1、Ping的基礎知識
ping命令相信大家已經再熟悉不過了,但是能把ping的功能發揮到最大的人卻並不是很多,當然我也並不是說我可以讓ping發揮最大的功能,我也只不過經常用ping這個工具,也總結了一些小經驗,現在和大家分享一下。
Ping是潛水艇人員的專用術語,表示迴應的聲納脈衝,在網絡中Ping 是一個十分好用的TCP/IP工具。它主要的功能是用來檢測網絡的連通情況和分析網絡速度。
Ping有好的善的一面也有惡的一面。先說一下善的一面吧。上面已經說過Ping的用途就是用來檢測網絡的連同情況和分析網絡速度,但它是通過什麼來顯示連通呢?這首先要了解Ping的一些參數和返回信息。
2、Ping命令詳解
首先需要打開DOS命令界面,通過點擊開始菜單中的"運行"選項,輸入"cmd", 回車即可打開(如下圖)。
回車後
Ping是Windows、Unix和Linux系統下的一個命令。ping也屬於一個通信協議,是TCP/IP協議的一部分。利用"ping"命令可以檢查網絡是否連通,可以很好地幫助我們分析和判定網絡故障。
使用格式:ping -參數 (中間有個空格)
很多時候大家都只單獨ping 加IP地址,驗證本機到目的IP地址之間的網絡是否連通,其實加上一些參數會獲得不一樣的結果。
1、ping -t 目標主機IP地址
機房的環境有多噪音大家都明白,還有大家也知道在機房呆的時間不宜過長。所以一般我們都有自己的辦公室,然後都能遠程到服務器,服務器重啟時間一般都要10分鐘甚至更久,這個時候一般我都是開著DOS窗口,打上一行命令ping -t 192.168.188.8,然後看著一行"來自 192.168.188.8 的回覆: 無法訪問目標主機。"直到ping通說明服務器重啟成功,無需再進機房。
此時終止ping命令方法:Ctrl+C或者直接關閉窗口
2、ping -a 目標主機IP地址
可以返回主機名。有些單位沒有做電腦資產登記表,知道IP地址不一定知道此時的電腦處在何處。可以通過這個命令查看到主機名,從而快速找到機主。
3、ping -n 目標主機IP地址
有些時候只是測試連通性,ping一兩次就夠了。剩下的兩次ping會提高工作效率。ping -n 2 192.168.2.1
4、ping -l 目標主機IP地址
在默認的情況下windows的ping發送的數據包大小為32byte,也可以自己定義大小,這個自定義功能有時候可以強大到使得目標主機宕機。
Ping是Windows、Unix和Linux系統下的一個命令。ping也屬於一個通信協議,是TCP/IP協議的一部分。利用"ping"命令可以檢查網絡是否連通,可以很好地幫助我們分析和判定網絡故障。
5、ping -f 目標主機IP地址
一般情況ping -f 是和-l 組合使用的,用來測試MTU的大小,-F參數是不分段,而-L是ICMP數據長度。格式為ping -f -l (ICMP數據長度) 目標主機IP地址。MTU是指一種通信協議的某一層上面所能通過的最大數據包大小(以字節為單位)。
例如:ping -f -l 1472 www.baidu.com,如下圖說明最大的MTU值為1472+20+8=1500
MTU=IP頭部長度(20B)+ICMP頭部長度(8B)+ICMP數據長度
6、ping -i 目標主機IP地址
-i 指定發送迴響請求消息的IP標題中的TTL字段值,其默認值是主機的默認TTL值。TTL的主要作用是避免IP包在網絡中的無限循環和收發,節省了網絡資源,並能使IP包的發送者能收到告警消息。很少使用到。
7、ping -v 目標主機IP地址
-v 指定發送迴響請求消息的IP標題中的"服務類型(TOS)"字段值,默認值是0。TOS被指定為0到255的十進制數。如命令中文翻譯提示,不贊成使用。
8、ping -r 目標主機IP地址
這個功能平常網絡排查中經常用到,類似tracert命令。可以查看主機到目標主機之間的所經過的路由,沒有tracert命令功能強大,不過用於查看內部網絡拓撲結構相當好用。ping -r <1-9>最大跳轉路由數值為9
9、ping -r /j/k/w 十幾年來一次都沒用過,忽略。
2、netstat命令基礎詳解
Netstat命令可以幫助我們瞭解網絡的整體使用情況。根據Netstat後面參數的不同,它可以顯示不同的網絡連接信息。Netstat的參數如圖,下面對其中一些參數進行說明。如何檢測本機是否有被中木馬,電腦系統後臺是否已被祕密操控,是否被監聽。今天跟大家講下如何查詢可疑連接,調用任務管理器Ctrl+Shift+ESC組合鍵,找到對應的PID數值,右擊結束進程。
一、netstat命令詳解
1、netstat -a
-a顯示所有連接和偵聽端口,包括本地和遠程系統連接時使用的TCP端口或者UDP端口,在本地機器上的外部連接和我們遠程所連接的系統以及本地和遠程系統連接的狀態,如圖
使用該參數可以查看計算機的系統服務是否正常,判斷系統是否被種上木馬,如果發現不正常的端口與服務,要及時關閉端口或者服務。netstat -a命令還可以作為一種實時入侵檢測工具,判斷是否有外部計算機連接本地計算機。
2、-n參數可以顯示本機和本機相連的外部主機的IP地址,而不像-a參數顯示的只是計算機的NetBios名。
3、-e參數可以顯示以太網統計,聯合-s -p使用。-s顯示每個協議的統計,默認情況下,顯示TCP、UDP和IP協議的統計,再加上-p 就可以指定顯示TCP、UDP還是IP協議其中一種。如圖
4、-r參數可以顯示路由表的內容,類似route print(能讓雙網卡同時工作的非常實用的命令).。
5、-o參數可以顯示本地與外部主機相連的PID數值,taskkill需要通過這個數值才能中斷連接
二、發現可疑連接,調用任務管理器Ctrl+Shift+ESC組合鍵找到對應PID數值的進程
1、有些任務管理器沒有看到PID列,如下圖找出PID列
在任務管理器中找到對應PID數值的進程右擊結束進程。此時還沒有完全抵禦入侵,更徹底點進入組策略新建規則
2、進入組策略命令:Win+R,輸入gpeidt.msc回車
3、根據協議新建IP安全策略--新建端口封堵入侵端口,徹底讓電腦保持安全。
知識拓展
以上我們講到的是常用的命令用法,但是實際上該功能還可以用於很多應用場景,比如可以查下電腦是否有中木馬之類的;假設我這臺電腦沒有打開任何程序,然後發現電腦的網絡數據很大,這時候應該怎麼排查呢?
舉個例子:假設用戶打開任務管理器的時候,發現電腦的網絡數據量很大,如圖所示:
圖4
從以上圖我們可以發現,進程system,pid為4,網絡數據有4.7m多(其實並不是很大,我們只是用來舉個例子),這時候我們電腦並沒有開啟任何的進程,應該不至於產生這麼大的數據量;接下來我們用netstat -ano 查看下當前pid值為"4"的連接情況,如圖所示:
圖5
我們發現,本地電腦有開啟了這4個端口,然後訪問了192.168.251.2服務器的445端口,我們知道445端口一般是用於共享連接的,也有可能是木馬連接,所以我們在dos執行下net use命令,結果如圖所示:
圖6
發現是本地有個映射盤,所以可能產生了數據,把映射盤關閉掉或者執行net use */del,將當前的連接都清空之後,再觀察看看是否還會自動產生連接,如果還會,那可能還得再查查,是本地的哪幾個端口連接了445;可以再利用netstat -ano |findstr (端口號),直接查下是哪個進程產生的端口然後發起連接;
其實也可以通過TCPView工具,直接分析當前的連接情況,這個工具直接運行下,更加直觀,如圖所示:
圖7
相關推薦
