項目六

網絡安全及網絡故障任務1網絡安全的基本概念任務2網絡攻擊技術任務3網絡防御技術任務4網絡故障診斷任務5常用網絡故障測試命令工具任務1網絡安全的基本概念任務引入小白QQ號被盜了，來找小東幫忙找回來，網絡安全的研究內容分成兩大體系：攻擊和防御。作為網絡工程師，掌握網絡安全是必須具備的技能。那么網絡安全的概念是什么，網絡安全面臨的主要威脅及什么樣的計算機網絡才能成為安全的呢，或者說它的安全級別是什么？知識準備一、網絡安全概述在最初幾十年中，計算機網絡主要被大學的研究人員用于發送電子郵件，以及被公司的員工用于共享打印機。在這樣的條件下，安全問題并沒有得到足夠的關注。但現在，成千上百萬的普通市民利用網絡來完成銀行事務處理、購物和填寫納稅單等活動，因此，網絡安全逐漸成為一個巨大的潛在問題。在本章中，我們將從幾個角度來學習網絡的安全問題，并指出大量的缺陷，以及討論許多能使網絡更加安全的算法和協議。安全性是一個范圍很廣闊的話題，同時也涉及到大量的違法犯罪活動。在最簡單的形式中，它關心的是如何保證好事者們不能讀取或者（更糟的是）悄悄地修改給其他人的消息。它也涉及到有人企圖訪問未經授權的遠程服務。二、網絡安全的定義網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。網絡安全從其本質上來講主要就是網絡上的信息安全，即要保障網絡上信息的保密性、完整性、可用性、可控性和真實性。計算機網絡的安全性主要包括網絡服務的可用性（Availability）、網絡信息的保密性（Confidentiaity）和網絡信息的完整性（Integrity）。從層次體系上，可以將網絡安全分成4個層次上的安全：物理安全，邏輯安全，操作系統安全和聯網安全。1．物理安全物理安全主要包括5個方面：防盜、防火、防靜電、防雷擊和防電磁泄漏。2．邏輯安全3．操作系統安全4．聯網安全（1）訪問控制服務：用來保護計算機和聯網資源不被非授權使用。（2）通信安全服務：用來認證數據機要性與完整性，以及各通信的可信賴性。三、網絡安全面臨的主要威脅計算機網絡的通信面臨兩大類威脅，即主動攻擊和被動攻擊（見圖）。主動攻擊是具有攻擊破壞性的一種攻擊行為，攻擊者是在主動地做一些不利于你或你的公司系統的事情，會對你造成直接的影響。主動攻擊按照攻擊方法不同，可分為中斷、篡改和偽造。被動攻擊是一種在不影響正常數據通信的情況下，獲取由原站發送的目的站的有效數據，通過監聽到的有效數據，從而對網絡造成間接的影響，影響所傳數據的保密性，泄露數據信息，如只是被動攻擊，不會對其傳輸造成直接的影響，不易監測。被動攻擊又分為2類：（1）被動的獲取消息的內容；（2）對業務數據流分析。網絡安全主要威脅四、安全的計算機網絡人們一直希望能設計出一種安全的計算機網絡，但不幸的是，網絡的安全性是不可判定的。目前在安全協議的設計方面，主要是針對具體的攻擊設計安全的通信協議。但如何保證所設計出的協議是安全的？這可以使用兩種方法。一種是用形式化方法來證明，另一種是用經驗來分析協議的安全性。一個安全的計算機網絡應該設法達到以下四個目標：保密性端點鑒別信息的完整性運行的安全性保密性：只有信息的發送方和接收方才能懂得所發送信息的內容。是網絡安全通信的最基本的內容，也是對付被動攻擊必須具備的功能。為了使網絡具有保密性，需要使用各種密碼技術。端點鑒別：鑒別信息的發送方和接收方的真實身份。在對付主動攻擊中是非常重要的。信息的完整性：信息的內容未被篡改過。在應對主動攻擊中是必不可少的。信息的完整性與端點鑒別往往是不可分割的。在談到“鑒別”時，也同時包含了端點鑒別和報文完整性。運行的安全性：系統能正常運行并提供服務。訪問控制（accesscontrol）對計算機系統的安全性是非常重要的。必須對訪問網絡的權限加以控制，并規定每個用戶的訪問權限。五、網絡安全的評價標準網絡安全評價標準中比較流行的是1985美國國防部指定的可信任計算機標準評價準則TrustedComputerStandardsEvaluationCriteria，TCSEC），各國根據自己的國情也都制定了相關的標準1．我國評價標準1999年10月經過國家質量技術監督局批準發布的《計算機信息系統安全保護等級劃分準則》將計算機安全保護劃分為以下5個級別。第1級為用戶自主保護級（GB1安全級）：第2級為系統審計保護級（GB2安全級）：第3級為安全標記保護級（GB3安全級）：第4級為結構化保護級（GB4安全級）：第5級為訪問驗證保護級（GB5安全級）：2．國際評價標準自從1985年橙皮書成為美國國防部的標準以來，就一直沒有改變過，多年以來一直是評估多用戶主機和小型操作系統的主要方法。其他子系統（如數據庫和網絡）也一直用橙皮書來解釋評估。橙皮書把安全的級別從低到高分成4個類別：D類、C類、B類和A類，每類又分幾個級別。D級是最低的安全級別C1是C類的一個安全子級。C2級除了包含CI級的特征外，應該具有訪問控制環境（ControlledAccessEnvironment）權力B級中有三個級別，B1級即標志安全保護（LabeledSecurityProtection）B2級，又叫作結構化保護（StructuredProtection）級別B3級，又叫作安全區域（SecurityDomain）級別A級，又稱驗證設計（VerifiedDesign）級別，是當前橙皮書的最高級別安全級別設計必須從數學角度上進行驗證，而且必須進行秘密通道和可信任分布分析。任務2網絡攻擊技術任務引入小東分析了小白QQ被盜的過程，推理出他可能是因為計算機里被注入了木馬程序，小白不明白木馬是什么，小東就跟他講解了一下網絡攻擊的一些常用方式及各自的特點。知識準備一、攻擊五部曲一次成功的攻擊，可以歸納成基本的五個步驟，但是根據實際情況可以隨時調整。歸納起來就是“黑客攻擊五部曲"。1．隱藏IP2．踩點掃描3．獲得系統或管理員權限4．種植后門5．在網絡中隱身二、網絡掃描掃描是進行信息收集的一種必要工具，它可以完成大量的重復性工作，為使用者收集與系統相關的必要信息。對于黑客來講，掃描是攻擊系統時的有力助手；而對于管理員，掃描同樣具備檢查漏洞，提高安全性的重要作用。網絡掃描的原理是利用操作系統提供的Connect（）系統調用，與每一個感興趣的目標計算機的端口進行連接。如果端口處于工作狀態，那么Connect（）就能成功。這個技術的一個最大的優點是，不需要任何權限，系統中的任何用戶都有權利使用這個調用。黑客攻擊五部曲中第2步踩點掃描中的掃描，一般分成兩種策略：一種是主動式策略，另一種是被動式策略。被動式策略是基于主機之上，對系統中不合適的設置、脆弱的口令及其他同安全規則抵觸的對象進行檢查。三、安全漏洞概述通常，網絡或主機中存在的安全漏洞是攻擊者成功地實施攻擊的關鍵。那么，什么是安全漏洞？安全漏洞產生的根源是什么？這些漏洞有哪些危害呢？1．安全漏洞的概念2．漏洞存在原因產品開發周期短從技術角度來看，漏洞的來源主要有以下幾個方面：（1）軟件或協議設計時的瑕疵（2）軟件或協議實現中的弱點（3）軟件本身的瑕疵（4）系統和網絡的錯誤配置3．漏洞的危害四、為什么進行網絡掃描很多入侵者常常通過掃描來發現存活的目標及其存在的安全漏洞，然后通過漏洞入侵目標系統。為了解決安全問題，網絡管理員也常借助掃描器對所管轄的網絡進行掃描，以發現自身系統中的安全隱患和存在的棘手問題，然后修補漏洞排除隱患。所以說掃描是一把雙刃劍為了解決安全隱患和提高掃描效率，很多公司和開發組織開發了各種各樣的漏洞評估工具，這些漏洞評估工具也被稱為掃描器，其種類繁多、性能各異。掃描就是通過向目標主機發送數據報文、然后根據響應獲得目標主機的信息。根據掃描目的的不同，分類：地址掃描、端口掃描、和漏洞掃描。四、為什么進行網絡掃描很多入侵者常常通過掃描來發現存活的目標及其存在的安全漏洞，然后通過漏洞入侵目標系統。為了解決安全問題，網絡管理員也常借助掃描器對所管轄的網絡進行掃描，以發現自身系統中的安全隱患和存在的棘手問題，然后修補漏洞排除隱患。所以說掃描是一把雙刃劍為了解決安全隱患和提高掃描效率，很多公司和開發組織開發了各種各樣的漏洞評估工具，這些漏洞評估工具也被稱為掃描器，其種類繁多、性能各異。掃描就是通過向目標主機發送數據報文、然后根據響應獲得目標主機的信息。根據掃描目的的不同，分類：地址掃描、端口掃描、和漏洞掃描。五、發現目標的掃描如果將掃描比擬為收集情報的話，掃描目標就是尋找突破口了。下面介紹基本的掃描技術和掃描技巧，利用這些技術和技巧可以確定目標是否存活在網絡上，以及正在從事的工作類型。該類掃描目前主要有Ping掃描和ICMP查詢兩種。1．Ping掃描2．ICMP查詢3．TCP掃射和UDP掃射“開始IP”和“結束IP”掃描完成查看主機存活情況六、探測開放服務的端口掃描在找出網絡上存活的系統之后，入侵者下一步就是要得到目標主機的操作系統信息和開放的服務。端口掃播就是發送信息到目標計算機的所需要掃描的端口，然后根據返回端口狀態來分析目標計算機的端口是否打開。（1）端口：80（HTTP）、21（FTP），25（SMTP）；標準端口：0-1023；非標準端口：1024-65535（木馬入侵端口）（2）端口掃描原理：向目標主機的服務端口發送探測數居包、并記錄目標主機的響應。據此判斷端口是打開還是關閉；（3）常見的端口掃描技術：TCPconnect（全連接掃描）、TCPSYN（半連接掃描）、秘密掃描等。如圖所示為端口掃描的分類七、漏洞掃描漏洞掃描是使用漏洞掃描程序對目標系統進行信息查詢，通過漏洞掃描，可以發現系統中存在的不安全的地方。針對各種服務的漏洞是一個龐大的數字，在2001年一年中，僅微軟就針對自己的產品一共發布了上百個安全漏洞，而其中接近一半都是11S漏洞。這些龐天的漏洞全部由手工檢測是非常困難的。（1）漏洞掃描技術的原理漏洞掃描主要通過以下兩種方法來檢查目標主機是否存在漏洞：在端口掃描后得知目標主機開啟的端口以及端口上的網絡服務，將這些相關信息與網絡漏洞掃描系統提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對目標主機系統進行攻擊性的安全漏洞掃描，如測試弱勢口令等。若模擬攻擊成功，則表明目標主機系統存在安全漏洞。（2）漏洞掃描技術的分類和實現方法基于網絡系統漏洞庫，漏洞掃描大體包括：CG1漏洞掃描、POP3漏洞掃描、FTP漏洞掃描、SSH漏洞掃描、HTTP漏洞掃描等，這些漏洞掃描基于漏洞庫，將掃描結果與漏洞庫相關數據匹配比較得到漏洞信息。漏洞掃描還包括沒有相應漏洞庫的各種掃描，比如Unicode遍歷目錄漏洞探測、FTP弱勢密碼探測、OPENRelay郵件轉發漏洞探測等，這些掃描通過使用插件（功能模塊技術）進行模擬攻擊，測試出目標主機的漏洞信息。九、Hub和網卡的工作原理以太網等很多網絡是基于總線方式的，物理上是廣播的，就是當一臺機器向另一臺機器發送數據時，共享Hub先接收數據，然后再把它接收到的數據轉發給Hub上的其它每一個接口，所以在共享Hub所連接的同一網段的所有機器的網卡都能接收到數據。而對于交換機，其內部程序能夠記住每個接口的MAC地址，能夠將接收到的數據直接轉發到相應接口上的計算機，不像共享Hub那樣發給所有的接口，所以交換式網絡環境下只有相應的機器能夠接收到數據（除了廣播包）。十、網絡監聽的工作原理計算機網絡與電話電路不同，計算機網絡是共享通信通道。共享意味著計算機能夠接收到發送給其它計算機的信息。通常情況下，用戶并不直接和網絡底層打交道，一般用戶不能直接把網卡設成混雜模式，只有超級用戶才有這個權限。十一、網絡監聽的預防和檢測為了達到良好的嗅探效果，入侵者一般將嗅探器放置在被攻擊機器或網絡附近，這樣才能捕獲到很多口令，還有一個常見的方法就是放在網關上。如果嗅探器運行在路由器上，或有路由功能的主機上，這樣就能捕獲到更多的口令。通常是入侵者進入目標系統后，使用嗅探這種攻擊手段來獲得更多信息。十二、網絡入侵1．社會工程學攻擊目前社會工程學攻擊主要包括兩種方式：打電話請求密碼和偽造E-mail.（1）打電話請求密碼。（2）偽造E-mail。2．物理攻擊與防范物理安全的目的是保護一些比較重要的設備不被接觸。物理安全比較難防，因為攻擊往往來自能夠接觸到物理設備的用戶。3．獲取管理員密碼系統管理員登錄系統以后，離開計算機時沒有鎖定計算機，或者直接以自己的賬號登錄，然后讓別人使用，這是非常危險的，因為可以輕易獲取管理員密碼。4．權限提升有時管理員為了安全，給其他用戶建立一個普通用戶賬號，認為這樣就安全了。5．暴力攻擊暴力攻擊的一個具體例子是，一個黑客試圖使用計算機和信息去破解一個密碼。6．字典文件一次字典攻擊能否成功，很大因素上決定于字典文件。十三、拒絕服務攻擊DDoS（DistributedDenialofService）攻擊稱為分布式拒絕服務，攻擊者利用已經侵入并控制的主機，對某一單機發起攻擊，被攻擊者控制著的計算機有可能是數百臺機器。在懸殊的帶寬力量對比下，被攻擊的主機會很快失去反應，無法提供服務，從而達到攻擊的目的。實踐證明，這種攻擊方式是非常有效的，而且難以抵擋。1．DDos的特點一個簡單的字典文件2．攻擊手段攻擊過程實施的順序為：攻擊者一主控端分布端一目標主機。發動DDoS攻擊分為兩個階段。（1）初始的大規模入侵階段：（2）大規模DDos攻擊階段：3．DDos的著名攻擊工具（1）trin001999年6月trin00工具出現trin00由三部分組成：（1）客戶端/攻擊者（Client），（2）主控端Master），（3）分布端/代理端（Agent）。（2）TFN（3）Stacheldraht

DDos攻擊的結構4．TFN2K（1）主控端和代理端之間進行加密傳輸，其間還混雜一些發往任意地址的無關的包從而達到迷惑的目的，增加了分析和監視的難度。（2）主控端和代理端之間的通信可以隨機地選擇不同協議完成（TCP，UDP，ICMP），代理端也可以隨機選擇不同的攻擊手段（TCP/SYN，UDP，ICMP/PING，BROADCASTPING/SMURF等）來攻擊目標受害主機。（3）所有從主控端或代理端發送出的包都使用IP地址欺騙來隱藏源地址。（4）與TFN不同，TFN2K的代理端是完全沉默的，它不響應來自主控端的命令。（5）與TFN和Stacheldraht不同，TFN2K的命令不是基于字符串的。（6）使用Base64編碼所有加密數據，代理端在解碼前會進行完整性檢查。（7）代理端會針對每個目標主機的每一次攻擊產生一個進程。（8）代理端通過改變argy10]來改變進程名，從而掩蓋自己的存在。（9）TFN2K可以很容易地在各個不同的平臺上移植。十四、木馬1．木馬概述木馬全稱為特洛伊木馬（TrojanHorse，簡稱Trojan）。2．木馬的特征（1）不需要得到服務端用戶的允許就能獲得系統的使用權（2）程序體積十分小（如國產的冰河400K左右），執行時不會占太多的資源（3）很難停止它的活動（4）執行時不會在系統中顯示出來（5）一次啟動后就會自動登錄在系統的啟動區，在每次系統的啟動中都能自動運行（6）一次執行后會自動更換文件名，使之難以發現（7）一次執行后會自動復制到其他的文件夾中（8）服務端用戶無法顯示其執行的動作3．木馬的工作原理木馬一般由兩部分組成，服務器端和客戶端。4．木馬的工作原理客戶端/服務端之間采用TCP/UDP的通信方式，攻擊者控制的是相應的客戶端程序，服務器端程序是木馬程序，木馬程序被植人到毫不知情的用戶的計算機中。5．木馬攻擊步驟（1）配置木馬1）木馬偽裝：2）信息反饋：（2）傳播木馬（3）啟動木馬（4）建立連接（5）遠程控制十五、惡意代碼代碼是指計算機程序代碼，可以被執行完成特定功能。任何事物都有正反兩面，人類發明的所有工具既可造福也可作孽，這完全取決于使用工具的人。計算機程序也不例外，軟件工程師們編寫了大量的有用的軟件（操作系統，應用系統和數據庫系統等）的同時，黑客們在編寫擾亂社會和他人的計算機程序，這些代碼統稱為惡意代碼（MaliciousCodes）。1．研究惡意代碼的必要性2．惡意代碼長期存在的原因（1）系統漏洞層出不窮（2）利益驅使3．惡意代碼的定義4．惡意代碼攻擊機制（1）侵入系統。（2）維持或提升現有特權。（3）隱蔽策略。（4）潛伏。（5）破壞。（6）重復（1）至（5）對新的目標實施攻擊過程。惡意代碼的攻擊模型任務3網絡防御技術任務引入現在小白了解了網絡攻擊的幾種方式，小東接下給他介紹針對各種方式，應該如何防范呢，也就是網絡防御技術。網絡防御技術分為本身操作系統安全，防火墻及未雨綢繆的入侵檢測。知識準備一、操作系統安全基礎1．常用操作系統概述目前服務器常用的操作系統有Linux和Window，這些操作系統都是符合C2以上安全級別的操作系統，但是都存在少漏洞，如果對這些漏洞不了解，不采取相應的安全措施，就會使操作系統完全暴露給入侵者。（1）Linux操作系統（2）Windows操作系統1）支持多種網絡協議。2）內置Internet功能。3）支持NTFS文件系統。2．安全操作系統的基本概念安全操作系統涉及很多概念，如主體和客體、安全策略和安全模型、訪問監控器和安全內核及可信計算基。（1）主體和客體（2）安全策略和安全模型（3）訪問監控器和安全內核引用驗證機制需要同時滿足以下三個原則：1）必須具有自我保護能力；2）必須總是處于活躍狀態：3）必須設計得足夠小，以利于分析和測試，從而能夠證明它的實現是正確的。3．安全操作系統的機制安全操作系統的機制包括：硬件安全機制，操作系統的安全標識與鑒別，訪問控制、最小特權管理、可信通路和安全審計。（1）存儲保護（2）運行保護（3）I/O保護訪問監控器的控制思想4．代表性的安全模型安全模型就是對安全策略所表達的安全需求的簡單、抽象和無歧義的描述，它為安全策略和它的實現機制之間的關聯提供了一種框架。安全模型描述了對某個安全策略需要用哪種機制來滿足。5．操作系統安全體系結構建立一個計算機系統往往需要滿足許多要求，如安全性要求、性能要求、可擴展性要求、容量要求、使用的方便性要求和成本要求等，這些要求往往是有沖突的，為了把它們協調地納入一個系統中并有效實現，對所有的要求都予以最大可能滿足通常是很困難的，有時也是不可能的。一個計算機系統的安全體系結構，特別是安全操作系統，主要包含如下4方面的內容。（1）詳細描述系統中安全相關的所有方面，包括系統可能提供的所有安全服務及保護系統自身安全的所有安全措施，描述方式可以用自然語言，也可以用形式語言。（2）在一定的抽象層次上描述各個安全相關模塊之間的關系。（3）提出指導設計的基本原理。根據系統設計的要求及工程設計的理論和方法，明確系統設計的各方面的基本原則。（4）提出開發過程的基本框架及對應于該框架體系的層次結構。二、防火墻1．防火墻的概念及作用網絡防火墻簡稱防火墻，當然，既然打算由淺入深的來了解，就要先看看防火墻的概念了。防火墻是汽車中一個部件的名稱。在汽車中，利用防火墻把乘客和引擎隔開，以便汽車引擎一旦著火，防火墻不但能保護乘客安全，而同時還能讓司機繼續控制引擎。再電腦術語中，當然就不是這個意思了，我們可以類比來理解，在網絡中，所謂“防火墻”，是指一種將內部網和公眾訪問網（如Internet）分開的方法，它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度，它能允許你“同意”的人和數據進入你的網絡，同時將你“不同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡。（1）防火墻的功能（2）什么是防火墻（3）ICF工作原理（4）防火墻的種類2．防火墻主要類型（1）網絡層防火墻（2）應用層防火墻（3）數據庫防火墻2．防火墻主要類型（1）網絡層防火墻（2）應用層防火墻（3）數據庫防火墻三、入侵檢測入侵檢測系統（IntrusionDetectionSystem，IDS）指的是一種硬件或者軟件系統，該系統對系統資源的非授權使用能夠做出及時的判斷、記錄和報警。入侵者可分為兩類：外部入侵者和內部入侵者。外部入侵者一般指來自局域網外的非法用戶和訪問受限制資源的內部用戶：內部入侵者指假扮或其他有權訪問敏感數據的內部用戶或者是能夠關閉系統審計的內部用戶，內部入侵者不僅難以發現而且更具有危險性。入侵檢測是一種增強系統安全的有效方法，能檢測出系統中違背系統安全性規則或者威脅到系統安全的活動。1．入侵檢測系統面臨的挑戰沒有一個入侵檢測能避免誤報，因為沒有一個應用系統不會發生錯誤，原因主要有4個方面。（1）缺乏共享數據的機制。（2）缺乏集中協調的機制。（3）缺乏揣摩數據在一段時間內變化的能力。（4）缺乏有效的跟蹤分析。2．入侵檢測的方法（1）靜態配置分析（2）異常性檢測方法（3）基于行為的檢測方法3．入侵檢測的步驟（1）信息收集（2）數據分析1）異常入侵檢測

2）濫用入侵檢測3）異常入侵檢測與濫用入侵檢測的優缺點4．響應（1）將分析結果記錄在日志文件中，并產生相應的報告。（2）觸發警報，如在系統管理員的桌面上產生一個告警標志位，向系統管理員發送傳呼或電子郵件，等等。（3）修改入侵檢測系統或目標系統，如終止進程、切斷攻擊者的網絡連接或更改防火墻配置等。任務4網絡故障診斷任務引入小白近期上網時網絡經常時斷時續，有時卡的不行，宿舍同學也是這種情況，于是過來找小東看是不是自己電腦又被攻擊了。小東過去檢查了一下，發現是僅僅是網絡故障。那么一般故障排除的流程是什么？故障排除的工具又有哪些呢？知識準備一、網絡故障診斷在排除網絡中出現的故障時，使用非系統化的方法可能會浪費大量寶貴的時間及資源，事倍功半，使用系統化的方法往往更為有效。系統化的方法流程如下：定義特定的故障現象，根據特定現象推斷出可能發生故障的所有潛在問題，直到故障現象不再出現為止。圖給出了一般故障排除模型的處理流程。這一流程并不是解決網絡故障時必須嚴格遵守的步驟，只是為建立特定網絡環境中故障排除的流程提供了基礎。

一般性故障問題的解決模型（1）在分析網絡故障時，要對網絡故障有個清晰的描述，并根據故障的一系列現象以及潛在的癥結來對其進行準確的定義。（2）收集有助于確定故障癥結的各種信息。（3）依據所收集到的各種信息考慮可能引發故障的癥結。（4）根據剩余的潛在癥結制定故障的排查計劃。（5）實施制定好的故障排除計劃，認真執行每一步驟，同時進行測試，查看相應的現象是否消失。（6）當做出一處改動時，要注意收集相應操作的反饋信息。（7）分析相應操作的結果，并確定故障是否已被排除。（8）如果故障依然存在，就得針對剩余的潛在癥結中最可能的一個制定相應的故障排除計劃。二、網絡故障排除工具排除網絡故障的常用工具有多種，總的來說可以分為三類：設備或系統診斷命令、網絡管理工具以及專用故障排除工具。1．設備或系統診斷命令Show：可以用于監測系統的安裝情況與網絡的正常運行狀況，也可以用于對故障區域的定位。debug：幫助分離協議和配置問題。ping：用于檢測網絡上不同設備之間的連通性。trace：可以用于確定數據包在從一個設備到另一個設備直至目的地的過程中所經過的路徑。2．網絡管理工具一些廠商推出的網絡管理工具（如CiscoWorks，HPOpenView等）都含有監測以及故障排除功能，這有助于對網絡互聯環境的管理和故障的及時排除。3．專用故障排除工具在許多情況下，專用故障排除工具可能比設備或系統中集成的命令更有效。（1）歐姆表、數字萬用表及電纜測試器（2）時域反射計與光時域反射計（3）斷接盒、智能測試盤和位/數據塊錯誤測試器（4）網絡監測器

（5）網絡分析儀大多數的網絡分析儀能夠實現以下功能。

按照特定的標準對通信數據進行過濾，例如，可以截獲發送給特定設備及特定設備發出所有信息。為截獲的數據加上時間標簽。以便于閱讀的方式展示協議層數據信息。生成數據幀，并將其發送到網絡中。與某些系統配合使用，系統為網絡分析儀提供一套規則，并結合網絡的配置信息及具體操作，實現對網絡故障的診斷與排除，或者為網絡故障提供潛在的排除方案。三、網絡故障分層診斷1．物理層及其診斷物理層是OSI分層結構體系中最基礎的一層，它建立在通信媒體的基礎上，實現系統和通信媒體的物理接口，為數據鏈路實體之間進行透明傳輸，為建立、保持和拆除計算機和網絡之間的物理連接提供服務。2．數據鏈路層及其診斷數據鏈路層的主要任務是使網絡層無須了解物理層的特征而獲得可靠的傳輸。數據鏈路層為通過鏈路層的數據進行打包和解包、差錯檢測和一定的校正能力，并協調共享介質。在數據鏈路層交換數據之前，協議關注的是形成幀和同步設備。查找和排除數據鏈路層的故障，需要查看路由器的配置，檢查連接端口的共享同一數據鏈路層的封裝情況。3．網絡層及其診斷網絡層提供建立、保持和釋放網絡層連接的手段，包括路由選擇、流量控制、傳輸確認、中斷、差錯及故障恢復等。排除網絡層故障的基本方法是沿著從源到目標的路徑查看路由器路由表，同時檢查路由器接口的IP地址。4．應用層及其診斷應用層提供最終用戶服務，如文件傳輸、電子信息、電子郵件和虛擬終端接入等。排除網絡層故障的基本方法是首先在服務器上檢查配置，測試服務器是否正常運行，如果服務器沒有問題再檢查應用客戶端是否正確配置。任務5常用網絡故障測試命令工具任務引入小東在排查小白網絡故障問題時用到一些命令，小白覺得很酷啊，這些命令都是什么呢？小白要學習一下，這些常用的命令ping指令、ipconfig指令、netstat指令及net指令都如何使用呢？知識準備一、ping指令ping指令通過發送ICMP包來