12常見網(wǎng)絡(luò)故障診斷與排除要點(diǎn)

1、12常見網(wǎng)絡(luò)故障診斷與排除掌握應(yīng)用 PING, IPCONFIG ARP TRACERT ROUTE命令診斷和排除網(wǎng)絡(luò)故障的方法 掌握使用NBTSTAT NETSTAT PATHPIN笳令查看網(wǎng)絡(luò)統(tǒng)計和路徑信息的方法 掌握根據(jù)網(wǎng)絡(luò)故障現(xiàn)象使用相應(yīng)命令檢測并解除故障的操作掌握常用網(wǎng)絡(luò)管理工具軟件的使用計算機(jī)網(wǎng)絡(luò)管理人員在管理計算機(jī)網(wǎng)絡(luò)的過程當(dāng)中，碰到網(wǎng)絡(luò)發(fā)生故障在所難免，及時地針對故障進(jìn) 行診斷與排除，能夠避免不必要的損失，確保網(wǎng)絡(luò)的正常運(yùn)行。在微軟的Win dows系統(tǒng)中，自帶了一些網(wǎng)絡(luò)管理的工具，計算機(jī)網(wǎng)絡(luò)管理人員可以借助這些工具，快速、有效地找出故障并且排除故障，使網(wǎng)絡(luò)暢 通無阻。12.1

2、用ping命令測試網(wǎng)絡(luò)連通性與故障排除ping命令有助于驗(yàn)證網(wǎng)絡(luò)層的連通性。管理員在進(jìn)行故障排除時，可以使用ping命令向目標(biāo)計算機(jī)名或IP地址發(fā)送ICMP回顯請求，目標(biāo)計算機(jī)會返回回顯應(yīng)答，如果目標(biāo)計算機(jī)不能返回回顯應(yīng)答，說 明在源計算機(jī)和目標(biāo)計算機(jī)之間網(wǎng)絡(luò)通路上存在問題，需進(jìn)一步檢查解決。ping是Windows操作系統(tǒng)中集成的一個 TCP/IP協(xié)議探測工具，它只能在有TCP/IP協(xié)議的網(wǎng)絡(luò)中使用。 ping命令的格式：ping 參數(shù)1參數(shù)2目的地址如果不知道ping命令有哪些參數(shù)的話，只要在命令提示符中鍵入ping命令，就能得到詳細(xì)的ping參數(shù)，如圖12-1所示。圖12-1 ping

3、參數(shù)12.1.1 連通性測試通常用ping 命令測試時，首先測試本機(jī)TCP/IP配置是否正確，然后再測試本機(jī)與默認(rèn)網(wǎng)關(guān)的連通性， 最后測試本機(jī)與遠(yuǎn)程計算機(jī)的連通性。下面是故障檢測和故障排除的基本步驟。(假如本地網(wǎng)段為/24 ，默認(rèn)網(wǎng)關(guān)為 54 )(1) 用ping命令測試環(huán)回地址驗(yàn)證在本地計算機(jī)上的 TCP/IP配置是否正確，如果測試結(jié)果不通，應(yīng)檢查本臺計算機(jī)的 TCP/IP協(xié)議是否安裝，W indows系列操作系統(tǒng)默認(rèn)情況下是已經(jīng)安裝，一般情況下，測試環(huán)回地址都能通過，如果不 能測試成功，則需重新安裝TCP/IP協(xié)議，然后再進(jìn)行測試。測試命令如下：

4、例如：C:ping ( 為環(huán)回地址)，測試結(jié)果見圖12-2。圖12-2 用ping命令測試環(huán)回地址的測試結(jié)果(2) 用ping命令測試本地計算機(jī)的IP地址用ping命令測試本地計算機(jī)的IP地址，可以測試出本地計算機(jī)的網(wǎng)卡驅(qū)動是否正確，IP地址設(shè)置是否正確，本地連接是否被關(guān)閉。如果能正常ping通，說明本地計算機(jī)網(wǎng)絡(luò)設(shè)置沒有問題，如果不能正常ping通，則要檢查本地計算機(jī)的網(wǎng)卡驅(qū)動是否正確，IP地址設(shè)置是否正確，本地連接是否被關(guān)閉，以上幾點(diǎn)一一排查，直到能正常ping通本地計算機(jī)的IP地址。下面是具體的例子，該例子中假如本地計算機(jī)的IP 地址是 192.168

5、.1.2。例如：C:ping ，測試結(jié)果見圖12-3。圖12-3 用ping命令測試本地計算機(jī)的IP地址的測試結(jié)果（3）用ping測試默認(rèn)網(wǎng)關(guān)用ping測試默認(rèn)網(wǎng)關(guān)的IP地址，可以驗(yàn)證默認(rèn)網(wǎng)關(guān)是否運(yùn)行以及默認(rèn)網(wǎng)關(guān)能否與本地網(wǎng)絡(luò)上的計算機(jī)通信。如果能正常ping通，說明默認(rèn)網(wǎng)關(guān)正常運(yùn)行，本地網(wǎng)絡(luò)的物理連接正常。如果不能正常ping通,則要檢查默認(rèn)網(wǎng)關(guān)是否正常運(yùn)行，本地網(wǎng)絡(luò)的物理連接是否正常，需要分別檢查，直到能正常ping通默認(rèn)網(wǎng)關(guān)。用ping測試默認(rèn)網(wǎng)關(guān)的IP地址在ping命令后面直接跟默認(rèn)網(wǎng)關(guān)的IP地址就可以了，下面的例子中假如默認(rèn)網(wǎng)關(guān)的IP地址是192.168.128

6、.254，具體命令如下。例如：C:ping 54，測試結(jié)果見圖 12-4。hicrosoft Windows XP5.1.2G001 版權(quán)所有 1985-2001 Microsoft Corp.C： XDocunents and Sett Ings Mldmin istratorp ing 192-16B.129-2&4pinging 192 168,254 with 32 h;/tes of data；Feply Fcply Rpply Replyfrom from from from192.16S_128.254：54=192.16B.1

7、28.254：54：hytes=32 hytes=32 bytes =32 bytes=32time lns t in)elns t in&lns t ime 圖12-4 用ping測試默認(rèn)網(wǎng)關(guān)的測試結(jié)果（4）用ping命令測試遠(yuǎn)程計算機(jī)的IP地址用ping命令測試遠(yuǎn)程計算機(jī)的IP地址可以驗(yàn)證本地網(wǎng)絡(luò)中的計算機(jī)能否通過路由器與遠(yuǎn)程計算機(jī)正常通信。如果能正常ping通，說明默認(rèn)網(wǎng)關(guān)（路由器）正常路由。假如遠(yuǎn)程計算機(jī)的IP地址是00 ，可以用如下的命令實(shí)現(xiàn)。例如：C:ping 00，測試結(jié)果見圖 12-5。C： XDoc

8、unents 且nd Set：t in密192-1S9-100.100Pinging 192-168-100-100 uith 32 bytes of 直孔七日=fieply fron Keply Fpou Reply Fron vtepljr from192.168.1M. IBB：192.lGfi.190.lQ9：192.ie8.lM0.100：192168.100.IBB：Jbytes -32 bytes =32 biltes=32 bytes=32TTL=127TTL=127TTL=127TTL-127Ping stat istics for 192*168,100.100：Packe

9、ts: Sent = Received =七 Lost = ft ping 20030217-2032 ，測試結(jié)果見圖 12-6。C : Docunents and Sett Ings XAdnin is2721032Pinging 20030217-2032 192 -168.12b .205 J tilth 32 bites of data阻ply frun 險ply fron epl f ron Reply fron192.1&8.128.20S： 192.16B.12B.2B5： 192.168.12S.205： 192.168.128.bytes=32 bytes-32 bytes

10、32 bytes32timelm5 t imelm5 tiinelinis t imeping -n 50 -l 04數(shù)娜度Microsoft Windows XP5.1.26001 版樁所肴 1985-2001 Microsoft Coi-p.C-Docunents nd Settin9sAtdniinistFatorping 10 -1 1B00 192128a204Pinging 04 with 1000 bytes of data-目標(biāo)地址Reply Reply Repl ReplF Reply Reply Replv Reply R

11、eply Replvfrom f i*om f ipon from f ron frontf rofl f ron f rom From04= 192.16B.128.204： 04= 192.16B.128.2B4： 192.lfi8.12S.2B4： 04= 192.16S.128.204： 192-168.128.204： 04= 04：bytes=1000 bsrtes -1000 bytes=1030 bytes =1000 bytes =1000 bi/

12、tes=1000 bytes =1000 b/tes 1000 b/tes=100y bytes 1000tinelmst imelmis t imelims t imes t imeliTis t ineClvns t iirielRS t inie圖12-7 用ping命令測試網(wǎng)絡(luò)對數(shù)據(jù)包的處理能力的測試結(jié)果1另外還可以用ping命令的-t ”參數(shù)，該命令將一直執(zhí)行下去，只有用戶按下Control-C ”鍵中斷才能停止，根據(jù)命令執(zhí)行的結(jié)果可以查看網(wǎng)絡(luò)對數(shù)據(jù)包處理能力(例如丟包率，響應(yīng)時間等)，測試結(jié)果見圖 12-8。圖12-8 用ping命令測試網(wǎng)絡(luò)對數(shù)據(jù)包的處理能力的測試結(jié)果2(3) 用

13、ping命令探測IP數(shù)據(jù)包經(jīng)過的路徑為了清楚網(wǎng)絡(luò)結(jié)構(gòu)，了解數(shù)據(jù)包經(jīng)過的路徑，幫助排除網(wǎng)絡(luò)故障，可以通過ping命令的“ -r ”參數(shù)探測IP數(shù)據(jù)包經(jīng)過的路徑，此參數(shù)可以設(shè)定探測經(jīng)過路由的個數(shù)，不過最多只能9個，也就是說只能跟蹤到路徑上9個路由器。下面例子是驗(yàn)證目的計算機(jī)00 并記錄路徑上4個路由器的命令：測試結(jié)果見圖12-9 。例如：C:ping -r 4 00 Documents and Settingsfldiriinistratoipin9 -t* 4 00inging 192.168.10(3.180 ultl

14、i 32 bytes of data：Reply from Eoute:皤ply fromRoute:Reply fromRoute :.Reply fFqh Route:1?2.168.1Q0.10Q： bytes=3254 -B0 - 192.16H_12B.254 192.168.100,100： bytes-3254 -192.168.10B.100 -540B： bytes-32 l?2.168,lflB.25400 -192.1

15、68_128.254192.1CU,100.100 bytes=32192.16R.100.254 -00 -54t ine =lnst imeIns七 me =1rsTTL=127TTL-12?TTL=-127TTL-12?4, Lost讒經(jīng)過路由器圖12-9用ping命令探測IP數(shù)據(jù)包經(jīng)過的路徑的測試結(jié)果(4) 用ping命令判斷目的計算機(jī)操作系統(tǒng)類型有時為了清楚目的計算機(jī)操作系統(tǒng)類型，便于遠(yuǎn)程維護(hù)，可以通過ping命令返回的TTL值大小，粗略判斷目的計算機(jī)的操作系統(tǒng)是Windows系列還是UNIX/Linux系列。一般情況下 Windo

16、ws系列的操作系統(tǒng)返回的TTL值在100130之間，而UNIX/Linux系列的操作系統(tǒng)返回的 TTL值在240255之間，當(dāng)然 TTL 的值在對方的主機(jī)里是可以修改的，測試結(jié)果見圖12-10。C：XDocuments And Sett ingsXxinpin 192.1.2192.16Q.2 uitli 32 bytes of data :ITL128TTL=128TTL=128TTL=12SRepli/ Reply ReplyReplyf rom from f rom f rom192.It8,1.2：：192,168,1.2：192.168-1.2：b9tes=92

17、 bytes =32 bytes =32 bi/tes=32tc inelms timelms t imelms根據(jù)TTL值判斷計算 機(jī)操作系統(tǒng)類型Ping statistics for ：Facket?: Sent = 4, Received = 4, Lost = 0 ipc o n f ig /all計算機(jī)主機(jī)名稱Ulndows IP Conf igurat ionHost Name20030217-2032Dnw Suff ix * .* Node Type .UnknownIP Pouting Enabled. -NoUINS Proxy Enabled ：:H

18、ofcE2r-|_ni J jl_ -r m _lhl. i IEthernet adapter 本地違糕；卑機(jī)物理地址Connectionspecific DNS Suffix .:Descript ion：:ReAltek RTLSI3981Family Fast EthLrnet NICPhysical Address , v . B B:00-0ft-EB-2 5-00-3 0Dhcp Enabled. NoIP Address -05IP配置信息Subnet Mask .255.255.255.BDefault Gateway 192.1GB.12B.254

19、DNS Servers -211.155.23,88211.155-23.203圖12-11計算機(jī)的TCP/IP配置信息1222用ipconfig 命令刷新TCP/IP配置信息1. 使用ipconfig 命令釋放配置信息如果計算機(jī)是通過DHCF服艮務(wù)器動態(tài)獲取IP地址及其他網(wǎng)絡(luò)設(shè)置時，ipconfig 命令的/release ”參數(shù)能取消正在使用的IP并刪除所有網(wǎng)絡(luò)設(shè)置，如圖 12-12C:documents and SettingcXAdninistratoripconfig /releaseWindows IP Conf iuiationEthernet adapter 本地連接：圖12-

20、12使用ipconfig命令釋放配置信息2.使用ipconfig命令刷新配置在對網(wǎng)絡(luò)進(jìn)行故障排除時，管理員如果發(fā)現(xiàn)問題是出在計算機(jī)上的TCP/IP配置方面，而用戶的計算機(jī)是從網(wǎng)絡(luò)中DHCP服務(wù)器獲得的配置的，這時需要使用ipconfig 命令的“ /renew ”參數(shù)更新現(xiàn)有配置或者獲得新配置來解決問題，如圖 12-13G;SDocuments and SettingsXAdminipconFi毎 /renewWindows IP Conf iguration圖12-13使用ipconfig命令刷新配置12.2.3 用ipconfig命令修復(fù)TCP/IP的配置信息TCP/IP配置參數(shù)出錯，導(dǎo)致

21、用戶不能正常使用網(wǎng)絡(luò)，修復(fù)TCP/IP配置參數(shù)是排除這一網(wǎng)絡(luò)故障常用的一種方法，可以用ipconfig命令的/repair ”參數(shù)修復(fù)當(dāng)前計算機(jī)的TCP/IP配置參數(shù)。ipconfig 命令的/repair ”參數(shù)功能非常強(qiáng)大，執(zhí)行可修復(fù)連接的一系列命令。表12-1中列出了 ipconfig 命令的/repair ”參數(shù)調(diào)用的命令與其對應(yīng)的命令行。表12-1 Repair參數(shù)調(diào)用的命令與其對應(yīng)的命令行修復(fù)項(xiàng)目（命令？）對應(yīng)的其他命令行工具檢查是否啟用了 DHCP,如果已啟用，則簽發(fā)廣 播更新來刷新IP地址。無對應(yīng)的命令行工具刷新ARP緩存arp -d *刷新NetBIOS緩存n btstat

22、-R刷新DNS緩存ipc onfig /flushd ns重新注冊WINSn btstat -RR重新注冊DNSipc onfig /registerd nsipconfig 命令的/repair ”參數(shù)使用廣播更新，計算機(jī)將接受來自網(wǎng)絡(luò)上任何DHCP服務(wù)器的任何租約。相比之下，ipconfig 命令的/renew ”參數(shù)將僅更新客戶端已經(jīng)從中獲得一份租約的最后一個DHCP服務(wù)器的現(xiàn)有租約。12.2.4 用ipconfig命令刷新DNS緩存，解決域名解析故障用戶在使用網(wǎng)絡(luò)過程中有時會發(fā)現(xiàn)個別網(wǎng)站不能正常訪問，這可能是DNS客戶端解析程序緩存內(nèi)容不正確，可以用ipconfig 命令的/flush

23、dns ”參數(shù)刷新和重置 DNS客戶端解析程序緩存內(nèi)容，該命令可以從緩存中丟棄緩存項(xiàng)和其他動態(tài)添加項(xiàng)（該命令不刪除從本地hosts文檔中預(yù)加載的項(xiàng)目），運(yùn)行結(jié)果如圖12-14C： xlocunents and Set tingsxin ipconf ig Zf luhdns運(yùn)行結(jié)果顯示Jindous IP ConfigurationSuccessfull flushed the DNS Resolver Cache圖12-14用ipconfig 命令刷新DNS緩存，解決域名解析故障12.2.5 用ipconfig命令啟用DNSg稱動態(tài)注冊解決域名解析故障在網(wǎng)絡(luò)使用過程中，有時出現(xiàn)DNS名稱（域

24、名）注冊錯誤，用戶不能正常通過DNS名稱（域名）方式訪問某些計算機(jī)。 這個問題可以通過手工的方式將計算機(jī)的DNS名稱（域名）和IP地址向DNS服務(wù)器注冊來解決。ipconfig 命令的/registerdns ”參數(shù)提供了該功能，該命令還可以刷新所有的 DHCP地址租約, 并注冊由客戶端配置和使用的所有相關(guān) DNS名稱。12.3使用arp命令解決網(wǎng)絡(luò)故障有時由于網(wǎng)絡(luò)中計算機(jī)的IP地址和MAC地址解析出錯，造成用戶不能相互訪問，這時可以用arp命令查看解決，ARP命令可以顯示和修改“地址解析協(xié)議（ARP”緩存中的項(xiàng)目。ARP緩存中包含一個或多個表，它們用于存儲IP地址及其經(jīng)過解析的 MAC地址。

25、計算機(jī)上安裝的每一個網(wǎng)卡都有自己單獨(dú)的表。arp命令對于查看 ARP緩存和解決地址解析問題非常有用。下面是典型的ARP命令應(yīng)用案例。12.3.1 使用arp命令查看本地計算機(jī)上的 ARP表項(xiàng)查看本地計算機(jī)上的 ARP表項(xiàng)可以用arp命令的“ -a ”參數(shù)，在命令提示符下，鍵入arp - a”即可。例如，如果最近使用過 ping 命令測試并驗(yàn)證從這臺計算機(jī)到 IP地址為 的主機(jī)的連通 性，貝U ARP緩存顯示如圖12-15 :C： xDacuments and SettinguXxzLn卜艮於戸 -aI ntepf *jce: 192 .1SB . 1.2 0x10003I

26、nternet AddressPt)9?icl AddressType1S00-ld-60-5e-43-b2dynamic00-00-00-00-01-fedynamic00-10-c6-ll-8f-3adynamic圖12-15使用arp命令查看本地計算機(jī)上的ARP表項(xiàng)在此例中，緩存項(xiàng)說明IP地址為 的遠(yuǎn)程主機(jī) MAC地址為OO-OO-OO-OO-O1-fe 。12.3.2 使用arp命令在本地計算機(jī)中添加靜態(tài)ARP緩存條目ARP協(xié)議采用廣播的方式實(shí)現(xiàn)IP地址和MAC地址的解析，廣播會占用網(wǎng)絡(luò)大量的帶寬。

27、為了減少ARP協(xié)議的廣播，可以采用靜態(tài)ARP緩存項(xiàng)目，用手工的方式添加ARP緩存條目。添加靜態(tài) ARP緩存條目可以用 arp 命令的“ -s ”參數(shù)，命令格式為“ arp - s ip_address mac_address ”，其中“ ip_address ” 指本地 （在同一子網(wǎng)上）某計算機(jī)的IP地址?！?mac_address” 指本地某計算機(jī)上安裝并使用網(wǎng)卡的MAC地址。下面用具體例子說明該命令的使用。例如，為IP地址是00 , MAC地址是00-10-54-CA-E1-40的本地計算機(jī)添加靜態(tài)ARP緩存條目的命令是：C:arp -s 00 00-10-

28、54-CA-E1-40這里需要說明的是靜態(tài) ARP緩存條目一旦添加，就一直有效，直到重新啟動計算機(jī)。要想讓靜態(tài)ARP緩存項(xiàng)保持不變，可以用arp命令將其添加到系統(tǒng)啟動時運(yùn)行的批處理文件中。12.3.3 使用arp命令刪除本地計算機(jī)上的ARPS存條目在計算機(jī)的ARP緩存表中，由于病毒等原因造成錯誤的ARP緩存條目會造成網(wǎng)絡(luò)中計算機(jī)不能正常通信，可以使用arp命令的“-d”參數(shù)手動刪除那些 ARP緩存項(xiàng)。例如，刪除所有接口上IP地址為 的ARP映射命令為“ arp -d ”。12.4使用nbtstat命令診斷網(wǎng)絡(luò)故障問題nbtstat命令可以顯示基于 T

29、CP/IP的NetBIOS （ NetBT）協(xié)議的統(tǒng)計資料、 本地計算機(jī)和遠(yuǎn)程計算機(jī)的NetBIOS名稱表和 NetBIOS名稱緩存。n btstat 命令可以刷新 NetBIOS名稱緩存和使用 Win dows In ternet 名稱服務(wù)（WINS注冊的名稱。nbtstat命令是解決NetBIOS名稱解析問題的有用工具，可以使用nbtstat命令刪除或更正預(yù)加載的條目，具體如下：nbtstatn btstat -c行通信的其他電腦的nbtstat -Rnbtstat -RRn命令顯示本地計算機(jī)的NetBIOS名稱表。命令NetBIOS名字高速緩存的內(nèi)容。NetBIOS名字高速緩存用于寸放和

30、本電腦最近進(jìn)NetBIOS名字和IP地址對。命令清除名稱緩存，然后從Lmhosts文件重新加載。命令釋放在WINS服務(wù)器上注冊的NetBIOS名稱，然后更新它們的注冊。nbtstat -a name命令顯示名字為name計算機(jī)的 MAC地址和名字列表，所顯示的內(nèi)容就像對方計算機(jī)自己運(yùn)行 nbtstat -n 一樣。例如顯示計算機(jī)名為CORPO7的遠(yuǎn)程計算機(jī)的 NetBIOS名稱表的命 令為“ nbtstat -a CORP07 ”。nbtstat - a IP該命令可以查詢本計算機(jī)所提供的網(wǎng)絡(luò)共享資源名稱，也可查詢計算機(jī)的網(wǎng)卡地址，見圖12-16 :Microsoft Windaus【版本 5

31、2379啊】 版權(quán)所有 1985-2003 MicrosoftNetBIOS遠(yuǎn)程主機(jī)列 表XDaciiEEntw and Sett ingsxinnbtstat -a 192.16S ,1.2本地連接：Node IAddressl 192.1G8.1.2 Scope Id：NetBIOS Remott Machine Name TableNameTypeStatusVAXINVAX1NWORKGROUPWORKGROUPWORKGROUP ._MSBEOWSE. UNIQUE UNIQUE GROUP GROUPUNIQUE GEOUPRegistered Registered Reigter

32、edl Registered Registered RegisteredMAC Address = 00-11-11-B1-D0-A5本機(jī)物理地址C： MJocurtents and Sett ingsxln圖12-16 nbtstat- a IP 命令的運(yùn)行結(jié)果nbtstat -S 列出當(dāng)前的NetBIOS會話及其狀態(tài)（包括統(tǒng)計），見圖12-17 :XDocuments and SettingsXfidministratornbtstat -SNo Connections圖12-17 nbtstat -S命令的運(yùn)行結(jié)果C: n btstat -S本地連接：Node IpAddress: 19

33、1 Scope Id:NetBIOS Conn ection TableLocal Name State In/Out Remote Host In put OutputICEBLOOD Connected Out 2 8MB 316KBICEBLOOD Liste ningICEBLOOD$ Liste ningLIUCEBLOOD Liste ning（?）從上面例子可以知道本地計算機(jī)現(xiàn)在正在和2進(jìn)行會話，看得出是在復(fù)制文件，而且是從對方計算機(jī)往自己的計算機(jī)里復(fù)制。 通過以上命令所得到的信息可以為了解網(wǎng)絡(luò)連接狀況，解決網(wǎng)絡(luò)故障，

34、解除潛在的網(wǎng)絡(luò)威脅提供線索。12.5使用netstat命令診斷網(wǎng)絡(luò)故障問題Netstat命令用于顯示和IP、TCP UDP和 ICMP協(xié)議相關(guān)的統(tǒng)計數(shù)據(jù)，用于檢驗(yàn)本機(jī)各端口的網(wǎng)絡(luò)連 接情況。假如用戶計算機(jī)有時候接收到的數(shù)據(jù)包會導(dǎo)致出錯、數(shù)據(jù)刪除或故障，TCP/IP能夠容許這些類型的錯誤，并能夠自動重發(fā)數(shù)據(jù)包。但假如累計的出錯情況數(shù)目占到所接收的數(shù)據(jù)包相當(dāng)大的百分比，或它 的數(shù)目正迅速增加，那么就應(yīng)該使用netstat命令進(jìn)行診斷，查一查網(wǎng)絡(luò)出了什么問題。Netstat命令可以顯示活動的 TCP連接、計算機(jī)偵聽的端口、以太網(wǎng)統(tǒng)計信息、IP路由表、IPv4統(tǒng)計信息（對于IP、ICMP、TCP和UD

35、P協(xié)議）以及IPv6統(tǒng)計信息（對于 IPv6、ICMPv6、通過IPv6的TCP 以及通過IPv6的UDP協(xié)議）。12.5.1 使用netstat命令顯示以太網(wǎng)統(tǒng)計信息使用netstat命令，可以顯示以太網(wǎng)統(tǒng)計信息，如發(fā)送和接收的字節(jié)數(shù)、數(shù)據(jù)包數(shù)、錯誤數(shù)據(jù)包和廣 播的數(shù)量等。得知網(wǎng)絡(luò)工作的狀況和網(wǎng)絡(luò)整體流量，對于解決網(wǎng)絡(luò)阻塞，制訂不同業(yè)務(wù)數(shù)據(jù)流的優(yōu)化策略 很重要。下面是用 netstat命令的“-e”參數(shù)顯示以太網(wǎng)統(tǒng)計信息的具體的例子，結(jié)果見圖12-18。圖12-18使用netstat命令顯示以太網(wǎng)統(tǒng)計信息若接收錯和發(fā)送錯接近零或全為零，網(wǎng)絡(luò)的接口沒有問題。但當(dāng)這兩個字段有100個以上的出錯分

36、組時就可以認(rèn)為是高出錯率了。高的發(fā)送出錯表示本地網(wǎng)絡(luò)飽和或在計算機(jī)與網(wǎng)絡(luò)之間有不良的物理連接； 高的接收出錯表示整體網(wǎng)絡(luò)飽和、本地計算機(jī)過載或物理連接有問題，可以用ping命令的“-t ”參數(shù)統(tǒng)計誤碼率，進(jìn)一步確定故障的程度。netstat -e和ping命令結(jié)合使用能解決一大部分網(wǎng)絡(luò)故障。12.5.2 使用netstat命令顯示活動的TCP連接顯示活動的TCP連接可以根據(jù)網(wǎng)絡(luò) TCP連接狀況，判斷一些連接是否為非法連接，例如查看是否存在木馬。(1)用netstat命令以數(shù)字形式顯示地址和端口號可以運(yùn)用netstat 命令的“-n ”和“-o ”參數(shù)，其中“-n ”參數(shù)是以數(shù)字形式顯示地址和端

37、口號，“-o參數(shù)顯示每個連接的進(jìn)程ID (PID)，具體例子見圖12-19。Microsoft Uindous XP 版本 5.1.2h00 CO 版權(quán)所有 1985-2001 Microsoft Coi-p.G： Documents and Sett Ings dm inis tFa tor net stato端口4Active ConnectionsP*otoTCPTCPTCPTCPLocal Address05:124905:1799192.168.12B.205:180905:4351Foreign Addr

38、ess63:80007:443117.35-78.230:8054：80SBStatePIDCLOSE_WhlT10?2TTMEWAIT0ESTABLISHED1340ESTABLISHED134BC i Documents and Sett insJ)dmin圖12-19用netstat命令以數(shù)字形式顯示地址和端口號上面例子中顯示本地計算機(jī)和遠(yuǎn)程計算機(jī)的連接狀況，例如“TCP 05:43554:8080 ESTABLISHEDI340”一行表示 IP 地址為 192.16

39、8.128 的本地計算機(jī)通過 TCP的 4351 端口與IP地址為54，端口號為8080的遠(yuǎn)程計算機(jī)的連接，狀態(tài)為“ ESTABLISHED (創(chuàng)建連 接)，當(dāng)前進(jìn)程為1340。(2)用netstat 命令顯示所有活動的 TCP UDP連接以及計算機(jī)偵聽的TCP和UDP端口可以用netstat命令的“ -a ”參數(shù)顯示所有的有效連接信息列表，包括已建立的連接( ESTABLISHED,也包括監(jiān)聽連接請求(LISTENING)的那些連接，斷開連接(CLOSE_WAIT或者處于聯(lián)機(jī)等待狀態(tài)的(TIME_WAIT等。了解這些信息很重要，一方面可以了解網(wǎng)絡(luò)連接狀況，另一方面可以發(fā)

40、現(xiàn)木馬，及時對木馬進(jìn)行查殺，特別是對于一些不明的IP地址連接和狀態(tài)是“ TIME_WAIT的連接更要特別關(guān)注，具體例子見圖12-20。c=v C:1IKDOTSsyst e*32cMd. exehicrosoft Windows HP5.1,2630CO 版權(quán)所有 1985-2B6L Microsoft C4rp.C: Doctments and SettingsXAdministi*atornetstat -aAct iue Connect ionsLocal AddresffFaeiyn AddressStateTCP20030217-2032：http20030217-2032:0L1S

41、TEH1HGTCP20033217-2032:epmap20030217-2032:0LISTENINGTCP20030217-203Z：nicrosoft-ds 20030217-2032=0LISTENINGTCP20030217-2032:434020030217-2032:0LISTENINGTCP2030217-2032:625320030217-2(132:0LISTENINGTCP20030217-2032:102520030217-2032:0LISTEN!MGTCP20030217-2032:3689723030217-2032:0LISTENINGTCP20030217-2

42、032：hetbios-ssn 2B03021?-2032：BLISTENINGTCP20030217-2032:1249121,14.101.163:9000CLOSE.WftlTTCP2003H217-2032：183913：httpwTIME_WfllTTCP20030217-2032:43554:8080ESTABLISHEDUDP200302172032 - nicrosof tdlis *- *UDP20030217-2032:isakmpUDP20030217-2032:1004UDP200313217-2032 ：1S33WUD

43、P20030217-2032:1268UDP20030217-2032:1270圖12-20用netstat 命令顯示所有活動的 TCR UDP連接以及計算機(jī)偵聽的TCP和 UDP端口上例中顯示了連接的狀況，現(xiàn)以“ TCP 20030217-2032:4351 54:8080 ESTABLISHED一行進(jìn)一步解釋，“20030217-2032:4351 ”表示本地計算機(jī)“ 20030217-2032 ”端口號為“ 4351 ”與遠(yuǎn)程計 算機(jī)“ 54 ”端口為“ 8080”正在創(chuàng)建連接。12.5.3 使用netstat命令顯示協(xié)議統(tǒng)計信息可以利用net

44、stat命令的“ -s ”參數(shù)顯示TCP UDP ICMP和IP協(xié)議的統(tǒng)計信息。如果計算機(jī)應(yīng)用程 序（如Web瀏覽器）運(yùn)行速度比較慢，或者不能顯示W(wǎng)eb頁之類的數(shù)據(jù)，那么就可以用該命令來查看一下所顯示的信息，仔細(xì)查看統(tǒng)計數(shù)據(jù)的各行，找到出錯的關(guān)鍵字，進(jìn)而確定問題所在，然后就可以根據(jù)具體 的錯誤解決問題了。下面是具體的命令顯示和顯示內(nèi)容的解釋。（IP統(tǒng)計結(jié)果）（接收包數(shù)）（接收頭錯誤數(shù)）（接收地址錯誤數(shù)）（數(shù)據(jù)報遞送數(shù)）未知協(xié)議接收數(shù)）（接收后丟棄的包數(shù)）接收后轉(zhuǎn)交的包數(shù)）IPv4 StatisticsC: netstat -sPackets Received = 369492Received

45、Header Errors = 0Received Address Errors = 2Datagrams Forwarded = 0Unknown Protocols Received = 0Received Packets Discarded = 4203）（包丟棄數(shù)）（不路由的請求包） （重組的請求數(shù)）（重組成功數(shù)）（重組失敗數(shù)）Received Packets Delivered = 365287 Output Requests = 369066 （請求數(shù)） Routi ng Discards = 0 （路由丟棄數(shù) Discarded Output Packets = 2172 Out

46、put Packet No Route = 0 Reassembly Required = 0 Reassembly Successful = 0 Reassembly Failures = 0（分片成功的數(shù)據(jù)報數(shù)）（分片失敗的數(shù)據(jù)報數(shù)）Datagrams Successfully Fragme nted = 0 Datagrams Faili ng Fragme ntati on = 0 Fragme nts Created = 0（分片建立數(shù)）ICMPv4 Statistics Received Se nt 兩種狀態(tài)）Messages285784Errors00Dest in ation

47、Un reachable 53548Time Exceeded 00Parameter Problems 00Source Quen ches00Redirects00Echos25211Echo Replies 20725Timestamps 00Timestamp Replies 00Address Masks 00Address Mask Replies 00（ICMP統(tǒng)計結(jié)果，包括 Received和Sent（消息數(shù)）（錯誤數(shù)）（無法到達(dá)主機(jī)數(shù)目）（超時數(shù)目）（參數(shù)錯誤）（源夭折數(shù)）（重定向數(shù)）（回應(yīng)數(shù)）（回復(fù)回應(yīng)數(shù)）（時間戳數(shù)）（時間戳回復(fù)數(shù)）（地址掩碼數(shù)）（地址掩碼回復(fù)數(shù)）TCP Statistics for IPv4（TCP統(tǒng)計結(jié)果）Active Ope ns = 5217 （主動打開數(shù)）Passive Ope ns = 80