常用網絡故障診斷命令演示文稿當前第1頁\共有78頁\編于星期二\22點（優選）常用網絡故障診斷命令.當前第2頁\共有78頁\編于星期二\22點3.1ping

ping是用于測試網絡連接情況的程序。作為一個網絡維護人員，ping命令是第一個必須掌握的命令。ping是Windows系統自帶的一個可執行命令。它可以檢查網絡是否能夠連通，并很好地幫助我們分析判定網絡故障。當前第3頁\共有78頁\編于星期二\22點ping的原理是這樣的：網絡上的機器都有唯一確定的IP地址，ping發送一個ICMP回聲請求消息給目的地，并報告是否收到所希望的ICMP回聲應答，根據返回的數據包我們可以確定網絡的連接情況。我們以圖3-1所示網絡為例，講述ping命令。圖中，有A、B、C、D四臺機器，一臺路由RA，子網掩碼均為，默認路由為。當前第4頁\共有78頁\編于星期二\22點圖3-1ping命令實驗網絡當前第5頁\共有78頁\編于星期二\22點1.在同一網段內在主機A上運行“ping”后，都發生了些什么呢?首先，ping命令會構建一個固定格式的ICMP請求數據包，然后由ICMP協議將這個數據包連同地址一起交給IP層協議，IP層協議將以地址作為目的地址，本機IP地址作為源地址，加上一些其他的控制信息，構建一個IP數據包，并想辦法得到的MAC地址(這是數據鏈路層協議構建數據鏈路層的幀所必需的)，以便交給數據鏈路層構建一個數據幀。當前第6頁\共有78頁\編于星期二\22點主機B收到這個數據幀后，先檢查其目的地址，并和本機的物理地址對比，如符合，則接收，否則丟棄。接收后檢查該數據幀，將IP數據包從幀中提取出來，交給本機的IP層協議。同樣，IP層檢查后，將有用的信息提取后交給ICMP協議，后者處理后，立即構建一個ICMP應答包，發送給主機A，其過程和主機A發送ICMP請求包到主機B一樣。當前第7頁\共有78頁\編于星期二\22點2.不在同一網段內在主機A上運行“ping”后，開始跟上面一樣。到了該獲取MAC地址時，IP協議通過計算發現D機與自己不在同一網段內，就直接交路由器處理，也就是將路由器的MAC取過來。至于怎樣得到路由器的MAC，跟上面一樣，先在ARP緩存表找，找不到就廣播。路由器得到這個數據幀后，再跟主機D進行聯系，如果找不到，就向主機A返回一個超時的信息。當前第8頁\共有78頁\編于星期二\22點3.1.1語法與參數

語法：

ping[-t][-a][-ncount][-llength][-f][-ittl][-rcount][-scount]

參數：

-t：若使用者不人為中斷會，系統就會不斷ping下去。

-a：將目標機器標識轉換為IP地址，其實不使用這個參數直接ping目標主機也會在結果中顯示目標主機的IP地址。

-ncount：要求ping命令連續發送數據報，直到發出并接收到count個請求。當前第9頁\共有78頁\編于星期二\22點-l：發送緩沖區的大小。

-f：是一種快速方式ping。它可使ping輸出數據報的速度與數據報從遠程主機返回一樣快，或者更快，達到每秒100次。在這種方式下，每個請求用一個句點表示。對于每一個響應打印一個空格鍵。

-i：生存期。

-r：使ping命令旁路掉用于發送數據報的正常路由表。

-spacketsize：使用戶能夠標識出要發送數據的字節數。缺省是56個字符，再加上8個字節的ICMP數據頭，共64個ICMP數據字節。當前第10頁\共有78頁\編于星期二\22點1.?Requesttimedout

(1)對方已關機，或者網絡上根本沒有這個地址：比如在圖3-1中主機A中ping，或者主機B關機了，在主機A中ping都會得到超時信息。

(2)對方與自己不在同一網段內，通過路由也無法找到對方。但有時對方確實是存在的。當前第11頁\共有78頁\編于星期二\22點(3)對方確實存在，但設置了ICMP數據包過濾(比如防火墻設置)。怎樣知道對方是存在還是不存在呢，可以用帶參數-a的ping命令探測對方，如果能得到對方的NETBIOS名稱，則說明對方是存在的，有防火墻設置。如果得不到，則多半是對方不存在或關機，或不在同一網段內。

當前第12頁\共有78頁\編于星期二\22點(4)錯誤設置IP地址。正常情況下，一臺主機應該有一個網卡、一個IP地址，或者多個網卡、多個IP地址。但如果在一臺計算機的“撥號網絡適配器”(相當于一塊軟網卡)的TCP/IP設置中，設置了一個與網卡IP地址處于同一子網的IP地址，這樣，在IP層協議看來，這臺主機就有兩個不同的接口處于同一網段內。當從這臺主機ping其他的機器時，會存在這樣的問題：

當前第13頁\共有78頁\編于星期二\22點①主機不知道將數據包發到哪個網絡接口，因為有兩個網絡接口都連接在同一網段。

②主機不知道用哪個地址作為數據包的源地址。因此，從這臺主機去ping其他機器時，IP層協議會無法處理。超時后，ping就會給出一個“超時無應答”的錯誤信息提示。但從其他主機ping這臺主機時，請求包從特定的網卡來，ICMP只須簡單地將目的、源地址互換，并更改一些標志即可，ICMP應答包能順利發出，其他主機也就能成功ping通這臺機器了。當前第14頁\共有78頁\編于星期二\22點2.?DestinationhostUnreachable

對方與自己不在同一網段內，而自己又未設置默認的路由。比如上例中A機中不設定默認的路由，運行ping，就會出現“DestinationhostUnreachable”。

這里要說明一下“destinationhostunreachable”和“timeout”的區別。如果所經過的路由器的路由表中具有到達目標的路由，而目標因為其他原因不可到達，那么這時會出現“timeout”；如果路由表中連到達目標的路由都沒有，那么就會出現“destinationhostunreachable”。當前第15頁\共有78頁\編于星期二\22點3.?BadIPaddress

表示用戶可能沒有連接到DNS服務器，所以無法解析這個IP地址，也可能是IP地址不存在。

4.?Sourcequenchreceived

這個信息比較特殊，它出現的概率很小。它表示對方或中途的服務器繁忙，無法回應。當前第16頁\共有78頁\編于星期二\22點5.?Unknownhost

這種出錯信息的意思是，該遠程主機的名字不能被域名服務器(DNS)轉換成IP地址。故障原因可能是域名服務器有故障，或者其名字不正確，或者網絡管理員的系統與遠程主機之間的通信線路有故障。當前第17頁\共有78頁\編于星期二\22點6.?Noanswer

這種故障說明本地系統有一條通向中心主機的路由，但卻接收不到它發給該中心主機的任何信息。故障原因可能是下列之一：

●中心主機沒有工作；

●本地或中心主機網絡配置不正確；

●本地或中心的路由器沒有工作；

●通信線路有故障；

●中心主機存在路由選擇問題。

當前第18頁\共有78頁\編于星期二\22點7.?Noroutetohost

網卡工作不正常。

8.?Transmitfailed,errorcode：10043

網卡驅動不正常。

9.Unknownhostname

DNS配置不正確。當前第19頁\共有78頁\編于星期二\22點3.1.2命令舉例

1.?ping本機IP

例如本機IP地址為：，則執行命令ping。如果網卡安裝配置沒有問題，則應有類似下列顯示：

Replayfrombytes=32time<10ms

Pingstatisticsfor

PacketsSent=4Received=4Lost=00%loss

Approximateroundtriptimesinmilli-seconds

Minimum=0msMaxiumu=1msAverage=0ms當前第20頁\共有78頁\編于星期二\22點如果在MS-DOS方式下執行此命令顯示內容為：Requesttimedout，則表明網卡安裝或配置有問題。將網線斷開再次執行此命令，如果顯示正常，則說明本機使用的IP地址可能與另一臺正在使用的機器IP地址重復了。如果仍然不正常，則表明本機網卡安裝或配置有問題，需繼續檢查相關網絡配置。當前第21頁\共有78頁\編于星期二\22點2.測試網速

在默認情況下，Windows只發送四個數據包，通過這個命令可以自己定義發送的個數，對衡量網絡速度很有幫助。比如想測試發送50個數據包的平均返回時間、最快時間及最慢時間，就可以通過以下獲知：

C:＼>ping-n508

Pinging8with32bytesofdata:

Replyfrom8:bytes=32time=50msTTL=241當前第22頁\共有78頁\編于星期二\22點Replyfrom8:bytes=32time=50msTTL=241

Replyfrom8:bytes=32time=50msTTL=241

Requesttimedout.

…

Replyfrom8:bytes=32time=50msTTL=241

Replyfrom8:bytes=32time=50msTTL=241

Pingstatisticsfor8:

Packets:Sent=50,Received=48,Lost=2(4%loss),Approximateroundtriptimesinmilli-seconds:

Minimum=40ms,Maximum=51ms,Average=46ms當前第23頁\共有78頁\編于星期二\22點由此可知，在給8發送50個數據包的過程當中，返回了48個，其中有兩個由于未知原因丟失，這48個數據包當中返回時間最快為40ms，最慢為51ms，平均返回時間為46ms。當前第24頁\共有78頁\編于星期二\22點3.獲取路由信息

一般情況下發送的數據包是通過多個路由器才到達對方的，但到底是經過了哪些路由器呢？通過參數R就可以設定用戶想探測經過的路由器的個數，不過只能跟蹤到9個路

由器。

C:＼>ping-n1-R901

Pinging01with32bytesofdata:

Replyfrom01:bytes=32time=10msTTL=249

當前第25頁\共有78頁\編于星期二\22點Route:87->

14->

0->

9->

49->

7->

01->

50->

0

當前第26頁\共有78頁\編于星期二\22點Pingstatisticsfor01:

Packets:Sent=1,Received=1,Lost=0(0%loss),

Approximateroundtriptimesinmilli-seconds:

Minimum=10ms,Maximum=10ms,Average=10ms

由此可知，從用戶的計算機到01一共通過了87、14、0、9、49和7這幾個路由器。當前第27頁\共有78頁\編于星期二\22點3.2nslookup

3.2.1語法與參數語法：nslookup[-SubCommand...][{ComputerToFind|[-Server]}]nslookup有兩種模式：1.非交互式如果僅需要查找一塊數據，則使用非交互式模式。對于第一個參數，鍵入要查找的計算機的名稱或IP地址。對于第二個參數，鍵入DNS名稱服務器的名稱或IP地址。如果省略第二個參數，則nslookup使用默認DNS名稱服務器。當前第28頁\共有78頁\編于星期二\22點2.交互式

如果需要查找多塊數據，則可以使用交互式模式。對于第一個參數，鍵入連字符(-)。對于第二個參數，鍵入DNS名稱服務器的名稱或IP地址。如果省略兩個參數，則nslookup使用默認DNS名稱服務器。要隨時中斷交互式命令，按Ctrl?+?C。要退出，鍵入Exit。當前第29頁\共有78頁\編于星期二\22點參數：

-SubCommand...：將一個或多個nslookup子命令指定為命令行選項。

ComputerToFind：如果未指定其他服務器，就使用當前默認DNS名稱服務器查閱ComputerToFind的信息。要查找不在當前DNS域的計算機，請在名稱上附加句點。

如果ComputerToFind是IP地址，并且查詢類型為A或PTR資源記錄類型，則返回計算機的名稱。如果ComputerToFind是一個名稱，并且沒有跟蹤期，則向該名稱添加默認DNS域名。此行為取決于下面set子命令的狀態：domain、srchlist、defname和search。當前第30頁\共有78頁\編于星期二\22點如果鍵入連字符“-”代替ComputerToFind，則命令提示符更改為nslookup交互式模式。

-Server：指定將該服務器作為DNS名稱服務器使用。如果省略了-Server，則將使用默認的DNS名稱服務器。

{help|?}：顯示nslookup子命令的簡短總結。

當前第31頁\共有78頁\編于星期二\22點如果nslookup命令執行成功，即可顯示出目標服務器的主機名和對應的IP地址，稱之為正向解析。若失敗了，可能是執行nslookup命令的計算機的DNS設置錯了，也有可能是所查詢的DNS服務器停止或工作異常。還有一種情況，雖然返回了應答，但每當和該服務器通信就會失敗。這多數是目標服務器停止工作，但也有可能DNS服務器保存了錯誤的信息。在DNS服務器出現問題時，有時可能只能進行正向解析，無法進行逆向解析。此時，只需執行nslookup命令，看是否輸出目標主機名即可。當前第32頁\共有78頁\編于星期二\22點下面列出可能的錯誤消息：

1)?Timedout

重試一定時間和一定次數之后，服務器沒有響應請求。可以通過settimeout子命令設置超時期，而利用setretry子命令設置重試次數。

2)?Noresponsefromserver

服務器上沒有運行DNS名稱服務器。

3)?Norecords

盡管計算機名有效，但是DNS名稱服務器沒有當前查詢類型的資源記錄。查詢類型使用setquerytype命令指定。當前第33頁\共有78頁\編于星期二\22點4)?Nonexistentdomain

計算機或DNS域名不存在。

5)?Connectionrefused或Networkisunreachable

無法與DNS名稱服務器或指針服務器建立連接。該錯誤通常發生在ls和finger請求中。

當前第34頁\共有78頁\編于星期二\22點6)?ServerfailureDNS

名稱服務器發現在其數據庫中內部不一致而無法返回有效應答。

7)?RefusedDNS

名稱服務器拒絕為請求服務。

8)?FormaterrorDNS

名稱服務器發現請求數據包的格式不正確。該錯誤可能表明nslookup中存在錯誤。當前第35頁\共有78頁\編于星期二\22點

1.查找不同的數據類型

當前第36頁\共有78頁\編于星期二\22點Address:

MXpreference=0,mailexchanger=

internetaddress=

>當前第37頁\共有78頁\編于星期二\22點第一次查詢是查找遠程名稱，答案是權威的，但隨后的查詢是非權威的。第一次查詢遠程主機時，本地DNS服務器與作為該域權威的DNS服務器取得聯系。然后，本地DNS服務器緩存該信息，以便從本地服務器緩存中非權威地回答隨后的查詢。當前第38頁\共有78頁\編于星期二\22點2.直接從另一個名稱服務器中進行查詢

要直接查詢另一個名稱服務器，使用server或lserver命令切換到該名稱服務器。lserver命令使用本地服務器得到要切換的服務器地址，而server命令使用當前默認服務器得到該地址。例如：

C:\>nslookup

DefaultServer:

Address:

>server

DefaultServer:

Address:

>當前第39頁\共有78頁\編于星期二\22點3.3ipconfig

3.3.1語法與參數語法：ipconfig[/all][/renew[Adapter]][/release[Adapter]][/flushdns][/displaydns][/registerdns][/showclassidAdapter][/setclassidAdapter[ClassID]]參數：當前第40頁\共有78頁\編于星期二\22點/all：顯示所有適配器的完整TCP/IP配置信息。在沒有該參數的情況下，ipconfig只顯示各個適配器的IPv6地址(或IPv4地址)、子網掩碼和默認網關值。適配器可以代表物理接口或邏輯接口(例如撥號連接)。

/renew[Adapter]：更新所有適配器(如果未指定適配器)或特定適配器(如果包含了Adapter參數)的DHCP配置。該參數僅在具有配置為自動獲取IP地址的適配器的計算機上可用。要指定適配器名稱，請鍵入使用不帶參數的ipconfig命令顯示的適配器名稱。

當前第41頁\共有78頁\編于星期二\22點/release[Adapter]：發送DHCPRELEASE消息到DHCP服務器，以釋放所有適配器(如果未指定適配器)或特定適配器(如果包含了Adapter參數)的當前DHCP配置并丟棄IP地址配置。該參數可以禁用配置為自動獲取IP地址的適配器的TCP/IP。要指定適配器名稱，請鍵入使用不帶參數的ipconfig命令顯示的適配器名稱。

/flushdns：刷新并重設DNS客戶解析緩存的內容。在DNS故障排除期間，可以使用本過程從緩存中丟棄否定緩存項和任何其他動態添加項。當前第42頁\共有78頁\編于星期二\22點/displaydns：顯示DNS客戶解析緩存的內容，包括從LocalHosts文件預裝載的記錄，以及最近獲得的針對由計算機解析的名稱查詢的資源記錄。DNS客戶服務在查詢配置的DNS服務器之前使用這些信息快速解析被頻繁查詢的名稱。

/registerdns：初始化計算機上配置的DNS名稱和IP地址的手工動態注冊。可以使用該參數對失敗的DNS名稱注冊進行故障排除，或解決客戶和DNS服務器之間的動態更新問題，而不必重新啟動客戶端計算機。TCP/IP協議高級屬性中的DNS設置可以確定DNS中注冊了哪些名稱。當前第43頁\共有78頁\編于星期二\22點/showclassidAdapter：顯示指定適配器的DHCP類別ID。要查看所有適配器的DHCP類別ID，請在Adapter位置使用星號“*”通配符。該參數僅在具有配置為自動獲取IP地址的適配器的計算機上可用。

/setclassidAdapter：[ClassID]配置特定適配器的DHCP類別ID。要設置所有適配器的DHCP類別ID，請在Adapter位置使用星號“*”通配符。該參數僅在具有配置為自動獲取IP地址的適配器的計算機上可用。如果未指定DHCP類別ID，則會刪除當前類別ID。

/?：在命令提示符下顯示幫助。當前第44頁\共有78頁\編于星期二\22點3.3.2命令舉例

(1)要顯示所有適配器的基本TCP/IP配置，請鍵入：

ipconfig

(2)要顯示所有適配器的完整TCP/IP配置，請鍵入：

ipconfig/all

下面是ipconfig/all命令輸出，該計算機配置成使用DHCP服務器動態配置TCP/IP，并使用WINS和DNS服務器解析名稱。當前第45頁\共有78頁\編于星期二\22點Windows2000IPConfiguration

NodeType........... :Hybrid

IPRoutingEnabled........? :No

WINSProxyEnabled...... :No

EthernetadapterLocalAreaConnection:

HostName.............. :

DNSServers.............:00

Description............. :3Com3C90xEthernetAdapter

PhysicalAddress......... :00-60-08-3E-46-07

DHCPEnabled........... :Yes

AutoconfigurationEnabled... :Yes當前第46頁\共有78頁\編于星期二\22點IPAddress................:12

SubnetMask..............:

DefaultGateway...........:

DHCPServer............ :0

PrimaryWINSServer......:01

SecondaryWINSServer... :02

LeaseObtained...........:Wednesday,September02,199810:32:13AM

LeaseExpires.............:Friday,September18,199810:32:13AM當前第47頁\共有78頁\編于星期二\22點(3)僅更新“本地連接”適配器由DHCP分配IP地址的配置，請鍵入：

ipconfig/renew“LocalAreaConnection”

(4)要在排除DNS的名稱解析故障期間刷新DNS解析器緩存，請鍵入：

ipconfig/flushdns

(5)要顯示名稱以Local開頭的所有適配器的DHCP類別ID，請鍵入：

ipconfig/showclassidLocal*

當前第48頁\共有78頁\編于星期二\22點(6)要將“本地連接”適配器的DHCP類別ID設置為TEST，請鍵入：

ipconfig/setclassid“LocalAreaConnection”TEST

(7)要備份網絡設置，請鍵入：

ipconfig/batchbak-netcfg(將有關網絡配置的信息備份到文件bak-netcfg中)

(8)要為網卡動態分配新地址，請鍵入：

ipconfig/release1(去除網卡1的動態IP地址)

ipconfig/renew1(為網卡1重新動態分配IP地址)當前第49頁\共有78頁\編于星期二\22點3.4netstat

3.4.1語法與參數語法：

netstat[-a][-b][-e][-n][-o][-pproto][-r][-s][-v][interval]參數：-a：顯示所有連接和監聽端口。當前第50頁\共有78頁\編于星期二\22點-b：顯示包含于創建每個連接或監聽端口的可執行組件。在某些情況下已知可執行組件擁有多個獨立組件，并且在這些情況下包含于創建連接或監聽端口的組件序列被顯示。這種情況下，可執行組件名在底部的[]中，頂部是其調用的組件等，直到TCP/IP部分。注意此選項可能需要很長時間，如果沒有足夠權限，則可能失敗。-e：顯示以太網統計信息。此選項可以與-s選項組合使用。-n：以數字形式顯示地址和端口號。-o：顯示與每個連接相關的所屬進程ID。當前第51頁\共有78頁\編于星期二\22點-pproto：顯示proto指定的協議的連接；proto可以是下列協議之一：TCP、UDP、TCPv6或UDPv6。如果與-s選項一起使用以顯示按協議統計信息，proto可以是下列協議之一：IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP或UDPv6。

-r：顯示路由表。

-s：顯示按協議統計信息。默認顯示IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP和UDPv6的統計信息。

-p：選項用于指定默認情況的子集。

-v：與-b選項一起使用時將顯示包含于為所有可執行組件創建連接或監聽端口的組件。

當前第52頁\共有78頁\編于星期二\22點3.4.2命令舉例

下面用一個實例簡單解釋一下netstat的使用：

C:\>netstat-a

ActiveConnections

ProtoLocalAddressForeignAddressState

TCPEagle:ftpEagle:0LISTENING

TCPEagle:telnetEagle:0LISTENING

TCPEagle:smtpEagle:0LISTENING

TCPEagle:httpEagle:0LISTENING

TCPEagle:epmapEagle:0LISTENING

當前第53頁\共有78頁\編于星期二\22點TCPEagle:httpsEagle:0LISTENING

TCPEagle:microsoft-dsEagle:0LISTENING

TCPEagle:1030Eagle:0LISTENING

TCPEagle:microsoft-dslocalhost:1031ESTABLISHED

TCPEagle:netbios-ssnEagle:0LISTENING

TCPEagle:12135:9002CLOSE_WAIT

TCPEagle:244342:httpsCLOSE_WAIT

當前第54頁\共有78頁\編于星期二\22點TCPEagle:291601:telnetESTABLISHED

TCPEagle:29280:4899TIME_WAIT

TCPEagle:34555:9002ESTABLISHED

TCPEagle:netbios-ssnEagle:0LISTENING

UDPEagle:microsoft-ds*:*

UDPEagle:1046*:*

UDPEagle:1050*:*當前第55頁\共有78頁\編于星期二\22點協議(Proto)：TCP，是指傳輸層通訊協議。

本地機器名(LocalAddress)：Eagle，俗稱計算機名，安裝系統時設置的，可以在“我的計算機”屬性中修改。

遠程機器名(ForeignAddress)：指與本機通信的計算機。

State指TCP連接狀態，包括以下內容：

LISTEN：在監聽狀態中。

ESTABLISHED：已建立連接。

TIME_WAIT：該連接在目前已經是等待的狀態。當前第56頁\共有78頁\編于星期二\22點3.5nbtstat

3.5.1語法與參數

語法：

nbtstat[-aRemoteName][-AIPAddress][-c][-n][-r][-R][-RR][-s][-S][Interval]參數：-aRemoteName：顯示遠程計算機的NetBIOS名稱表。其中，RemoteName是遠程計算機的NetBIOS計算機名稱，NetBIOS名稱表是與運行在該計算機上的應用程序相對應的NetBIOS名稱列表。當前第57頁\共有78頁\編于星期二\22點-AIPAddress：顯示遠程計算機的NetBIOS名稱表，其名稱由遠程計算機的IP地址指定(以小數點分隔)。

-c：顯示NetBIOS名稱緩存內容、NetBIOS名稱表及其解析的各個地址。

-n：顯示本地計算機的NetBIOS名稱表。Registered的狀態表明該名稱是通過廣播還是WINS服務器注冊的。

-r：顯示NetBIOS名稱解析統計資料。在配置為使用WINS且運行WindowsXP或WindowsServer2003操作系統的計算機上，該參數將返回已通過廣播和WINS解析和注冊的名稱號碼。當前第58頁\共有78頁\編于星期二\22點-R：清除NetBIOS名稱緩存的內容，并從Lmhosts文件中重新加載帶有#PRE標記的

項目。

-RR：釋放并刷新通過WINS服務器注冊的本地計算機的NetBIOS名稱。

-s：顯示NetBIOS客戶端和服務器會話，并試圖將目標IP地址轉化為名稱。

-S：顯示NetBIOS客戶端和服務器會話，只通過IP地址列出遠程計算機。當前第59頁\共有78頁\編于星期二\22點Interval：重新顯示選擇的統計資料，可以在每個顯示內容之間中斷Interval中指定的秒數。按Ctrl?+?C停止重新顯示統計信息。如果省略該參數，則netstat將只顯示一次當前的配置信息。

/?：在命令提示符下顯示幫助。

標題描述：

Input：接收的字節數。

Output：發送的字節數。

In/Out：該連接是否從計算機傳出或者從其他計算機傳入到本地計算機。

當前第60頁\共有78頁\編于星期二\22點Lift：名稱表示緩存項在被清除之前所存留的時間。

LocalName：與連接相關的本地NetBIOS名稱。

RemoteHost：與遠程計算機相關的名稱或IP地址。

<03>轉化為十六進制的NetBIOS名稱的最后一個字節。每個NetBIOS名稱長度均為16個字符。最后一個字節通常有特殊的意義，因為相同的名稱(只有最后一個字節不同)可能在一臺計算機上出現幾次。例如，<20>在ASCII文本中是一個空格。當前第61頁\共有78頁\編于星期二\22點Type：名稱類型。名稱可以是唯一名稱，也可以是組名稱。

Status：遠程計算機上是否在運行NetBIOS服務(已注冊)，或同一計算機名是否已注冊了相同的服務(沖突)。

StateNetBIOS：連接的狀態。

State描述的內容包括：

Connected：會話已建立。

Associated：連接的終節點已經被創建并與IP地址關聯。

Listening：該終節點對入站連接可用。

Idle：該終節點已被打開但不能接收連接。當前第62頁\共有78頁\編于星期二\22點Connecting：會話處于連接階段。在此階段正在解析所選目標的由名稱到IP地址的

映射。

Accepting：當前正在接受入站會話，并將立即連接。

Reconnecting：會話將試圖重新連接(如果第一次連接嘗試失敗)。

Outbound：會話正處于連接階段，當前正在創建TCP連接。

Inbound：入站會話處于連接階段。

Disconnecting：會話正在斷開連接。

Disconnected：本地計算機已斷開連接，并正等待遠程系統的確認。當前第63頁\共有78頁\編于星期二\22點3.5.2命令舉例(1)顯示NetBIOS計算機名為CORP07的遠程計算機的NetBIOS名稱表：nbtstat-aCORP07(2)顯示所分配IP地址為9的遠程計算機的NetBIOS名稱表：nbtstat-A9當前第64頁\共有78頁\編于星期二\22點3.6tracert

3.6.1語法與參數語法：tracert[-d][-hmaximum_hops][-jhost-list][-wtimeout]target_name參數：-d：指定不將地址解析為計算機名。-hmaximum_hops：指定搜索目標的最大跳數。-jcomputer-list：指定沿computer-list的稀疏源路由。-wtimeout：每次應答等待timeout指定的微秒數。target_name：目標計算機的名稱。當前第65頁\共有78頁\編于星期二\22點3.6.2命令舉例tracert一般用來檢測故障的位置，可以用tracertIP發現在哪個環節上出了問題。雖然尚未確定是什么問題，但它已經告訴了我們問題所在的位置。例如：Tracingrouteto[0]overamaximumof30hops:Tracecomplete.當前第66頁\共有78頁\編于星期二\22點3.7arp

3.7.1語法與參數語法：arp-sinet_addreth_addr[if_addr]arp-dinet_addr[if_addr]arp-a[inet_addr][-Nif_addr]參數：當前第67頁\共有78頁\編于星期二\22點-a或?-g：用于查看高速緩存中的所有項目。-a和?-g參數的結果是一樣的，多年來?-g一直是UNIX平臺上用來顯示ARP高速緩存中所有項目的選項，而Windows用的是arp-a，但它也可以接受比較傳統的?-g選項。-aIP：如果我們有多個網卡，那么使用arp-a加上接口的IP地址，就可以只顯示與該接口相關的ARP緩存項目。-sIP物理地址：我們可以向ARP高速緩存中人工輸入一個靜態項目。該項目在計算機引導過程中將保持有效狀態，或者在出現錯誤時，人工配置的物理地址將自動更新該項目。-dIP：使用本命令能夠人工刪除一個靜態項目。當前第68頁\共有78頁\編于星期二\22點3.7.2命令舉例很多此起彼伏的瞬間掉線或大面積的斷網是ARP欺騙在作怪。從影響網絡連接通暢的方式來看，ARP欺騙分為兩種。一種是對路由器ARP表的欺騙；另一種是對內網PC的網關欺騙。當前第69頁\共有78頁\編于星期二\22點第一種ARP欺騙的原理是截獲網關數據。它通知路由器一系列錯誤的內網MAC地址，并按照一定的頻率不斷重復，使真實的地址信息無法通過更新保存在路由器中，結果路由器的所有數據只能發送給錯誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是偽造網關。它的原理是建立假網關，讓被它欺騙的PC向假網關發數據，而不是通過正常的路由器途徑上網。在PC看來，就是上不了網了。當前第70頁\共有78頁\編于星期二\22點一般來說，ARP欺騙攻擊的后果非常嚴重，大多數情況下會造成大面積掉線。有些網絡管理員對此不甚了解，出現故障時，認為PC沒有問題，交換機沒掉線，電信也不承認寬帶故障。而且如果第一種ARP欺騙發生時，只要重啟路由器，網絡就能全面恢復，那問題一定是在路由器了。為此，路由器背了不少黑鍋。如下操作可以防范ARP欺騙：①在寬帶路由器中把所有PC的IP-MAC輸入到一個靜態表中，這叫路由器IP-MAC綁定。②在內網所有PC上設置網關的靜態ARP信息，這叫PC機IP-MAC綁定。兩項工作都做則稱其為IP-MAC雙向綁定。對每臺主機進行IP和MAC地址靜態綁定如下：

arp–sAA-AA-AA-AA-AA-AA當前第71頁\共有78頁\編于星期二\22點3.8pathping

pathping提供有關在源和目標之間的中間躍點處網絡滯后和網絡丟失的信息。pathping在一段時間內將多個回響請求消息發送到源和目標之間的各個路由器，然后根據各個路由器返回的數據報計算結果。因為pathping顯示在任何特定路由器或鏈接處的數據報的丟失程度，所以用戶可據此確定存在網絡問題的路由器或子網。pathping通過識別路徑上的路由器來執行與tracert命令相同的功能。