1、网络管理员入门入侵检测管理员必要掌握惯用命令一、ping 它是用来检查网络与否畅通或者网络连接速度命令。它所运用原理是这样:网络上机器均有唯一拟定IP地址,咱们给目的IP地址发送一种数据包,对方就要返回一种同样大小数据包,依照返回数据包咱们可以拟定目的主机存在,可以初步判断目的主机操作系统等。在DOS窗口中键入:ping /? 回车。所示如下协助画面:-t 表达将不间断向目的IP发送数据包,直到咱们逼迫其停止。试想,如果你使用100M宽带接入,而目的IP是56K小猫,那么要不了多久,目的IP就由于承受不了这样多数据而掉线,呵呵,一次袭击就这样简朴实现了。 -l 定义发送数据包大小,默以为32字
2、节,咱们运用它可以最大定义到65500字节。结合上面简介-t参数一起使用,会有更好效果哦。 -n 定义向目的IP发送数据包次数,默以为3次。如果网络速度比较慢,3次对咱们来说也挥霍了不少时间,由于当前咱们目仅仅是判断目的IP与否存在,那么就定义为一次吧。 阐明一下,如果-t 参数和 -n参数一起使用,ping命令就以放在背面参数为原则,例如ping IP -t -n 3,虽然使用了-t参数,但并不是始终ping下去,而是只ping 3次。此外,ping命令不一定非得ping IP,也可以直接ping主机域名,这样就可以得到主机 IP。 下面咱们举个例子来阐明一下详细用法。 这里time=2表达
3、从发出数据包到接受到返回数据包所用时间是2秒,从这里可以判断网络连接速度大小 。从TTL返回值可以初步判断被 ping主机操作系统,之因此说初步判断是由于这个值是可以修改。这里TTL=32表达操作系统也许是win98。 (小知识:如果TTL=128,则表达目的主机也许是Win;如果TTL=250,则目的主机也许是Unix) 至于运用ping命令可以迅速查找局域网故障,可以迅速搜索最快QQ服务器,可以对别人进行ping袭击这些就靠人们自己发挥了。 二、nbtstat (查看远程计算机MAC地址) NBTSTAT命令可以用来查询网络机器NetBIOS信息及机器MAC地址。此外,它还可以用来消除Ne
4、tBIOS高速缓存器和预加载LMHOSTS文献。这个命令在进行安全检查时非常有用。用法:nbtstat -a RemoteName -A IP_address -c -n -R -r -S-sinterval参数-a列出为其主机名提供远程计算机名字表。-A列出为其IP地址提供远程计算机名字表。-c列出涉及了IP地址远程名字高速缓存器。-n列出本地NetBIOS名字。-r列出通过广播和WINS解析名字。-R消除和重新加载远程高速缓存器名字表。-S列出有目地IP地址会话表。-s列出会话表对话。NBTSTAT生成列标题具备如下含义:Input接受到字节数。Output发出字节数。In/Out无论是从
5、计算机(出站)还是从另一种系统连接到本地计算机(入站)。Life在计算机消除名字表高速缓存表当前“度过”时间。Local Name为连接提供本地NetBIOS名字。Remote Host远程主机名字或IP地址。Type一种名字可以具备两个类型之一:unique or group在16个字符NetBIOS名中,最后一种字节往往有详细含义,由于同一种名可以在同一台计算机上浮现多次。这表白该名字最后一种字节被转换成了16进制。StateNetBIOS连接将在下列“状态”(任何一种)中显示:状态含义:Accepting:进入连接正在进行中。Associated:连接端点已经建立,计算机已经与IP地址联
6、系起来。Connected:这是一种好状态!它表白您被连接到远程资源上。Connecting:您会话试着解析目地资源名字-IP地址映射。Disconnected:您计算机祈求断开,并等待远程计算机作出这样反映。Disconnecting:您连接正在结束。Idle:远程计算机在当前会话中已经打开,但当前没有接受连接。Inbound:入站会话试着连接。Listening:远程计算机可用。Outbound:您会话正在建立TCP连接。Reconnecting:如果第一次连接失败,就会显示这个状态,表达试着重新连接.下面是一台机器NBTSTAT反映样本:C:nbtstat CA x.x.x.xNetBI
7、OS Remote Machine Name TableName Type StatusDATARAT UNIQUE RegisteredR9LABS GROUP RegisteredDATARAT UNIQUE RegisteredDATARAT UNIQUE RegisteredGHOST UNIFQUE RegisteredDATARAT UNIQUE RegisteredMAC Address = 00-00-00-00-00-00您通过下表能掌握关于该机器哪些知识呢?名称编号类型使用:00 U 工作站服务01 U 邮件服务_M好好学习ROWSE_ 01 G 主浏览器03 U 邮件服务
8、06 U RAS服务器服务1F U NetDDE服务20 U 文献服务器服务21 U RAS客户机服务22 U Exchange Interchange23 U Exchange Store24 U Exchange Directory30 U 调制解调器共享服务器服务31 U 调制解调器共享客户机服务43 U SMS客户机远程控制44 U SMS管理远程控制工具45 U SMS客户机远程聊天46 U SMS客户机远程传播4C U DEC Pathworks TCP/IP服务52 U DEC Pathworks TCP/IP服务87 U Exchange MTA6A U Exchange IM
9、CBE U网络监控代理BF U网络监控应用03 U邮件服务00 G域名1B U域主浏览器1C G域控制器1D U主浏览器1E G浏览器服务选取1C G Internet信息服务器00 U Internet信息服务器2B U Lotus Notes服务器IRISMULTICAST 2F G Lotus NotesIRISNAMESERVER 33 G Lotus NotesForte_$ND800ZA 20 U DCA Irmalan网关服务Unique (U):该名字也许只有一种分派给它IP地址。在网络设备上,一种要注册名字该命令使用TCP/IP上NetBIOS显示合同记录和当前TCP/IP连
10、接,使用这个命令你可以得到远程主机NETBIOS信息,例如顾客名、所属工作组、网卡MAC地址等。在此咱们就有必要理解几种基本参数。 -a 使用这个参数,只要你懂得了远程主机机器名称,就可以得到它NETBIOS信息(下同)。 -A 这个参数也可以得到远程主机NETBIOS信息,但需要你懂得它IP。 -n 列出本地机器NETBIOS信息。 当得到了对方IP或者机器名时候,就可以使用nbtstat命令来进一步得到对方信息了,这又增长了咱们入侵保险系数。 三、netstat Netstat用于显示与IP、TCP、UDP和ICMP合同有关记录数据,普通用于检查本机各端口网络连接状况。如果你计算机有时候接
11、受到数据报导致出错数据或故障,你不必感到奇怪,TCP/IP可以容许这些类型错误,并可以自动重发数据报。但如果合计出错状况数目占到所接受IP数据报相称大比例,或者它数目正迅速增长,那么你就应当使用Netstat查一查为什么会浮现这些状况了。 Netstat 详细参数列表(Winxp)C:netstat /?显示合同记录信息和当前 TCP/IP 网络连接。NETSTAT -a -b -e -n -o -p proto -r -s -v interval -a 以机器名字显示所有连接和监听端口。-n 以数字形式显示地址和端标语。-b 显示包括于创立每个连接或监听端口可执行组件。在某些状况下已知可执行
12、组件 拥有各种独立组件,并且在这些状况下包括于创立连接或监听端口组件序列被显示。 这种状况下,可执行组件名在底部 中,顶部是其调用组件,等等,直到 TCP/IP 某些。注意此选项也许需要很长时间,如果没有足够权限也许失败。 -e 显示以太网记录信息。此选项可以与 -s 选项组合使用。 -o 显示与每个连接有关所属进程 ID。 -p proto 显示 proto 指定合同连接;proto 可以是 下列合同之一:TCP、UDP、TCPv6 或 UDPv6。 如果与 -s 选项一起使用以显示按合同记录信息,proto 可以是下列合同之一: IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、
13、UDP 或 UDPv6。 -r 显示路由表。(和route print命令相似功能) -s 显示按合同记录信息。默认地,显示 IP、 IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 和 UDPv6 记录信息; -p 选项用于指定默认状况子集。 -v 与 -b 选项一起使用时将显示包括于 为所有可执行组件创立连接或监听端口 组件。 interval 重新显示选定记录信息,每次显示之间 暂停时间间隔(以秒计)。按 CTRL+C 停止重新 显示记录信息。如果省略,netstat 显示当前 配备信息(只显示一次)(Win)C:netstat /?Displays protocol sta
14、tistics and current TCP/IP network connections.NETSTAT -a -e -n -s -p proto -r interval -a Displays all connections and listening ports. -e Displays Ethernet statistics. This may be combined with the -s option. -n Displays addresses and port numbers in numerical form. -p proto Shows connections for
15、the protocol specified by proto;proto may be TCP or UDP. If used with the -s option to display per-protocol statistics,proto may be TCP,UDP,or IP. -r Displays the routing table. -s Displays per-protocol statistics. By default,statistics are shown for TCP,UDP and IP;the -p option may be used to speci
16、fy a subset of the default. interval Redisplays selected statistics,pausing interval seconds between each display. Press CTRL+C to stop redisplaying statistics. If omitted,netstat will print the current configuration information once.Netstat某些惯用选项netstat -s本选项可以按照各个合同分别显示其记录数据。如果你应用程序(如Web浏览器)运营速度比较
17、慢,或者不能显示Web页之类数据,那么你就可以用本选项来查看一下所显示信息。你需要仔细查看记录数据各行,找到出错核心字,进而拟定问题所在。 netstat -e本选项用于显示关于以太网记录数据。它列出项目涉及传送数据报总字节数、错误数、删除数、数据报数量和广播数量。这些记录数据既有发送数据报数量,也有接受数据报数量。这个选项可以用来记录某些基本网络流量。 netstat -r本选项可以显示关于路由表信息,类似于背面所讲使用route print命令时看到信息。除了显示有效路由外,还显示当前有效连接。 netstat -a本选项显示一种所有有效连接信息列表,涉及已建立连接(ESTABLISHED
18、),也涉及监听连接祈求(LISTENING)那些连接,断开连接(CLOSE_WAIT)或者处在联机等待状态(TIME_WAIT)等(ESTABLISHED) 建立连接(LISTENING) 监听连接祈求(CLOSE_WAIT) 断开连接(TIME_WAIT) 联机等待netstat -n显示所有已建立有效连接。 微软公司故意将这个功能强大命令隐藏起来是由于它对于普通顾客来说有些复杂。咱们已经懂得:Netstat它可以用来获得你系统网络连接信息(使用端口,在使用合同等 ),收到和发出数据,被连接远程系统端口,Netstat在内存中读取所有网络信息。 在Internet RFC原则中,Netsta
19、t定义是: Netstat是在内核中访问网络及有关信息程序,它能提供TCP连接,TCP和UDP监听,进程内存管理有关报告。 对于好奇心极强人来说,紧紧有上面理论是远远不够,接下来咱们来详细解释一下各个参数使用,看看执行之后会发生什么,显示信息又是什么意思,好了,废话不说了,让咱们一起来实践一下吧:)C:netstat -aActive Connections Proto Local Address Foreign Address State TCP Eagle:ftp Eagle:0 LISTENING TCP Eagle:telnet Eagle:0 LISTENING TCP Eagle:
20、smtp Eagle:0 LISTENING TCP Eagle:http Eagle:0 LISTENING TCP Eagle:epmap Eagle:0 LISTENING TCP Eagle:https Eagle:0 LISTENING TCP Eagle:microsoft-ds Eagle:0 LISTENING TCP Eagle:1030 Eagle:0 LISTENING TCP Eagle:6059 Eagle:0 LISTENING TCP Eagle:8001 Eagle:0 LISTENING TCP Eagle:8005 Eagle:0 LISTENING TCP
21、 Eagle:8065 Eagle:0 LISTENING TCP Eagle:microsoft-ds localhost:1031 ESTABLISHED TCP Eagle:1031 localhost:microsoft-ds ESTABLISHED TCP Eagle:1040 Eagle:0 LISTENING TCP Eagle:netbios-ssn Eagle:0 LISTENING TCP Eagle:1213 218.85.139.65:9002 CLOSE_WAIT TCP Eagle:2416 219.133.63.142:https CLOSE_WAIT TCP E
22、agle:2443 219.133.63.142:https CLOSE_WAIT TCP Eagle:2907 192.168.1.101:2774 CLOSE_WAIT TCP Eagle:2916 192.168.1.101:telnet ESTABLISHED TCP Eagle:2927 219.137.227.10:4899 TIME_WAIT TCP Eagle:2928 219.137.227.10:4899 TIME_WAIT TCP Eagle:2929 219.137.227.10:4899 ESTABLISHED TCP Eagle:3455 218.85.139.65
23、:9002 ESTABLISHED TCP Eagle:netbios-ssn Eagle:0 LISTENING UDP Eagle:microsoft-ds *:* UDP Eagle:1046 *:* UDP Eagle:1050 *:* UDP Eagle:1073 *:* UDP Eagle:1938 *:* UDP Eagle:2314 *:* UDP Eagle:2399 *:* UDP Eagle:2413 *:* UDP Eagle:2904 *:* UDP Eagle:2908 *:* UDP Eagle:3456 *:* UDP Eagle:4000 *:* UDP Ea
24、gle:4001 *:* UDP Eagle:6000 *:* UDP Eagle:6001 *:* UDP Eagle:6002 *:* UDP Eagle:6003 *:* UDP Eagle:6004 *:* UDP Eagle:6005 *:* UDP Eagle:6006 *:* UDP Eagle:6007 *:* UDP Eagle:6008 *:* UDP Eagle:6009 *:* UDP Eagle:6010 *:* UDP Eagle:6011 *:* UDP Eagle:1045 *:* UDP Eagle:1051 *:* UDP Eagle:netbios-ns *:* UDP Eagle:netbios-dgm *:* UDP Eagle:netbios-ns *:* UDP Eagle:netbios-dgm *:*咱们拿其中一行来解释吧:Proto Local Address Foreign Address StateTCP Eagle:2929 219.137.227.10:4899 ESTABLISHED合同(Proto):TCP,指是传播层通讯合同(什么?不懂?请用XX搜索TCP,OSI七层和TCP/IP四层可是基本_)本地机器名(LocalAddress):Eagle,俗称计算机名了,安装系统时设立,可以在“我电脑”属性中修改,
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1