使用 HTTP Header Live 诊断和调试网络问题

简介

HTTP Header Live 是一款功能强大的浏览器扩展，可让您查看和分析HTTP 请求和响应标头。它是一个宝贵的工具，可用于诊断和调试各种网络问题。

安装

HTTP Header Live 可以在 Chrome 网上应用店和 Firefox 附加组件商店获得。Chrome:https://addons.mozilla.org/en-US/firefox/addon/http-header-live/

使用

安装 HTTP Header Live 后，您会在浏览器的工具栏中看到一个图标。单击此图标以打开扩展界面。扩展界面分为几个部分：Headers: 显示当前请求和响应的标头。Timeline: 显示请求和响应的时序。Request: 显示请求详细信息。Response: 显示响应详细信息。您还可以使用扩展中的工具栏按钮来刷新标头、清除缓存和禁用扩展。

诊断和调试网络问题

HTTP Header Live 可用于诊断和调试各种网络问题，包括：

---

我的电脑不能用microsoft word 打开.doc文件?怎么办？

SNORT源码分析(转自SMTH) Snort作为一个轻量级的网络入侵检测系统,在实际中应用可能会有些力不从心,但如果想了解研究IDS的工作原理,仔细研究一下它的源码到是非常不错.首先对snort做一个概括的评论。 从工作原理而言，snort是一个NIDS。 [注：基于网络的入侵检测系统（NIDS）在网络的一点被动地检查原始的网络传输数据。 通过分析检查的数据包，NIDS匹配入侵行为的特征或者从网络活动的角度检测异常行为。 ] 网络传输数据的采集利用了工具包libpcap。 snort对libpcap采集来的数据进行分析，从而判断是否存在可疑的网络活动。 从检测模式而言，snort基本上是误用检测（misuse detection）。 [注：该方法对已知攻击的特征模式进行匹配，包括利用工作在网卡混杂模式下的嗅探器被动地进行协议分析，以及对一系列数据包解释分析特征。 顺便说一句，另一种检测是异常检测（anomaly detection）。 ]具体实现上，仅仅是对数据进行最直接最简单的搜索匹配，并没有涉及更复杂的入侵检测办法。 尽管snort在实现上没有什么高深的检测策略，但是它给我们提供了一个非常 优秀的公开源代码的入侵检测系统范例。 我们可以通过对其代码的分析，搞清IDS 究竟是如何工作的，并在此基础上添加自己的想法。 snort的编程风格非常优秀，代码阅读起来并不困难，整个程序结构清晰，函 数调用关系也不算复杂。 但是，snort的源文件不少，函数总数也很多，所以不太 容易讲清楚。 因此，最好把代码完整看一两遍，能更清楚点。 ***************************************************** ***************************************************** 下面看看snort的整体结构。 展开snort压缩包，有约50个c程序和头文件，另有约30个其它文件（工程、数据或者说明文件）。 [注：这里用的是snort-1.6-beta7。 snort-1.6.3不在手边，就用老一点的版本了，差别不大。 ]下面对源代码文件分组说明。 snort.c(.h)是主程序所在的文件，实现了main函数和一系列辅助函数。 decode.c(.h)把数据包层层剥开，确定该包属于何种协议，有什么特征。 并 标记到全局结构变量pv中。 log.c(.h）实现日志和报警功能。 snort有多种日志格式，一种是按tcpdump二进制的格式存储，另一种按snort编码的ascii格式存储在日志目录下，日志目录的名字根据外主机的ip地址命名。 报警有不同的级别和方式，可以记录到syslog中，或者记录到用户指定的文件，另外还可以通过unix socket发送报警消息，以及利用SMB向Windows系统发送winpopup消息。 mstring.c(.h)实现字符串匹配算法。 在snort中，采用的是Boyer-Moore算法。 算法书上一般都有。 plugbase.c(.h)实现了初始化检测以及登记检测规则的一组函数。 snort中的检测规则以链表的形式存储，每条规则通过登记（Register）过程添加到链表中。 response.c(.h)进行响应，即向攻击方主动发送数据包。 这里实现了两种响应。 一种是发送ICMP的主机不可到达的假信息，另一种针对TCP，发送RST包，断开连接。 rule.c(.h)实现了规则设置和入侵检测所需要的函数。 规则设置主要的作用是 把一个规则文件转化为实际运作中的规则链表。 检测函数根据规则实施攻击特征的检测。 sp_*_check.c(.h)是不同类型的检测规则的具体实现。 很容易就可以从文件名得知所实现的规则。 例如，sp_dsize_check针对的是包的数据大小，sp_icmp_type_check针对icmp包的类型，sp_tcp_flag_check针对tcp包的标志位。 不再详述。 spo_*.c(.h)实现输出（output）规则。 spo_alert_syslog把事件记录到syslog中；spo_log_tcpdump利用libpcap中的日志函数，进行日志记录。 spp_*.c(.h)实现预处理（preprocess）规则。 包括http解码（即把http请求中的%XX这样的字符用对应的ascii字符代替，避免忽略了恶意的请求）、最小片断检查（避免恶意利用tcp协议中重组的功能）和端口扫描检测。 ********************************************************************************************************** 下面描述main函数的工作流程。 先来说明两个结构的定义。 在snort.h中，定义了两个结构：PV和PacketCount。 PV用来记录命令行参数，snort根据这些命令行参数来确定其工作方式。 PV类型的全局变量pv用来实际记录具体工作方式。 结构定义可以参看snort.h，在下边的main函数中，会多次遇到pv中各个域的设定，到时再一个一个解释。 结构PacketCount用来统计流量，每处理一个数据包，该结构类型的全局变量pc把对应的域加1。 相当于一个计数器。 接下来解释main函数。 初始化设定一些缺省值；然后解析命令行参数，根据命令行参数，填充结构变量pv；根据pv的值（也就是解析命令行的结果）确定工作方式，需要注意： 如果是运行在Daemon方式，通过GoDaemon函数，创建守护进程，重定向标准输入输出，实现daamon状态，并结束父进程。 snort可以实时采集网络数据，也可以从文件读取数据进行分析。 这两种情况并没有本质区别。 如果是读取文件进行分析（并非直接从网卡实时采集来的），以该文件名作为libpcap的函数OpenPcap的参数，打开采集过程；如果是从网卡实时采集，就把网卡接口作为OpenPcap的参数，利用libpcap的函数打开该网卡接口。 在unix中，设备也被看作是文件，所以这和读取文件分析没有多大的差别。 接着，指定数据包的拆包函数。 不同的数据链路网络，拆包的函数也不同。 利用函数SetPktProcessor，根据全局变量datalink的值，来设定不同的拆包函数。 例如，以太网，拆包函数为DecodeEthPkt;令牌环网，拆包函数为DecodeTRPkt，等等。 这些Decode*函数，在decode.c中实现。 如果使用了检测规则，那么下面就要初始化这些检测规则，并解析规则文件，转化成规则链表。 规则有三大类：预处理（preprocessor），插件（plugin），输出插件（outputplugin）。 这里plugin就是具体的检测规则，而outputplugin是定义日志和报警方式的规则。 然后根据报警模式，设定报警函数；根据日志模式，设定日志函数；如果指定了能够进行响应，就打开raw socket，准备用于响应。 最后进入读取数据包的循环，pcap_loop对每个采集来的数据包都用ProcessPacket函数进行处理，如果出现错误或者到达指定的处理包数（_cnt定义），就退出该函数。 这里ProcessPacket是关键程序， 最后，关闭采集过程。 ***************************************************** 现在看看snort如何实现对数据包的分析和检测入侵的。 在main函数的最后部分有如下语句，比较重要： /* Read all packets on the device. Continue until cnt packets read */ if(pcap_loop(pd, _cnt, (pcap_handler)ProcessPacket, NULL) < 0) { ...... } 这里pcap_loop函数有4个参数，分别解释： pd是一个全局变量，表示文件描述符，在前面OpenPcap的调用中已经被正确地赋值。 前面说过，snort可以实时采集网络数据，也可以从文件读取数据进行分析。 在不同情况打开文件（或设备）时，pd分别用来处理文件，或者网卡设备接口。 pd是struct pcap类型的指针，该结构包括实际的文件描述符，缓冲区，等等域，用来处理从相应的文件获取信息。 OpenPcap函数中对pd赋值的语句分别为： /* get the device file descriptor，打开网卡接口 */ pd = pcap_open_live(, snaplen, _flag ? PROMISC : 0, READ_TIMEOUT, errorbuf); 或者 /* open the file，打开文件 */ pd = pcap_open_offline(intf, errorbuf); 于是，这个参数表明从哪里取得待分析的数据。 第2个参数是_cnt，表示总共要捕捉的包的数量。 在main函数初始化时，缺省设置为-1，成为永真循环，一直捕捉直到程序退出： /* initialize the packet counter to loop forever */ _cnt = -1; 或者在命令行中设置要捕捉的包的数量。 前面ParseCmdLine（解析命令行）函数的调用中，遇到参数n，重新设定_cnt的值。 ParseCmdLine中相关语句如下： case n: /* grab x packets and exit */ _cnt = atoi(optarg); 第3个参数是回调函数，该回调函数处理捕捉到的数据包。 这里为函数 ProcessPacket，下面将详细解释该函数。 第4个参数是字符串指针，表示用户，这里设置为空。 在说明处理包的函数ProcessPacket之前，有必要解释一下pcap_loop的实现。 我们看到main函数只在if条件判断中调用了一次pacp_loop，那么循环一定是在pcap_loop中做的了。 察看pcap.c文件中pcap_loop的实现部分，我们发现的确如此： int pcap_loop(pcap_t *p, int cnt, pcap_handler callback, u_char *user) { register int n; for (; { //for循环 if (p-> != NULL) n = pcap_offline_read(p, cnt, callback, user); else { /* * XXX keep reading until we get something * (or an error occurs) */ do { //do循环 n = pcap_read(p, cnt, callback, user); } while (n == 0); } if (n <= 0) return (n); //遇到错误，返回 if (cnt > 0) { cnt -= n; if (cnt <= 0) return (0); //到达指定数量，返回 } //只有以上两种返回情况 } } 现在看看ProcessPacket的实现了，这个回调函数用来处理数据包。 该函数是是pcap_handler类型的，pcap.h中类型的定义如下： typedef void (*pcap_handler)(u_char *, const struct pcap_pkthdr *, const u_char *); 第1个参数这里没有什么用； 第2个参数为pcap_pkthdr结构指针，记录时间戳、包长、捕捉的长度； 第3个参数字符串指针为数据包。 函数如下： void ProcessPacket(char *user, struct pcap_pkthdr *pkthdr, u_char *pkt) { Packet p; //Packet结构在decode.h中定义，用来记录数据包的各种信息 /* call the packet decoder，调用拆包函数，这里grinder是一个全局 函数指针，已经在main的SetPktProcessor调用中设置为正确的拆包函数 */ (*grinder)(&p, pkthdr, pkt); /* print the packet to the screen，如果选择了详细显示方式， 那么把包的数据，显示到标准输出 */ if(_flag) { ...... //省略 } /* check or log the packet as necessary 如果工作在使用检测规则的方式，就调用Preprocess进行检测， 否则，仅仅进行日志，记录该包的信息*/ if(!_rules) { ... //进行日志，省略 } else { Preprocess(&p); } //清除缓冲区 ClearDumpBuf(); } 这里Preprocess函数进行实际检测。 **************************************************************************** Proprocess函数很短，首先调用预处理规则处理数据包p，然后调用检测 函数Detect进行规则匹配实现检测，如果实现匹配，那么调用函数CallOutput Plugins根据输出规则进行报警或日志。 函数如下： void Preprocess(Packet *p) { PreprocessFuncNode *idx; do_detect = 1; idx = PreprocessList; //指向预处理规则链表头 while(idx != NULL) //调用预处理函数处理包p { idx->func(p); idx = idx->next; } if(!p->frag_flag && do_detect) { if(Detect(p)) //调用检测函数 { CallOutputPlugins(p); //如果匹配，根据规则输出 } } } 尽管这个函数很简洁，但是在第1行我们看到定义了ProprocessFuncNode 结构类型的指针，所以下面，我们不得不开始涉及到snort的各种复杂 的数据结构。 前面的分析，我一直按照程序运行的调用顺序，忽略了许多函 数（其实有不少非常重要），以期描述出snort执行的主线，避免因为程序中 大量的调用关系而产生混乱。 到现在，我们还没有接触到snort核心的数据结构 和算法。 有不少关键的问题需要解决：规则是如何静态描述的？运行时这些 规则按照什么结构动态存储？每条规则的处理函数如何被调用？snort给了 我们提供了非常好的方法。 snort一个非常成功的思想是利用了plugin机制，规则处理函数并非固定在 源程序中，而是根据每次运行时的参数设定，从规则文件中读入规则，再把每个 规则所需要的处理函数挂接到链表上。 实际检测时，遍历这些链表，调用链表上 相应的函数来分析。 snort主要的数据结构是链表，几乎都是链表来链表去。 我们下面做个总的 介绍。 我们有必要先回过头来，看一看main函数中对规则初始化时涉及到的一些 数据结构。 在main函数初始化规则的时候，先建立了几个链表，全局变量定义如下 (plugbase.c中)： KeywordXlateList *KeywordList; PreprocessKeywordList *PreprocessKeywords; PreprocessFuncNode *PreprocessList; OutputKeywordList *OutputKeywords; OutputFuncNode *OutputList; 这几种结构的具体定义省略。 这一初始化的过程把snort中预定义的关键 字和处理函数按类别连接在不同的链表上。 然后，在解析规则文件的时候， 如果一条规则的选项中包含了某个关键字，就会从上边初始化好的对应的链表 中查找，把必要的信息和处理函数添加到表示这条规则的节点(用RuleTreeNode 类型来表示，下面详述)的特定域(OptTreeNode类型)中。 同时，main函数中初始化规则的最后，对指定的规则文件进行解析。 在最 高的层次上，有3个全局变量保存规则(rules.c): ListHead Alert; /* Alert Block Header */ ListHead Log; /* Log Block Header */ ListHead Pass; /* Pass Block Header */ 这几个变量是ListHead类型的，正如名称所说，指示链表头。 Alert中登记 了需要报警的规则，Log中登记了需要进行日志的规则，Pass中登记的规则在处 理过程忽略（不进行任何处理）。 ListHead定义如下： typedef struct _ListHead { RuleTreeNode *TcpList; RuleTreeNode *UdpList; RuleTreeNode *IcmpList; } ListHead; 可以看到，每个ListHead结构中有三个指针，分别指向处理Tcp/Udp/Icmp包规则的链表头。 这里又出现了新的结构RuleTreeNode，为了说明链表的层次关系，下面列出RuleTreeNode的定义，但是忽略了大部分域： typedef struct _RuleTreeNode { RuleFpList *rule_func; ...... //忽略 struct _RuleTreeNode *right; OptTreeNode *down; /* list of rule options to associate with this rule node */ } RuleTreeNode; RuleTreeNode中包含上述3个指针域，分别又能形成3个链表。 RuleTreeNode*类型的right指向下一个RuleTreeNode，相当于普通链表中的next域，只不过这里用right来命名。 这样就形成了规则链表。 RuleFpList类的指针rule_func记录的是该规则的处理函数的链表。 一条规则有时候需要调用多个处理函数来分析。 所以，有必要做成链表。 我们看看下面的定义，除了next域，还有一个函数指针： typedef struct _RuleFpList { /* rule check function pointer */ int (*RuleHeadFunc)(Packet *, struct _RuleTreeNode *, struct _RuleFpList *); /* pointer to the next rule function node */ struct _RuleFpList *next; } RuleFpList; 第3个指针域是OptTreeNode类的指针down，该行后面的注释说的很清楚，这是与这个规则节点相联系的规则选项的链表。 很不幸，OptTreeNode的结构也相当复杂，而且又引出了几个新的链表。 忽略一些域，OptTreeNode定义如下： typedef struct _OptTreeNode { /* plugin/detection functions go here */ OptFpList *opt_func; /* the ds_list is absolutely essential for the plugin system to work, it allows the plugin authors to associate dynamic data structures with the rule system, letting them link anything they can come up with to the rules list */ void *ds_list[512]; /* list of plugin data struct pointers */ .......//省略了一些域 struct _OptTreeNode *next; } OptTreeNode; next指向链表的下一个节点，无需多说。 OptFpList类型的指针opt_func指向 选项函数链表，同前面说的RuleFpList没什么大差别。 值得注意的是指针数组 ds_list，用来记录该条规则中涉及到的预定义处理过程。 每个元素的类型是void*.在实际表示规则的时候，ds_list被强制转换成不同的预定义类型。 -------------------------------------------------------------------------------------- Proprocess函数很短，首先调用预处理规则处理数据包p，然后调用检测 函数Detect进行规则匹配实现检测，如果实现匹配，那么调用函数CallOutput Plugins根据输出规则进行报警或日志。 函数如下： void Preprocess(Packet *p) { PreprocessFuncNode *idx; do_detect = 1; idx = PreprocessList; //指向预处理规则链表头 while(idx != NULL) //调用预处理函数处理包p { idx->func(p); idx = idx->next; } if(!p->frag_flag && do_detect) { if(Detect(p)) //调用检测函数 { CallOutputPlugins(p); //如果匹配，根据规则输出 } } } 尽管这个函数很简洁，但是在第1行我们看到定义了ProprocessFuncNode 结构类型的指针，所以下面，我们不得不开始涉及到snort的各种复杂 的数据结构。 前面的分析，我一直按照程序运行的调用顺序，忽略了许多函 数（其实有不少非常重要），以期描述出snort执行的主线，避免因为程序中 大量的调用关系而产生混乱。 到现在，我们还没有接触到snort核心的数据结构 和算法。 有不少关键的问题需要解决：规则是如何静态描述的？运行时这些 规则按照什么结构动态存储？每条规则的处理函数如何被调用？snort给了 我们提供了非常好的方法。 snort一个非常成功的思想是利用了plugin机制，规则处理函数并非固定在 源程序中，而是根据每次运行时的参数设定，从规则文件中读入规则，再把每个 规则所需要的处理函数挂接到链表上。 实际检测时，遍历这些链表，调用链表上 相应的函数来分析。 snort主要的数据结构是链表，几乎都是链表来链表去。 我们下面做个总的 介绍。 我们有必要先回过头来，看一看main函数中对规则初始化时涉及到的一些 数据结构。 在main函数初始化规则的时候，先建立了几个链表，全局变量定义如下 (plugbase.c中)： KeywordXlateList *KeywordList; PreprocessKeywordList *PreprocessKeywords; PreprocessFuncNode *PreprocessList; OutputKeywordList *OutputKeywords; OutputFuncNode *OutputList; 这几种结构的具体定义省略。 这一初始化的过程把snort中预定义的关键 字和处理函数按类别连接在不同的链表上。 然后，在解析规则文件的时候， 如果一条规则的选项中包含了某个关键字，就会从上边初始化好的对应的链表 中查找，把必要的信息和处理函数添加到表示这条规则的节点(用RuleTreeNode 类型来表示，下面详述)的特定域(OptTreeNode类型)中。 同时，main函数中初始化规则的最后，对指定的规则文件进行解析。 在最 高的层次上，有3个全局变量保存规则(rules.c): ListHead Alert; /* Alert Block Header */ ListHead Log; /* Log Block Header */ ListHead Pass; /* Pass Block Header */ 这几个变量是ListHead类型的，正如名称所说，指示链表头。 Alert中登记 了需要报警的规则，Log中登记了需要进行日志的规则，Pass中登记的规则在处 理过程忽略（不进行任何处理）。 ListHead定义如下： typedef struct _ListHead { RuleTreeNode *TcpList; RuleTreeNode *UdpList; RuleTreeNode *IcmpList; } ListHead; 可以看到，每个ListHead结构中有三个指针，分别指向处理Tcp/Udp/Icmp包规则的链表头。 这里又出现了新的结构RuleTreeNode，为了说明链表的层次关系，下面列出RuleTreeNode的定义，但是忽略了大部分域： typedef struct _RuleTreeNode { RuleFpList *rule_func; ...... //忽略 struct _RuleTreeNode *right; OptTreeNode *down; /* list of rule options to associate with this rule node */ } RuleTreeNode; RuleTreeNode中包含上述3个指针域，分别又能形成3个链表。 RuleTreeNode* 类型的right指向下一个RuleTreeNode，相当于普通链表中的next域，只不过这里用right来命名。 这样就形成了规则链表。 RuleFpList类的指针rule_func记录的是该规则的处理函数的链表。 一条规则有时候需要调用多个处理函数来分析。 所以，有必要做成链表。 我们看看下面的 定义，除了next域，还有一个函数指针： typedef struct _RuleFpList { /* rule check function pointer */ int (*RuleHeadFunc)(Packet *, struct _RuleTreeNode *, struct _RuleFpList *); /* pointer to the next rule function node */ struct _RuleFpList *next; } RuleFpList; 第3个指针域是OptTreeNode类的指针down，该行后面的注释说的很清楚，这是与这个规则节点相联系的规则选项的链表。 很不幸，OptTreeNode的结构也相当复杂，而且又引出了几个新的链表。 忽略一些域，OptTreeNode定义如下： typedef struct _OptTreeNode { /* plugin/detection functions go here */ OptFpList *opt_func; /* the ds_list is absolutely essential for the plugin system to work, it allows the plugin authors to associate dynamic data structures with the rule system, letting them link anything they can come up with to the rules list */ void *ds_list[512]; /* list of plugin data struct pointers */ .......//省略了一些域 struct _OptTreeNode *next; } OptTreeNode; next指向链表的下一个节点，无需多说。 OptFpList类型的指针opt_func指向选项函数链表，同前面说的RuleFpList没什么大差别。 值得注意的是指针数组 ds_list，用来记录该条规则中涉及到的预定义处理过程。 每个元素的类型是void*。 在实际表示规则的时候，ds_list被强制转换成不同的预定义类型。

网络掉线的问题

各位高手：非常感谢您留心我这份系统诊断报告，小菜鸟十万火急等待您的帮助！该诊断报告由360安全卫士提供诊断时间: 2007-06-2801:00:39诊断平台: Microsoft Windows XPService Pack 2IE版本: Internet Explorer V6.0.2900.2180 Build.2180 计算机物理内存:511MB - 当前可用内存:317MB100 - 未知 - Process: [文件夹加密超级大师 后台服务] - D:\高强度文件夹加密大师\fse\fse\pcSoftFSE\fse\100 - 未知 - Process: [] - 100 - 未知 - Process: [] - F:\xXx\实用小工具\实用小工具\4 - 未知 - HKLM\..\Run: [Cartoon Clock] [] F:\xXx\实用小工具\实用小工具\8 - 未知 - Extra context menu item: &使用BitComet下载 - res://D:\bt\BitComet\/8 - 未知 - Extra context menu item: &使用BitComet下载全部链接 - res://D:\bt\BitComet\/8 - 未知 - Extra context menu item: &使用BitComet下载本页视频 - res://D:\bt\BitComet\/8 - 未知 - Extra context menu item: 上传到QQ网络硬盘 - C:\Program Files\Tencent\QQ\8 - 未知 - Extra context menu item: 使用Web迅雷下载 - D:\WEB迅雷\8 - 未知 - Extra context menu item: 使用Web迅雷下载全部链接 - D:\WEB迅雷\8 - 未知 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\8 - 未知 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\8 - 未知 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\8 - 未知 - Extra context menu item: 用比特精灵下载(&B) - O9 - 未知 - Extra button: 启动Web迅雷(HKLM) -- 未知 - Extra button: QQ炫彩工具条设置(HKLM) - O10 - 未知 - Winsock LSP: [NVIDIA IAM LSP] [{FE995BC0-4C0C-4DFF-AB14-3580E109D3B7}]C:\WINDOWS\system32\10 - 未知 - Winsock LSP: [NVIDIA IAM LSP] [{FE995BC0-4C0C-4DFF-AB14-3580E109D3B7}]C:\WINDOWS\system32\10 - 未知 - Winsock LSP: [NVIDIA IAM LSP] [{FE995BC0-4C0C-4DFF-AB14-3580E109D3B7}]C:\WINDOWS\system32\10 - 未知 - Winsock LSP: [NVIDIA IAM LSP] [{FE995BC0-4C0C-4DFF-AB14-3580E109D3B7}]C:\WINDOWS\system32\10 - 未知 - Winsock LSP: [NVIDIA IAM LSP] [{FE995BC0-4C0C-4DFF-AB14-3580E109D3B7}]C:\WINDOWS\system32\10 - 未知 - Winsock LSP: [NVIDIA IAM LSP] [{FE995BC0-4C0C-4DFF-AB14-3580E109D3B7}]C:\WINDOWS\system32\10 - 未知 - Winsock LSP: [NVIDIA IAM LSP] [{FE995BC0-4C0C-4DFF-AB14-3580E109D3B7}]C:\WINDOWS\system32\10 - 未知 - Winsock LSP: [NVIDIA IAM LSP] [{FE995BC0-4C0C-4DFF-AB14-3580E109D3B7}]C:\WINDOWS\system32\10 - 未知 - Winsock LSP: [NVIDIA IAM LSP] [{FE995BC0-4C0C-4DFF-AB14-3580E109D3B7}]C:\WINDOWS\system32\10 - 未知 - Winsock LSP: [NVIDIA IAM LSP] [{FE995BC0-4C0C-4DFF-AB14-3580E109D3B7}]C:\WINDOWS\system32\10 - 未知 - Winsock LSP: [NVIDIA IAM LSP] [{FE995BC0-4C0C-4DFF-AB14-3580E109D3B7}]C:\WINDOWS\system32\10 - 未知 - Winsock LSP: [NVIDIA IAM LSP] [{561A1E9F-D78B-40E3-866D-4CE5CF6BB83F}]C:\WINDOWS\system32\16 - 未知 - DPF: {20C2C286-BDE8-441B-B73D-AFA22D914DA5} (PowerList Control) -- 未知 - DPF: {2BE6A92D-D51C-4659-B372-BB18C99BC439} (PMChannel) -- 未知 - DPF: {53AF6E02-F18F-4228-AC13-3EFBE50} (CMCBooter Object) -- 未知 - DPF: {5CD4310E-88FB-43C1-BE24-5F3FA9C5C9D1} (KooPlayer Control) -- 未知 - DPF: {9242BB35-0DB0-43AC-8DFC-8EA07E63B92A} (LiveMediaOcx Control) -- 未知 - DPF: {EC0978ED-24E3-403C-AB7A-060EE6} (BoBoControl) -- 未知 - Service: AVP [保护计算机远离病毒、间谍软件、黑客攻击、计算机犯罪和废品邮件.] - D:\avp\ -r - (running)O23 - 未知 - Service: DiskPro_Service [DiskPro_Service] - D:\高强度文件夹加密大师\fse\fse\pcSoftFSE\fse\ - (running)O23 - 未知 - Service: ForceWare Intelligent Application Manager (IAM) [ForceWare Intelligent Application Manager (IAM)] - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\ - (running)O23 - 未知 - Service: ForcewareWebInterface [Apache] - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\ -k runservice - (running)O23 - 未知 - Service: nSvcIp [ForceWare IP service] - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\ - (running)O23 - 未知 - Service: nSvcLog [ForceWare user log service] - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\ - (running)O30 - 未知 - HKLM\..\Winlogon: [UIHost] [Windows Logon UI] \Program Files\Logonui\=======================================100 - 安全 - Process: [进程为会话管理子系统用以初始化系统变量，ms-dos驱动名称类似lpt1以及com，调用win32壳子系统和运行在windows登陆过程。 ] - C:\WINDOWS\System32\100 - 安全 - Process: [客户端服务子系统，用以控制windows图形相关子系统。 ] - C:\WINDOWS\system32\ ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=base100 - 安全 - Process: [windows nt用户登陆程序。 ] - C:\WINDOWS\system32\100 - 安全 - Process: [用于管理windows服务系统进程。 ] - C:\WINDOWS\system32\100 - 安全 - Process: [本地安全权限服务控制windows安全机制。 ] - C:\WINDOWS\system32\100 - 安全 - Process: [service host process是一个标准的动态连接库主机处理服务。 ] - C:\WINDOWS\system32\svchost -k DcomLaunch100 - 安全 - Process: [service host process是一个标准的动态连接库主机处理服务。 ] - C:\WINDOWS\system32\svchost -k rpcss100 - 安全 - Process: [service host process是一个标准的动态连接库主机处理服务。 ] - C:\WINDOWS\System32\ -k netsvcs100 - 安全 - Process: [service host process是一个标准的动态连接库主机处理服务。 ] - C:\WINDOWS\system32\ -k NetworkService100 - 安全 - Process: [service host process是一个标准的动态连接库主机处理服务。 ] - C:\WINDOWS\system32\ -k LocalService100 - 安全 - Process: [windows打印任务控制程序，用以打印机就绪。 ] - C:\WINDOWS\system32\100 - 安全 - Process: [windows program manager或者windows explorer用于控制windows图形shell，包括开始菜单、任务栏，桌面和文件管理。 ] - C:\WINDOWS\100 - 安全 - Process: [卡巴斯基杀毒软件相关程序。 ] - 100 - 安全 - Process: [apache web server网络服务器。 ] - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\100 - 安全 - Process: [imapi cd-burning com service 用 image mastering applications programming interface (imapi) 管理 cd 录制。 ] - C:\WINDOWS\system32\100 - 安全 - Process: [一款主板相关驱动程序。 ] - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\100 - 安全 - Process: [nvidia公司出品的相关产品。 ] - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\100 - 安全 - Process: [nvidia driver helper service在nvida显卡驱动中被安装。 ] - C:\WINDOWS\system32\100 - 安全 - Process: [apache web server网络服务器。 ] - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\100 - 安全 - Process: [nvidia公司出品的主板相关驱动程序。 ] - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\100 - 安全 - Process: [这是一个应用层网关服务用于网络共享。 ] - C:\WINDOWS\System32\100 - 安全 - Process: [卡巴斯基杀毒软件相关程序。 ] - 100 - 安全 - Process: [360安全卫士实时保护模块] - D:\360\360safe2\safemon\100 - 安全 - Process: [office xp输入法图标。 ] - C:\WINDOWS\system32\100 - 安全 - Process: [microsoft internet explorer浏览器用于浏览网页。 ] - C:\Program Files\Internet Explorer\100 - 安全 - Process: [360安全卫士] - D:\360\360safe2\100 - 安全 - Process: [wmi 提供程序 (wmi provider) 在 wmi 和操作系统、应用程序以及其他系统的组件之间充当中介.此进程为合法的系统进程。 ] - C:\WINDOWS\system32\wbem\1 - 安全 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=about:blankR1 - 安全 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=about:blankO2 - 安全 - BHO: (WebThunder Browser Helper) - [Web迅雷， 支持多资源超线程技术的下载工具。 ] - {AAA-A363-466E-BEF5-9BBAA7F} - D:\WEB迅雷\WebThunderBHO_2 - 安全 - BHO: (BitComet Helper) - [下载软件BitComet的相关程序。 ] - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\bt\BitComet\tools\BitCometBHO_4 - 安全 - HKLM\..\Run: [NvCplDaemon] [是NVIDIA显示卡相关动态链接库文件。 ] C:\WINDOWS\system32\,NvStartupO4 - 安全 - HKLM\..\Run: [AVP] [卡巴斯基杀毒软件相关程序。 ] D:\avp\4 - 安全 - HKLM\..\Run: [SKYNET Personal FireWall] [天网个人防火墙] D:\天网防火墙\Firewall\4 - 安全 - HKLM\..\Run: [360Safetray] [360safe实时保护功能模块。 ] D:\360\360safe2\safemon\ /startO4 - 安全 - HKCU\..\Run: [] [office xp输入法图标。 ] C:\WINDOWS\system32\18 - 安全 - Protocol: OFFICE 相关 - {E5-5146-11D5-A672-00B0D022E945} - c:\Program Files\Common Files\Microsoft Shared\OFFICE11\21 - 安全 - Protocol Icons: HKCR\http\shell\open\command - C:\PROGRA~1\MOZILL~1\ -url %1O21 - 安全 - Protocol Icons: HKCR\ftp\shell\open\command - C:\PROGRA~1\MOZILL~1\ -url %1O21 - 安全 - Protocol Icons: HKCR\https\shell\open\command - C:\PROGRA~1\MOZILL~1\ -url %1O21 - 安全 - Protocol Icons: HKCR\http\DefaultIcon - C:\PROGRA~1\MOZILL~1\,1O21 - 安全 - Protocol Icons: HKCR\ftp\DefaultIcon - C:\PROGRA~1\MOZILL~1\,1O21 - 安全 - Protocol Icons: HKCR\https\DefaultIcon - C:\PROGRA~1\MOZILL~1\,1O22 - 安全 - Filename Extention: FIREFOX第三方浏览器 - FirefoxHTMLO22 - 安全 - Filename Extention: FIREFOX第三方浏览器 - FirefoxHTMLO23 - 安全 - Service: NVSvc [是NVIDIA显示卡相关程序。 ] - C:\WINDOWS\system32\ - (running)=======================================O31 - 未知 - SEApproved: {-76d4-11d1-8b24-00a0c9068ff3} - ---- 0 - O31 - 未知 - SEApproved: 无效的CLSID：Shell extensions for file compression ----- 0 - O31 - 未知 - SEApproved: 无效的CLSID：加密上下文菜单 ----- 0 - O31 - 未知 - SEApproved: {0DF44EAA-FF21-4412-828E-260A8728E7F1} ----- 0 - O31 - 未知 - SEApproved: {00E7B358-F65B-4dcf-83DF-CD026B94BFD4} ----- 0 - O31 - 未知 - SEApproved: {7A9D77BD-5403-11d2-8785-2E} ----- 0 - O31 - 未知 - SEApproved: {B41DB860-8EE4-11D2-9906-E49FADC173CA} - C:\Program Files\WinRAR\ ---- - 3e5633c7d768ea333a65a9e8aO31 - 未知 - SEApproved: {1CDB2949-8F65-4355-8456-263E7C208A5D} - C:\WINDOWS\system32\ --- 6.14.10. - - 766bc8f56b557b44a0ce89e4ceO31 - 未知 - SEApproved: {1E9B04FB-F9E5-4718-997B-B8DAA47} - C:\WINDOWS\system32\ --- 6.14.10. - - 766bc8f56b557b44a0ce89e4ceO31 - 未知 - SEApproved: {1E9B04FB-F9E5-4718-997B-B8DAA48} - C:\WINDOWS\system32\ --- 6.14.10. - - 766bc8f56b557b44a0ce89e4ceO31 - 未知 - SEApproved: {F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} - C:\Program Files\Real\RealPlayer\ - RealNetworks, Inc. - RealPlayer Shell Extensions - 1.0.1.2237 - - d6315dc9fcc6c62fd54e02fe3O31 - 未知 - SEApproved: {DB1-1328-46D4-9A0E-2E7CF8} ----- 0 - O31 - 未知 - SEApproved: {C95B5A29-C84C-4107-AEE0-92CCB} ----- 0 - O31 - 未知 - SEApproved: 无效的CLSID：byna &BHO ----- 0 - O31 - 未知 - SEApproved: {e82a2d71-5b2f-43a0-97b8-81bede8} - C:\WINDOWS\system32\ - Microsoft Corporation - Application Deployment Support Library - 2.0..42 - - bc8be3a8c5b88afc1141O31 - 未知 - SEApproved: {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} - C:\WINDOWS\system32\ - Microsoft Corporation - Application Deployment Support Library - 2.0..42 - - bc8be3a8c5b88afc1141O31 - 未知 - Directory Menu: {C95B5A29-C84C-4107-AEE0-92CCB} ----- 0 - O31 - 未知 - Directory Menu: {B41DB860-8EE4-11D2-9906-E49FADC173CA} - C:\Program Files\WinRAR\ ---- - 3e5633c7d768ea333a65a9e8aO31 - 未知 - LSA: Security Packages - sv1_ ---- 0 - O31 - 未知 - LSA: Security Packages - ---- 0 - =======================================O40 - - NVIDIA - C:\WINDOWS\system32\ - NVIDIA IAM LSP - 1a91f5df0341a31ceed4bd5083O40 - - NVIDIA - C:\WINDOWS\system32\ - NVIDIA IAM LSP - 1a91f5df0341a31ceed4bd5083O40 - - NVIDIA - C:\WINDOWS\system32\ - NVIDIA IAM LSP - 1a91f5df0341a31ceed4bd5083O40 - - NVIDIA - C:\WINDOWS\system32\ - NVIDIA IAM LSP - 1a91f5df0341a31ceed4bd5083O40 - - Kaspersky Lab - D:\avp\ - Script Checker - 632ae99cb61ba2f7a7O40 - -- C:\WINDOWS\system32\ -- 766bc8f56b557b44a0ce89e4ce=======================================O41 - BIOS - I/O Interface driver file - C:\WINDOWS\system32\drivers\ - (running) - I/O Interface driver file - BIOSTAR Group - be5db9bab6be879ec768b6cfO41 - klif - spuper-ptor - C:\WINDOWS\system32\drivers\ - (running) - spuper-ptor - Kaspersky Lab - 1b28faa14e88bcaO41 - npkcrypt - nProtect KeyCrypt Driver - C:\Program Files\Tencent\QQ\ - (running) - nProtect KeyCrypt Driver - INCA Internet Co., Ltd. - 8bcb281a2540e7aff0cd00f9878fe21fO41 - SKNFW - SKNFW - C:\WINDOWS\system32\drivers\ - (running) --- 3d40cec16c5e0aac677O41 - SkyProcs - SkyProcs - D:\天网防火墙\Firewall\ - (running) --- d521f5c4007e185ea5575feddO41 - wxbfileb - wxbfileb - C:\WINDOWS\system32\DRIVERS\ - (running) --- O41 - FishPeShield - FishPeShield - C:\WINDOWS\system32\ - (not running) --- O41 - NPF - npf - C:\WINDOWS\system32\drivers\ - (not running) - npf - CACE Technologies - d21fee8db254ba8ac1db6O41 - p2pfilter - p2pfilter - D:\新建文件夹 (3)\mt30-P2Pzzz\P2Pzzz\ - (not running) --- 31a8494db52e092a8c00fc26d5de10f4=============================================1.0.1.1015=======================================操作历史报告：----------清理恶评软件历史---------- 2007-06-15 21:23清理恶评软件 - 网络超级搜霸 - C:\PROGRA~1\baidu\bar\清理恶评软件 - 网络搜索伴侣 - C:\WINDOWS\system32\IEXP_----------插件卸载操作历史----------2007-06-15 18:15插件管理 - 百纳搜索 - =======================================360安全卫士，彻底查杀各种流氓软件,全面保护系统安全,并赠送正版卡巴斯基V6.0最新免费下载：

Windows常用网络命令详解

Windows常用网络命令详解

简单的说，Ping就是一个测试程序，如果Ping运行正确，我们大体上就可以排除网络访问层、网卡、MODEM的输入输出线路、电缆和路由器等存在的故障，从而减小了问题的范围。但由于可以自定义所发数据报的大小及无休止的高速发送，Ping也被某些别有用心的人作为DDOS(拒绝服务攻击)的工具，例如许多大型的网站就是被黑客利用数百台可以高速接入互联网的电脑连续发送大量Ping数据报而瘫痪的。

按照缺省设置，Windows上运行的Ping命令发送4个ICMP(网间控制报文协议)回送请求，每个32字节数据，如果一切正常，我们应能得到4个回送应答。 Ping能够以毫秒为单位显示发送回送请求到返回回送应答之间的时间量。如果应答时间短，表示数据报不必通过太多的路由器或网络连接速度比较快。Ping还能显示TTL(Time To Live存在时间)值，我们可以通过TTL值推算一下数据包已经通过了多少个路由器：源地点TTL起始值(就是比返回TTL略大的一个2的乘方数)-返回时TTL值。例如，返回TTL值为119，那么可以推算数据报离开源地址的TTL起始值为128，而源地点到目标地点要通过9个路由器网段(128-119);如果返回TTL值为246，TTL起始值就是256，源地点到目标地点要通过9个路由器网段。

1、通过Ping检测网络故障的典型次序

正常情况下，当我们使用Ping命令来查找问题所在或检验网络运行情况时，我们需要使用许多Ping命令，如果所有都运行正确，我们就可以相信基本的连通性和配置参数没有问题;如果某些Ping命令出现运行故障，它也可以指明到何处去查找问题。下面就给出一个典型的检测次序及对应的可能故障：

ping 127.0.0.1

这个Ping命令被送到本地计算机的IP软件，该命令永不退出该计算机。如果没有做到这一点，就表示TCP/IP的安装或运行存在某些最基本的问题。

ping 本机IP

这个命令被送到我们计算机所配置的IP地址，我们的计算机始终都应该对该Ping命令作出应答，如果没有，则表示本地配置或安装存在问题。出现此问题时，局域网用户请断开网络电缆，然后重新发送该命令。如果网线断开后本命令正确，则表示另一台计算机可能配置了相同的IP地址。

ping 局域网内其他IP

这个命令应该离开我们的计算机，经过网卡及网络电缆到达其他计算机，再返回。收到回送应答表明本地网络中的网卡和载体运行正确。但如果收到0个回送应答，那么表示子网掩码(进行子网分割时，将IP地址的网络部分与主机部分分开的代码)不正确或网卡配置错误或电缆系统有问题。

ping 网关IP

这个命令如果应答正确，表示局域网中的网关路由器正在运行并能够作出应答。

ping 远程IP

如果收到4个应答，表示成功的使用了缺省网关。对于拨号上网用户则表示能够成功的访问Internet(但不排除ISP的DNS会有问题)。

ping localhost

localhost是个作系统的网络保留名，它是127.0.0.1的别名，每太计算机都应该能够将该名字转换成该地址。如果没有做到这一带内，则表示主机文件(/Windows/host)中存在问题。

ping (如 )

对这个域名执行Ping 地址，通常是通过DNS 服务器 如果这里出现故障，则表示DNS服务器的IP地址配置不正确或DNS服务器有故障(对于拨号上网用户，某些ISP已经不需要设置DNS服务器了)。顺便说一句：我们也可以利用该命令实现域名对IP地址的转换功能。

如果上面所列出的所有Ping命令都能正常运行，那么我们对自己的计算机进行本地和远程通信的功能基本上就可以放心了。但是，这些命令的成功并不表示我们所有的网络配置都没有问题，例如，某些子网掩码错误就可能无法用这些方法检测到。

2、Ping命令的常用参数选项

连续对IP地址执行Ping命令，直到被用户以Ctrl+C中断。

ping IP -l 3000

指定Ping命令中的数据长度为3000字节，而不是缺省的32字节。

执行特定次数的Ping命令。

二、Netstat 命令的使用技巧

Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，一般用于检验本机各端口的网络连接情况。

如果我们的计算机有时候接受到的数据报会导致出错数据删除或故障，我们不必感到奇怪，TCP/IP可以容许这些类型的错误，并能够自动重发数据报。但如果累计的出错情况数目占到所接收的IP数据报相当大的百分比，或者它的数目正迅速增加，那么我们就应该使用Netstat查一查为什么会出现这些情况了。

1、netstat 的一些常用选项

本选项能够按照各个协议分别显示其统计数据。如果我们的应用程序(如Web浏览器)运行速度比较慢，或者不能显示Web页之类的数据，那么我们就可以用本选项来查看一下所显示的信息。我们需要仔细查看统计数据的各行，找到出错的关键字，进而确定问题所在。

本选项用于显示关于以太网的统计数据。它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。这些统计数据既有发送的数据报数量，也有接收的数据报数量。这个选项可以用来统计一些基本的网络流量)。

本选项可以显示关于路由表的信息，类似于后面所讲使用route print命令时看到的 信息。除了显示有效路由外，还显示当前有效的连接。

本选项显示一个所有的有效连接信息列表，包括已建立的连接(ESTABLISHED)，也包括监听连接请求(LISTENING)的那些连接。

显示所有已建立的有效连接。

下面是 netstat 的输出示例：

C:\>netstat -e

Interface Statistics

Received　Sent

Unicast packets5

Non-unicast packets

Discards0 0

Unknown protocols

C:\>netstat -a

Active Connections

Proto Local Address　Foreign AddressState

TCP　CORP1.16.48.10:nbsessionESTABLISHED

TCP　CORP1.16.48.10:nbsessionESTABLISHED

TCP　CORP1.16.105.245:nbsession ESTABLISHED

TCP　CORP1.16.48.213:nbsession　ESTABLISHED

TCP　CORP1.16.48.169:nbsession　ESTABLISHED

TCP　CORP1.16.48.203:nbsession　ESTABLISHED

TCP　CORP1.16.48.36:nbsessionESTABLISHED

TCP　CORP1.16.48.101:nbsession　ESTABLISHED

UDP　CORP1:1025*:*

UDP　CORP1:snmp*:*

UDP　CORP1:nbname *:*

UDP　CORP1:nbdatagram *:*

UDP　CORP1:nbname *:*

UDP　CORP1:nbdatagram *:*

C:\>netstat -s

IP Statistics

Packets Received =

Received Header Errors=

Received Address Errors　=

Datagrams Forwarded　= 0

Unknown Protocols Received= 0

Received Packets Discarded= 0

Received Packets Delivered=

Output Requests　=

Routing Discards = 157

Discarded Output Packets = 0

Output Packet No Route= 0

Reassembly Required　= 0

Reassembly Successful = 0

Reassembly Failures=

Datagrams Successfully Fragmented = 0

Datagrams Failing Fragmentation= 0

Fragments Created = 0

ICMP Statistics

Received　Sent

Messages 6934

Destination Unreachable　6850

Time Exceeded0 0

Parameter Problems0 0

Source Quenches　0 0

Redirects0 0

Echo Replies 0 4

Timestamps0 0

Timestamp Replies0 0

Address Masks0 0

Address Mask Replies 0 0

TCP Statistics

Active Opens = 597

Passive Opens= 135

Failed Connection Attempts= 107

Reset Connections= 91

Current Connections　= 8

Segments Received=

Segments Sent=

Segments Retransmitted= 461

UDP Statistics

Datagrams Received=

Receive　Errors= 2

Datagrams Sent=

2、Netstat的妙用

经常上网的人一般都使用ICQ的，不知道我们有没有被一些讨厌的人骚扰，想投诉却又不知从和下手?其实，我们只要知道对方的IP，就可以向他所属的ISP投诉了。但怎样才能通过ICQ知道对方的IP呢?如果对方在设置ICQ时选择了不显示IP地址，那我们是无法在信息栏中看到的。其实，我们只需要通过Netstat就可以很方便的做到这一点：当他通过ICQ或其他的工具与我们相连时(例如我们给他发一条ICQ信息或他给我们发一条信息)，我们立刻在DOS 命令提示符下输入netstat -n或netstat -a就可以看到对方上网时所用的IP或ISP域名了，甚至连所用Port都完全暴露了。

三、IPConfig命令的使用技巧

IPConfig实用程序和它的等价图形用户界面----Windows 95/98中的WinIPCfg可用于显示当前的TCP/IP配置的设置值。这些信息一般用来检验人工配置的TCP/IP设置是否正确。但是，如果我们的计算机和所在的局域网使用了动态主机配置协议(DHCP)，这个程序所显示的信息也许更加实用。这时，IPConfig可以让我们了解自己的计算机是否成功的租用到一个IP地址，如果租用到则可以了解它目前分配到的是什么地址。了解计算机当前的IP地址、子网掩码和缺省网关实际上是进行测试和故障分析的必要项目。

1、IPConfig最常用的选项

当使用IPConfig时不带任何参数选项，那么它为每个已经配置了的接口显示IP地址、子网掩码和缺省网关值。

ipconfig /all

ipconfig /release和ipconfig /renew

这是两个附加选项，只能在向DHCP服务器租用其IP地址的计算机上起作用。如果我们输入ipconfig /release，那么所有接口的租用IP地址便重新交付给DHCP服务器(归还IP地址)。如果我们输入ipconfig /renew，那么本地计算机便设法与DHCP服务器取得联系，并租用一个IP地址。请注意，大多数情况下网卡将被重新赋予和以前所赋予的相同的IP地址。

下面的范例是 ipconfig /all 命令输出，该计算机配置成使用 DHCP 服务器动态配置 TCP/IP，并使用 WINS 和 DNS 服务器解析名称。

Windows 2000 IP Configuration

Node Type.. . . . . . . . : Hybrid

IP Routing Enabled.. . . . : No

WINS Proxy Enabled.. . . . : No

Ethernet adapter Local Area Connection:

Host Name.. . . . . . . . :

DNS Servers . . . . . . . : 10.1.0.200

Description. . . . . . . : 3Com 3C90x Ethernet Adapter

Physical Address. . . . . : 00-60-08-3E-46-07

DHCP Enabled.. . . . . . . : Yes

Autoconfiguration Enabled.: Yes

IP Address. . . . . . . . . : 192.168.0.112

Subnet Mask. . . . . . . . : 255.255.0.0

Default Gateway. . . . . . : 192.168.0.1

DHCP Server. . . . . . . . : 10.1.0.50

Primary WINS Server. . . . : 10.1.0.101

Secondary WINS Server. . . : 10.1.0.102

Lease Obtained.. . . . . . : Wednesday, September 02, 1998 10:32:13 AM

Lease Expires.. . . . . . : Friday, September 18, 1998 10:32:13 AM

如果我们使用的是Windows 95/98，那么我们应该更习惯使用winipcfg而不是ipconfig，因为它是一个图形用户界面，而且所显示的信息与ipconfig相同，并且也提供发布和更新动态IP地址的选项。

四、ARP(地址转换协议)的使用技巧

ARP是一个重要的TCP/IP协议，并且用于确定对应IP地址的网卡物理地址。实用arp命令，我们能够查看本地计算机或另一台计算机的ARP高速缓存中的当前内容。此外，使用arp命令，也可以用人工方式输入静态的网卡物理/IP地址对，我们可能会使用这种方式为缺省网关和本地服务器等常用主机进行这项作，有助于减少网络上的信息量。

按照缺省设置，ARP高速缓存中的项目是动态的，每当发送一个指定地点的数据报且高速缓存中不存在当前项目时，ARP便会自动添加该项目。一旦高速缓存的项目被输入，它们就已经开始走向失效状态。例如，在Windows NT/2000网络中，如果输入项目后不进一步使用，物理/IP地址对就会在2至10分钟内失效。因此，如果ARP高速缓存中项目很少或根本没有时，请不要奇怪，通过另一台计算机或路由器的ping命令即可添加。所以，需要通过arp命令查看高速缓存中的内容时，请最好先ping 此台计算机(不能是本机发送ping命令)。

ARP常用命令选项：

arp -a或arp Cg

用于查看高速缓存中的所有项目。-a和-g参数的结果是一样的，多年来-g一直是UNIX平台上用来显示ARP高速缓存中所有项目的选项，而Windows用的是arp -a(-a可被视为all，即全部的意思)，但它也可以接受比较传统的-g选项。

如果我们有多个网卡，那么使用arp -a加上接口的IP地址，就可以只显示与该接口相关的ARP缓存项目。

arp -s IP 物理地址

我们可以向ARP高速缓存中人工输入一个静态项目。该项目在计算机引导过程中将保持有效状态，或者在出现错误时，人工配置的物理地址将自动更新该项目。

使用本命令能够人工删除一个静态项目。

例如我们在命令提示符下，键入 Arp Ca;如果我们使用过 Ping 命令测试并验证从这台计算机到 IP 地址为 10.0.0.99 的主机的连通性，则 ARP 缓存显示以下项：

Interface:10.0.0.1 on interface 0x1

Internet Address　Physical Address　Type

10.0.0.99 00-e0-98-00-7c-dc dynamic

在此例中，缓存项指出位于 10.0.0.99 的远程主机解析成 00-e0-98-00-7c-dc 的媒体访问控制地址，它是在远程计算机的网卡硬件中分配的。媒体访问控制地址是计算机用于与网络上远程 TCP/IP 主机物理通讯的地址。

至此我们可以用ipconfig和ping命令来查看自己的网络配置并判断是否正确、可以用netstat查看别人与我们所建立的连接并找出ICQ使用者所隐藏的IP信息、可以用arp查看网卡的MAC地址。

五、Tracert、Route 与 NBTStat的使用技巧

1、Tracert的使用技巧

如果有网络连通性问题，可以使用 tracert 命令来检查到达的目标 IP 地址的路径并记录结果。tracert 命令显示用于将数据包从计算机传递到目标位置的一组 IP 路由器，以及每个跃点所需的时间。如果数据包不能传递到目标，tracert 命令将显示成功转发数据包的最后一个路由器。当数据报从我们的计算机经过多个网关传送到目的地时，Tracert命令可以用来跟踪数据报使用的路由(路径)。该实用程序跟踪的路径是源计算机到目的地的一条路径，不能保证或认为数据报总遵循这个路径。如果我们的配置使用DNS，那么我们常常会从所产生的应答中得到城市、地址和常见通信公司的名字。Tracert是一个运行得比较慢的命令(如果我们指定的目标地址比较远)，每个路由器我们大约需要给它15秒钟。

Tracert的使用很简单，只需要在tracert后面跟一个IP地址或URL，Tracert会进行相应的域名转换的。

tracert 最常见的用法：

tracert IP address [-d] 该命令返回到达 IP 地址所经过的路由器列表。通过使用 -d 选项，将更快地显示路由器路径，因为 tracert 不会尝试解析路径中路由器的名称。

Tracert一般用来检测故障的位置，我们可以用tracert IP在哪个环节上出了问题，虽然还是没有确定是什么问题，但它已经告诉了我们问题所在的地方，我们也就可以很有把握的告诉别人----某某地方出了问题。

2、Route 的使用技巧

大多数主机一般都是驻留在只连接一台路由器的网段上。由于只有一台路由器，因此不存在使用哪一台路由器将数据报发表到远程计算机上去的问题，该路由器的IP地址可作为该网段上所有计算机的缺省网关来输入。

但是，当网络上拥有两个或多个路由器时，我们就不一定想只依赖缺省网关了。实际上我们可能想让我们的某些远程IP地址通过某个特定的路由器来传递，而其他的远程IP则通过另一个路由器来传递。

在这种情况下，我们需要相应的路由信息，这些信息储存在路由表中，每个主机和每个路由器都配有自己独一无二的路由表。大多数路由器使用专门的路由协议来交换和动态更新路由器之间的路由表。但在有些情况下，必须人工将项目添加到路由器和主机上的路由表中。Route就是用来显示、人工添加和修改路由表项目的。

一般使用选项：

route print

本命令用于显示路由表中的当前项目，在单路由器网段上的输出;由于用IP地址配置了网卡，因此所有的这些项目都是自动添加的。

使用本命令，可以将信路由项目添加给路由表。例如，如果要设定一个到目的网络209.98.32.33的路由，其间要经过5个路由器网段，首先要经过本地网络上的一个路由器，器IP为202.96.123.5，子网掩码为255.255.255.224，那么我们应该输入以下命令：

route add 209.98.32.33 mask 255.255.255.224 202.96.123.5 metric 5

route change

我们可以使用本命令来修改数据的传输路由，不过，我们不能使用本命令来改变数据的目的地。下面这个例子可以将数据的路由改到另一个路由器，它采用一条包含3个网段的更直的路径：

route add 209.98.32.33 mask 255.255.255.224 202.96.123.250 metric 3

route delete

使用本命令可以从路由表中删除路由。例如：route delete 209.98.32.33

3、NBTStat的使用技巧

使用 nbtstat 命令释放和刷新 NetBIOS 名称。NBTStat(TCP/IP上的NetBIOS统计数据)实用程序用于提供关于关于NetBIOS的统计数据。运用NetBIOS，我们可以查看本地计算机或远程计算机上的NetBIOS名字表格。

常用选项：

显示寄存在本地的名字和服务程序。

本命令用于显示NetBIOS名字高速缓存的内容。NetBIOS名字高速缓存用于寸放与本计算机最近进行通信的其他计算机的NetBIOS名字和IP地址对。

本命令用于清除和重新加载NetBIOS名字高速缓存。

nbtstat -a IP

通过IP显示另一台计算机的物理地址和名字列表，我们所显示的内容就像对方计算机自己运行nbtstat -n一样。

nbtstat -s IP

显示实用其IP地址的另一台计算机的NetBIOS连接表。

例如我们在命令提示符下，键入：nbtstat CRR 释放和刷新过程的进度以命令行输出的形式显示。该信息表明当前注册在该计算机的 WINS 中的所有本地 NetBIOS 名称是否已经使用 WINS 服务器释放和续订了注册。

;

若对本页面资源感兴趣，请点击下方或右方图片，注册登录后

搜索本页相关的【资源名】【软件名】【功能词】或有关的关键词，即可找到您想要的资源

如有其他疑问，请咨询右下角【在线客服】，谢谢支持！