第6章常用網(wǎng)絡(luò)命令

第6章

常用網(wǎng)絡(luò)命令項目1雙機互連對等網(wǎng)絡(luò)的組建

【學(xué)習(xí)目標】熟練掌握TCP/IP傳輸層協(xié)議TCP和UDP。掌握常用的TCP/UDP端口號。掌握常用網(wǎng)絡(luò)命令的使用方法。了解ICMP協(xié)議、ARP協(xié)議和RARP協(xié)議。了解三次握手機制、滑動窗口機制、確認與重傳機制。6.1TCP協(xié)議和UDP協(xié)議TCP協(xié)議和UDP協(xié)議是傳輸層中最重要的兩個協(xié)議。TCP是一種面向連接的、端到端的、可靠的數(shù)據(jù)包傳送協(xié)議，可將一臺主機的字節(jié)流無差錯地傳送到目的主機。UDP則不為IP提供可靠性、流量控制或差錯恢復(fù)功能，它是不可靠的無連接協(xié)議，不要求分組順序到達目的地。6.1.1TCP協(xié)議的格式(1)源端口號和目的端口號：各占16位，標識發(fā)送端和接收端的應(yīng)用進程。1024以下的端口號被稱為知名端口，它們被保留用于一些標準的服務(wù)。(2)序號：占32位，所發(fā)送的消息的第一字節(jié)的序號，用以標識從TCP發(fā)送端和TCP接收端發(fā)送的數(shù)據(jù)字節(jié)流。(3)確認號：占32位，期望收到對方的下一個消息第一字節(jié)的序號。只有在“標識”字段中的ACK位設(shè)置為1時，此序號才有效。(4)首部長度：占4位，以32位為計算單位的TCP報文段首部的長度。(5)保留：占6位，為將來的應(yīng)用而保留，目前置為“0”。(6)標識：占6位，有6個標識位(以下是設(shè)置為1時的意義)。①緊急位(URG)：緊急指針有效。②確認位(ACK)：確認號有效。③急迫位(PSH)：接收方收到數(shù)據(jù)后，立即送往應(yīng)用程序。④復(fù)位位(RST)：復(fù)位由于主機崩潰或其他原因而出現(xiàn)的錯誤的連接。⑤同步位(SYN)：SYN=1，ACK=0表示連接請求消息（第一次握手）；SYN=1，ACK=1表示同意建立連接消息（第二次握手）；SYN=0，ACK=1表示收到同意建立連接消息（第三次握手）。⑥終止位(FIN)：表示數(shù)據(jù)已發(fā)送完畢，要求釋放連接。(7)窗口大小：占16位，滑動窗口協(xié)議中的窗口大小。(8)校驗和：占16位，對TCP報文段首部和TCP數(shù)據(jù)部分的校驗。(9)緊急指針：占16位，當前序號到緊急數(shù)據(jù)位置的偏移量。(10)選項：用于提供一種增加額外設(shè)置的方法，如連接建立時，雙方說明最大的負載能力。(11)填充：當“選項”字段長度不足32位時，需要加以填充。(12)數(shù)據(jù)：來自高層(即應(yīng)用層)的協(xié)議數(shù)據(jù)。6.1.2三次握手機制6.1.3

滑動窗口機制報文1、2、3已發(fā)送且確認；報文4、5已發(fā)送，但至少報文4未確認。假如報文5先確認，報文4后確認，后面的報文還未確認，則窗口一次向前滑動兩個位置。報文4確認之前，窗口是不能滑動的，報文4確認后窗口立即滑動。6.1.4確認與重傳機制TCP建立在一個不可靠的虛擬通信系統(tǒng)上，數(shù)據(jù)的丟失可能經(jīng)常發(fā)生，一般發(fā)送方利用重傳技術(shù)補償數(shù)據(jù)包的丟失。接收方正確接收數(shù)據(jù)包時，要回復(fù)一個確認信息給發(fā)送方；而發(fā)送方發(fā)送數(shù)據(jù)時啟動一個定時器，在定時器超時之前，如果沒有收到確認信息，則重新傳送該數(shù)據(jù)。6.1.5UDP協(xié)議的格式(1)源端口號和目的端口號：標識發(fā)送端和接收端的應(yīng)用進程。(2)報文長度：包括UDP報頭和數(shù)據(jù)在內(nèi)的報文長度值，以字節(jié)為單位，最小為8。(3)校驗和：計算對象包括偽協(xié)議頭、UDP報頭和數(shù)據(jù)。校驗和為可選字段，如果該字段設(shè)置為0，則表示發(fā)送者沒有為該UDP數(shù)據(jù)報提供校驗和。6.1.6TCP/UDP端口端口號被設(shè)計用來區(qū)分運行在單個設(shè)備上的多個應(yīng)用程序。由于在同一臺機器上可能會運行多個網(wǎng)絡(luò)應(yīng)用程序，所以計算機需要確保目的計算機上接收源主機數(shù)據(jù)包的軟件應(yīng)用程序的正確性，以及響應(yīng)能被發(fā)送到源主機的正確應(yīng)用程序上。該過程正是通過使用TCP或UDP端口號來實現(xiàn)的。①知名端口的范圍為0～1023。②注冊端口的范圍為1024～49151。③動態(tài)和/或私有端口的范圍為49152～65535。管理好端口號對于保證網(wǎng)絡(luò)安全有著非常重要的意義，黑客往往通過探測目的主機開啟的端口號進行攻擊。所以，對那些沒有用到的端口號，最好將它們關(guān)閉。6.2ARP和RARP協(xié)議ARP(AddressResolutionProtocol)，即地址解析協(xié)議，實現(xiàn)通過IP地址得知其MAC地址。在以太網(wǎng)協(xié)議中規(guī)定，同一局域網(wǎng)中的一臺主機要和另一臺主機進行直接通信，必須要知道目標主機的MAC地址。6.2.1ARP協(xié)議的工作原理在每臺安裝有TCP/IP協(xié)議的計算機中都有一個ARP緩存表，表里的IP地址與MAC地址是一一對應(yīng)的。以主機A()向主機B()發(fā)送數(shù)據(jù)為例。①當發(fā)送數(shù)據(jù)時，主機A會在自己的ARP緩存表中尋找是否有目的主機B的IP地址。②如果找到了，也就知道了目的主機B的MAC地址，直接把目的主機B的MAC地址寫入幀里面，就可以發(fā)送數(shù)據(jù)幀了。③如果在ARP緩存表中沒有找到目的主機B的IP地址，主機A就會在網(wǎng)絡(luò)上發(fā)送一個廣播：“我是，我的MAC地址是00-aa-00-66-d8-13，請問IP地址為的MAC地址是什么？”④網(wǎng)絡(luò)上其他主機并不響應(yīng)ARP詢問，只有主機B接收到這個幀時，才向主機A做出這樣的回應(yīng)：“的MAC地址是00-aa-00-62-c6-09”。⑤這樣，主機A就知道了主機B的MAC地址，它就可以向主機B發(fā)送信息了。⑥主機A和B還同時都更新了自己的ARP緩存表(因為A在詢問的時候把自己的IP和MAC地址一起告訴了B)，下次A再向主機B或者B向A發(fā)送信息時，直接從各自的ARP緩存表里查找就可以了。⑦ARP緩存表采用了老化機制(即設(shè)置了生存時間TTL)，在一段時間內(nèi)(Windows2～10分鐘，UNIX3～20分鐘，Cisco交換機5分鐘，華為交換機20分鐘)如果表中的某一行內(nèi)容(IP地址與MAC地址的映射關(guān)系)沒有被使用過，該行內(nèi)容就會被刪除，這樣可以大大減少ARP緩存表的長度，加快查詢速度。6.2.2RARP協(xié)議的工作原理RARP(ReverseAddressResolutionProtocol)，即反向地址解析協(xié)議。如果某站點被初始化后，只有自己的MAC地址而沒有IP地址，則它可以通過RARP協(xié)議發(fā)出廣播請求，征詢自己的IP地址，RARP服務(wù)器負責回答。RARP協(xié)議廣泛用于無盤工作站獲取IP地址。RARP的工作原理：①源主機發(fā)送一個本地的RARP廣播，在此廣播包中，聲明自己的MAC地址并且請求任何收到此請求的RARP服務(wù)器分配一個IP地址。②本地網(wǎng)段上的RARP服務(wù)器收到此請求后，檢查其RARP列表，查找該MAC地址對應(yīng)的IP地址。③如果存在，RARP服務(wù)器就向源主機發(fā)送一個響應(yīng)數(shù)據(jù)包，并將此IP地址提供給源主機使用。④如果不存在，RARP服務(wù)器對此不做任何的響應(yīng)。⑤源主機收到RARP服務(wù)器的響應(yīng)信息，就利用得到的IP地址進行通信；如果一直沒有收到RARP服務(wù)器的響應(yīng)信息，表示初始化失敗。6.3ICMP協(xié)議在任何網(wǎng)絡(luò)體系結(jié)構(gòu)中，控制功能是必不可少的。網(wǎng)絡(luò)層使用的控制協(xié)議是網(wǎng)際控制報文協(xié)議ICMP(InternetControlMessageProtocol)。ICMP不僅用于傳輸控制報文，而且還用于傳輸差錯報文。實際上，ICMP報文是作為IP數(shù)據(jù)包的數(shù)據(jù)部分而傳輸?shù)摹?.3.1ICMP差錯報文ICMP作為網(wǎng)絡(luò)層的差錯報文傳輸機制，最基本功能是提供差錯報告。ICMP差錯報告有以下幾個特點：①差錯報告不享受特別優(yōu)先權(quán)和可靠性，作為一般數(shù)據(jù)傳輸。在傳輸過程中，它完全有可能丟失、損壞或被丟棄。②ICMP差錯報告數(shù)據(jù)中，除包含故障IP數(shù)據(jù)包包頭外，還包含故障IP數(shù)據(jù)包數(shù)據(jù)區(qū)的前64位數(shù)據(jù)。通常，利用這64位數(shù)據(jù)可以了解高層協(xié)議(如TCP協(xié)議)的重要信息。③ICMP差錯報告是伴隨著丟棄出錯IP數(shù)據(jù)包而產(chǎn)生的。IP軟件一旦發(fā)現(xiàn)傳輸錯誤，它首先把出錯的數(shù)據(jù)包丟棄，然后調(diào)用ICMP向源主機報告差錯信息。ICMP差錯報告包括目的地不可達報告、超時報告、參數(shù)出錯報告等。(1)目的地不可達報告路由器的主要功能是進行IP數(shù)據(jù)包的路由選擇和轉(zhuǎn)發(fā)，但是路由器的路由選擇和轉(zhuǎn)發(fā)并不是總能成功的。在路由選擇和轉(zhuǎn)發(fā)出現(xiàn)錯誤的情況下，路由器便發(fā)出目的地不可達報告。目的地不可達可以分為網(wǎng)絡(luò)不可達、主機不可達、協(xié)議不可達、端口不可達等多種情況。(2)超時報告如果路由器發(fā)現(xiàn)當前數(shù)據(jù)包的生存時間(TTL)已減為0，則該路由器將丟棄該數(shù)據(jù)包，并且向源主機發(fā)送一個ICMP超時差錯報告，通知源主機該數(shù)據(jù)包已被丟棄。(3)參數(shù)出錯報告路由器或目的主機在處理收到的數(shù)據(jù)包時，如果發(fā)現(xiàn)包頭參數(shù)中存在無法繼續(xù)完成處理任務(wù)的錯誤，則將該丟棄該數(shù)據(jù)包，并向源主機發(fā)送參數(shù)出錯報告，指出可能出現(xiàn)錯誤的參數(shù)位置。6.3.2ICMP控制報文ICMP控制報文包括擁塞控制和路由控制兩部分。(1)擁塞控制與源抑制報文所謂擁塞，就是路由器被大量涌入的IP數(shù)據(jù)報“淹沒”的現(xiàn)象，其原因主要有：①路由器處理速度慢，不能完成IP數(shù)據(jù)包排隊等日常工作。②路由器傳入數(shù)據(jù)速率大于傳出速率。為控制擁塞，IP軟件采用“源站抑制”技術(shù)。路由器對每個接口進行監(jiān)視，一旦發(fā)現(xiàn)擁塞，立即向相應(yīng)源主機發(fā)送ICMP源抑制報文，請求源主機降低發(fā)送IP數(shù)據(jù)包的速率。(2)路由控制與重定向報文在IP互聯(lián)網(wǎng)中，主機可以在傳輸數(shù)據(jù)的過程中不斷從相鄰的路由器獲得新的路由信息。通常，主機在啟動時都具有一定的路由信息，但路徑不一定是最優(yōu)的。路由器一旦檢測到某IP數(shù)據(jù)包經(jīng)非優(yōu)路徑傳輸，它一方面繼續(xù)將該數(shù)據(jù)包轉(zhuǎn)發(fā)出去，另一方面將向源主機發(fā)送一個重定向ICMP報文，通知源主機到達相應(yīng)目的主機的最優(yōu)路徑。ICMP重定向報文的優(yōu)點是保證主機擁有一個動態(tài)的、既小且優(yōu)的路由表。6.3.3ICMP回應(yīng)請求與應(yīng)答報文為便于進行故障診斷和網(wǎng)絡(luò)控制，可利用ICMP回應(yīng)請求與應(yīng)答報文來獲取某些有用的信息。回應(yīng)請求與應(yīng)答報文：用于測試目的主機或路由器的可達性。請求者向特定目的IP地址發(fā)送一個包含任選數(shù)據(jù)區(qū)的回應(yīng)請求，當目的主機或路由器收到該請求后，返回相應(yīng)的回應(yīng)應(yīng)答。如果請求者收到一個成功的應(yīng)答，說明傳輸路徑以及數(shù)據(jù)傳輸正常。6.4本章實訓(xùn)1.ipconfig命令的使用ipconfig命令可以查看主機當前的TCP/IP配置信息(如IP地址、網(wǎng)關(guān)、子網(wǎng)掩碼等)、刷新動態(tài)主機配置協(xié)議(DHCP)和域名系統(tǒng)(DNS)設(shè)置。ipconfig命令的語法格式為：ipconfig[/all][/renew[Adapter]][/release[Adapter]][/flushdns][/displaydns][/registerdns][/showclassidAdapter][/setclassidAdapter[ClassID]](1)要顯示基本TCP/IP配置信息，可執(zhí)行ipconfig命令。使用不帶參數(shù)的ipconfig可以顯示所有適配器的IP地址、子網(wǎng)掩碼和默認網(wǎng)關(guān)。(2)要顯示完整的TCP/IP配置信息(主機名、MAC地址、IP地址、子網(wǎng)掩碼、默認網(wǎng)關(guān)、DNS服務(wù)器等)，可執(zhí)行“ipconfig/all”命令，并把顯示結(jié)果填入表中。(3)僅更新“本地連接”適配器的由DHCP分配的IP地址配置，可執(zhí)行“ipconfig/renew”命令。(4)要在排除DNS的名稱解析故障期間清除DNS解析器緩存，可執(zhí)行“ipconfig/flushdns”命令。2.

ping命令的使用ping命令是利用回應(yīng)請求與應(yīng)答報文來測試目的主機或路由器的可達性的。通過執(zhí)行ping命令可獲得如下信息：①監(jiān)測網(wǎng)絡(luò)的聯(lián)通性，檢驗與遠程計算機或本地計算機的連接。②確定是否有數(shù)據(jù)包被丟失、復(fù)制或重傳。ping命令在所發(fā)送的數(shù)據(jù)包中設(shè)置唯一的序列號(SequenceNumber)，以此檢查其接收到應(yīng)答報文的序列號。③ping命令在其所發(fā)送的數(shù)據(jù)包中設(shè)置時間戳(Timestamp)，根據(jù)返回的時間戳信息可以計算數(shù)據(jù)包交換的時間，即RTT(RoundTripTime)。④ping命令校驗每一個收到的數(shù)據(jù)包，據(jù)此可以確定數(shù)據(jù)包是否損壞。ping[-t][-a][-ncount][-lsize][-f][-iTTL][-vTOS][-rcount][-scount][[-jhost-list]|[-khost-list]][-wtimeout]目的IP地址(1)測試本機TCP/IP協(xié)議是否正確安裝執(zhí)行“ping”命令，如果能ping成功，說明TCP/IP協(xié)議已正確安裝。“”是回送地址，它永遠回送到本機。(2)測試本機IP地址是否正確配置或者網(wǎng)卡是否正常工作執(zhí)行“ping本機IP地址”命令，如果能ping成功，說明本機IP地址配置正確，并且網(wǎng)卡工作正常。(3)測試與網(wǎng)關(guān)之間的連通性執(zhí)行“ping網(wǎng)關(guān)IP地址”命令，如果能ping成功，說明本機到網(wǎng)關(guān)之間的物理線路是連通的。(4)測試能否訪問Internet執(zhí)行“ping27”命令，如果能ping成功，說明本機能訪問Internet。其中，27是Internet上某服務(wù)器的IP地址。(5)測試DNS服務(wù)器是否正常工作執(zhí)行“ping”命令，如果能ping成功，如圖所示，說明DNS服務(wù)器工作正常，能把網(wǎng)址()正確解析為IP地址(2)。否則，說明主機的DNS未設(shè)置或設(shè)置有誤等。如果計算機打不開任何網(wǎng)頁，可通過上述的5個步驟來診斷故障的位置，并采取相應(yīng)的解決措施。(6)連續(xù)發(fā)送ping探測報文執(zhí)行ping–t命令，連續(xù)向IP地址為

的主機發(fā)送ping探測報文，按Ctrl＋C組合鍵結(jié)束ping命令。(7)自選數(shù)據(jù)長度的ping探測報文執(zhí)行ping

-l1200命令，向IP地址為的主機發(fā)送數(shù)據(jù)長度為1200B的探測數(shù)據(jù)報文。(8)修改ping命令的請求超時時間命令ping-w5000，指定超時時間為5000ms(9)不允許路由器對ping探測報文分片如果指定的探測報文的長度太長，同時又不允許分片，探測數(shù)據(jù)報就不可能到達目的地并返回應(yīng)答。指定不允許分片的探測報文長度為2500B，執(zhí)行ping

-f-l2500命令，系統(tǒng)將給出“需要拆分數(shù)據(jù)包但是設(shè)置DF”信息3.tracert命令的使用tracert(跟蹤路由)是路由跟蹤實用程序，用于獲得IP數(shù)據(jù)報訪問目標時從本地計算機到目的主機的路徑信息。tracert命令的語法格式為：

tracert[-d][-hMaximumHops][-jHostList][-wTimeout][-R][-SSrcAddr][-4][-6]TargetName(1)要跟蹤名為“”的主機的路徑，執(zhí)行“tracert”命令，結(jié)果如圖所示。(2)要跟蹤名為“”的主機的路徑，并防止將每個IP地址解析為它的名稱，執(zhí)行“tracert-d”命令。4.netstat命令的使用netstat命令可以顯示當前活動的TCP連接、計算機偵聽的端口、以太網(wǎng)統(tǒng)計信息、IP路由表、IPv4統(tǒng)計信息以及IPv6統(tǒng)計信息等。netstat命令的語法格式為：netstat[-a][-e][-n][-o][-pProtocol][-r][-s][Interval](1)要顯示所有活動的TCP連接以及計算機偵聽的TCP和UDP端口，應(yīng)執(zhí)行“netstat–a”命令，結(jié)果如圖所示。(2)要顯示以太網(wǎng)統(tǒng)計信息，如發(fā)送和接收的字節(jié)數(shù)、數(shù)據(jù)包數(shù)等，執(zhí)行“netstat–e–s”命令，結(jié)果如圖所示。5.arp命令的使用arp命令用于查看、添加和刪除緩存中的ARP表項。ARP表可以包含動