address:128.9.0.107　　(3)  nslookup命令后面可以跟随一个或多个命令行选项(option)。例如，要把默认的查询类型改为主机信息，把超时间隔改为5s，查询的域名为ns1.isi.edu，则使用下面的命令：　　C:\>nslookup-type=hinfo-timeout=5ns1.isi.edu　　Server:ns1.domain.com　　Address:202.30.19.1　　isi.edu　　　#给出了SOA记录 　　　primarynameserver=isi.edu　　#主服务器 　　　responsiblemailaddr=action.isi.edu　#邮件服务器 　　　serial=2009010800#查询请求的序列号 　　　refresh=7200<2hours>#刷新时间间隔　　　 retry=1800<30mins>#重试时间间隔　　　 expire=604800<7days>#辅助服务器更新有效期 defaultTTL=86400<1days>#资源记录在DNS缓存中的有效期C:\>　　2．交互式工作　　如果需要查找多项数据，可以使用nslookup的交互工作方式。在cmd.exe提示符下输入nslookup然后按回车键，就进入了交互工作方式，命令提示符变成“>”。　　在命令提示符“>”下输入help或 ?，会显示可用的命令列表(见图8-10)，如果输入exit，则返回cmd.exe提示符。图8-10nslookup子命令　　在交互方式下，可以用set命令设置选项，满足指定的查询需要。下面举出几个常用子命令的应用实例。(1) >setall，列出当前设置的默认选项。>setallServer:ns1.domain.comAddress:202.30.19.1 Setoptions:nodebug#不打印排错信息defname#对每一个查询附加本地域名search#使用域名搜索列表MSxfr#使用MS快速区域传输IXFRversion=1#当前的IXFR(渐增式区域传输)版本号srchlist=#查询搜索列表(2) settype=mx，查询本地域的邮件交换器信息。C:\>nslookupDefaultServer:ns1.domain.comAddress:202.30.19.1>settype=mx>163.com.cnServer:ns1.domain.comAddress:202.30.19.1 Non-authoritativeanswer:163.com.cnMXpreference=10，mailexchanger=mx1.163.com.cn163.com.cnMXpreference=20，mailexchanger=mx2.163.com.cnmx1.163.com.cninternetaddress=61.145.126.68mx2.163.com.cninternetaddress=61.145.126.30>　　(3)serverNAME，由当前默认服务器切换到指定的名字服务器NAME。类似的命令lserver是由本地服务器切换到指定的名字服务器。　　C:\>nslookup　　DefaultServer:ns1.domain.com　　Address:202.30.19.1　　>server202.30.19.2　　DefaultServer:ns2.domain.com　　Address:202.30.19.2　　(4) ls，这个命令用于区域传输，列出本地区域中的所有主机信息，ls命令的语法如下：　　ls[-a|-d|-ttype]domain[>filename]　　不带参数使用ls命令将显示指定域(domain)中所有主机的IP地址。-a参数返回正式名称和别名，-d参数返回所有数据资源记录，而 -t参数将列出指定类型(type)的资源记录。任选的filename是存储显示信息的文件，如图8-11所示。图8-11ls命令的输出如果安全设置禁止区域传输，将返回下面的错误信息：***Can'tlistdomainexample.com：Serverfailed　　(5) settype，该命令的作用是设置查询的资源记录类型。DNS服务器中主要的资源记录有A(域名到IP地址的映射)、PTR(IP地址到域名的映射)、MX(邮件服务器及其优先级)、CNAM(别名)和NS(区域的授权服务器)等类型。通过A记录可以由域名查地址，也可以由地址查域名。在图8-12中，用setall命令显示默认设置，可以看出type=A+AAAA，这时可以进行正向查询，也可以进行反向查询，如图8-13所示。图8-12setall显示默认设置图8-13查询A记录和AAAA记录图8-14查询PTR记录图8-15查询A记录　　(6) settype=any，对查询的域名显示各种可用的信息资源记录(A、CNAME、MX、NS、PTR、SOA、SRV等)，如图8-16所示。图8-16显示查询域名的信息　　(7) setdebug，这个命令与setd2的作用类似，都是显示查询过程的详细信息，setd2显示的信息更多，有查询请求报文的内容和应答报文的内容。图8-17所示为利用setd2显示的查询过程，这些信息可用于对DNS服务器进行排错。图8-17利用setd2显示的查询过程8.1.10net　　Windows中的网络服务都使用以net开头的命令。在cmd.exe提示符下输入net /?，则显示net命令的列表如下：　　NET[ACCOUNTS|COMPUTER|CONFIG|CONTINUE|FILE|GROUP|HELP| 　　HELPMSG|LOCALGROUP|NAME|PAUSE|PRINT|SEND|SESSION| 　　SHARE|START|STATISTICS|STOP|TIME|USE|USER|VIEW]　　如果要查看某个net命令的使用方法，则输入nethelp“命令名”。例如，为显示accounts命令的用法，输入C:\>nethelpaccounts，结果如图8-18所示。图8-18net帮助命令下面举出几个常用的net命令的例子。 c:\>netuser：显示所有用户的列表。 c:\>netshare：显示共享资源。 c:\>netstart：显示已启动的服务列表。 c:\>netstarttelnet：启动telnet服务。 c:\>netstoptelnet：停止telnet服务。 c:\>netuse：显示已建立的网络连接。 c:\>netview：显示计算机上的共享资源列表。 C:\>netsend192.16.810.1“时间到了，请关机”：向地址为192.168.10.1的计算机发送消息。8.2网络监视工具8.2.1网络监听原理 　　由于以太网采用广播通信方式，所以在网络中传送的分组可以出现在同一冲突域中的所有端口上。在常规状态下，网卡控制程序只接收发送给自己的数据包和广播包，把目标地址不是自己的数据包丢弃。如果把网卡配置成混杂模式(PromiscuousMode)，它就能接收所有分组，无论是否是发送给自己的。　　采用混杂模式的程序可以把网络连接上传输的所有分组都显示在屏幕上。有些协议(如FTP和Telnet)在传输数据和口令字时不进行加密，采用混杂模式的网络扫描器就可以解读和提取有用的信息，这给网络黑客提供了可乘之机。利用网络监听技术，既可以进行网络监控，解决网络管理中的问题，又可以进行网络窃听，实现网络入侵的目的。　　当一个主机采用混杂模式进行网络监听时，是可以被检查出来的。这里主要有两种方法，一种是根据时延来判断。由于采用混杂模式的主机要处理大量的分组，所以它的负载必定很重，如果发现某个计算机的响应很慢，就可以怀疑它是工作于混杂模式。另外一种方法是使用错误的MAC地址和正确的IP地址向它发送ping数据包，如果它接收并应答了这个数据包，那一定是采用混杂模式进行通信的。　　混杂模式通信被广泛地使用在恶意软件中，最初是为了获取根用户权限(RootCompromise)，继而进行ARP欺骗(ARPSpoofing)。凡是进行ARP欺骗的计算机必定把网卡设置成了混杂模式，所以那些滥用混杂模式的计算机是很重要的。8.2.2网络嗅探器　　嗅探器(Sniffer)就是采用混杂模式工作的协议分析器，可以用纯软件实现，运行在普通的计算机上，也可以做成硬件，用独立设备实现高效率的网络监控。“SnifferNetworkAnalyzer”是美国网络联盟公司(NetworkAssociatesINC，NAI)的注册商标，然而许多采用类似技术的网络协议分析产品也可以叫做嗅探器。NAI是电子商务和网络安全解决的主要供应商，它的产品除SnifferPro外，还有著名的防毒软件McAfee。　　常用的SnifferPro网络分析器可以运行在各种Windows平台上。Sniffer软件安装完成后在文件菜单中选择SelectSettings，就会出现如图8-19所示的界面，在这里可以选择用于监控的网卡，使其置于混杂模式。图8－19设置网卡界面8.2.3 Sniffer软件的功能和使用方法　　SnifferPro主要包含4种功能组件。　　(1)监视：实时解码并显示网络通信流中的数据。　　(2)捕获：抓取网络中传输的数据包并保存在缓冲区或指定的文件中，供以后使用。　　(3)分析：利用专家系统分析网络通信中潜在的问题，给出故障症状和诊断报告。　　(4)显示：对捕获的数据包进行解码并以统计表或各种图形方式显示在桌面上。　　网络监控是Sniffer的主要功能，其他功能都是为监控功能服务的。网络监控可以提供下列信息：　　(1)负载统计数据，包括一段时间内传输的帧数、字节数、网络利用率、广播和组播分组计数等。　　(2)出错统计数据，包括CRC错误、冲突碎片、超长帧、对准出错、冲突计数等。　　(3)按照不同的底层协议进行统计的数据。　　(4)应用程序的响应时间和有关统计数据。　　(5)单个工作站或会话组通信量的统计数据。　　(6)不同大小数据包的统计数据。图8-20Sniffer系统界面图8.21Sniffer主控板　　● Network：显示网络利用率等统计信息。　　● DetailErrors：显示出错统计信息。　　● SizeDistribution：显示各种不同大小分组数的统计信息。　　单击“主机表”选项，可以显示通信最多的前10个主机的统计数据，如图8.20所示。单击“矩阵”选项，可以显示主机之间进行