当前位置：文档库 › tracert

tracert

网络协议分析工具Ethereal的使用

一：学习使用网络协议分析工具Ethereal的方法，并用它来分析一些协议。

实验步骤：

1．用“ipconfig”命令获得本机的MAC地址和缺省路由器的IP地址；（注：缺省路由器即”Default Gateway”）

命令行：Start->Run->CMD->ipconfig /all >C:\Mac.txt(在命令行中把ipconfig命令保存在文本文档里面备用)

结果：本机Mac地址：00.09.73.4B.8A.D7 缺省路由器IP：192.168.8.254

步骤截图：

图1（本机网络信息：Mac.txt）

2．用“arp”命令清空本机的缓存：

命令行：Start->Run->CMD->arp –d

图2（arp命令–d参数的帮助说明）

3．运行Ethereal，开始捕获所有属于ARP协议或ICMP协议的，并且源或目的MAC地址是本机的包：

图3（Capture->Options中关于网卡设置和Capture Filter）

图4（抓包截图）

4．执行命令：“ping”缺省路由器的IP地址：

图5（捕获包）

图6（ping 过程）

二：用Ethereal观察tracert命令的工作过程：

1．用Ethereal语法内容及参数说明：

命令行操作步骤：Start->Run->CMD->tracert

图1（Tracert命令全部参数的帮助说明）

2．运行Ethereal, 设定源和目的MAC地址是本机的包，捕获tracert命令中用到的消息：Tracert使用ICMP，相应过滤规则为：

ether host 00:09:73:4B:8A:D7 and icmp

图3（Capture->Options中关于网卡设置和Capture Filter）3.执行“tracert -d https://www.wendangku.net/doc/558831367.html,” ，捕获包：

执行命令：tracert -d https://www.wendangku.net/doc/558831367.html,：

图3 （执行命令 tracert –d https://www.wendangku.net/doc/558831367.html,）

图4（抓包截图）

图5（捕获包）

4．Tracert工作原理：

Tracert使用ICMP消息，具体地讲，tracert发出的是Echo Request消息，触发返回的是Time Exceeded消息和Echo Reply消息。

Tracert利用icmp数据报和IP数据报头部中的TTL值。

TTL（Time To Live）是一个IP数据报的生存时间，当每个IP数据报经过路由器的时候都会把TTL值减去1或者减去在路由器中停留的时间，但是大多数数据报在路由器中停留的时间都小于1秒种，因此实际上就是在TTL值减去了1。这样，TTL值就相当于一个路由器的计数器。当路由器接收到一个TTL为0或者1的IP数据报的时候，路由器就不再转发这个数据了，而直接丢弃，并且发送一个ICMP“超时”信息给源主机。Tracert程序的关键就是这个回显的ICMP报文的IP报头的信源地址就是这个路由器的IP地址。如果到达了目的主机，并没有任何反应，所以，Tracert还同时发送一个UDP信息给目的主机，并且选择一个很大的值作为UDP的端口，使主机的任何一个应用程序都不使用这个端口。当达到目的主机的时候，UDP模块就产生一个“端口不可到达”的错误，这样就能判断是否是到达目的地了。

决定走的路向目的地发送icmp的回声请求消息中具有不同生存时间（ttl ）值送往目的地。每个路由器沿着须减量有关的ttl在一个ip包，由至少1才转发。当的ttl就一包到达0时，路由器可望返回一个icmp的时间超过讯息给源计算机。 tracert确定路径派遣首回声请求消息具有的ttl的1和递增有关的ttl由1对以后每次传输，直到目标响应或最大数目的啤酒花是达成共识。最大数目的啤酒花是30默认，并可以指定使用- h参数。道路是取决于研究icmp 的时间超过讯息经由中间路由器和回声答复讯息经由目的地。不过，有些路由器不返回时间超过讯息给包过期的ttl价值观和可能是无形的，以该tracert命令。在这种情况下，一排星号（ * ）显示为合。

三：用Ethereal观察TCP连接的建立过程和终止过程：

a. 过滤规则：tcp port 23

b. 三次握手：

过程：一端打开一个SOCKET，另一方连接，服务器端被打开，客户端向服务器端发送一个SYN ，建立一次握手，服务器端返回一个SYN，ACK完成第二次握手，客户端发送一个ACK完成第三次握手。

c.终止过程：

过程：主动方发送一个FIN，另一方进入CLOSE，WAIT状态，并发送ACK，被动方发送FIN，被动方进入TIME，WAIT状态，发送ACK确认，CLOSE

d. TELNET服务器首先发起连接关闭。

四：用Ethereal观察使用DNS来进行域名解析的过程：

a. 过滤规则：UDP PORT 53

b.向DNS服务器210.30.96.99发送一个DNS询问请求https://www.wendangku.net/doc/558831367.html,，DNS服务器找到了https://www.wendangku.net/doc/558831367.html,所对应的IP地址，然后回发给请求方。

c. MX（Mail Exchanger）记录是邮件交换记录，它指向一个邮件服务器，用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器。https://www.wendangku.net/doc/558831367.html,就是邮件交换服务器的域名

路由跟踪命令大全

路由跟踪命令大全除了显示路由外还提供325S的分析计算丢失包的％使用 nbtstat 解决 NetBIOS 名称问题 TCP/IP 上的 NetBIOS (NetBT) 将 NetBIOS 名称解析成 IP 地址。TCP/IP 为NetBI OS 名称解析提供了很多选项，包括本地缓存搜索、WINS 服务器查询、广播、DNS 服务器查询以及 Lmhosts 和主机文件搜索。 Nbtstat 是解决 NetBIOS 名称解析问题的有用工具。可以使用 nbtstat 命令删除或更正预加载的项目： nbtstat -n 显示由服务器或重定向器之类的程序在系统上本地注册的名称。nbtstat -c 显示 NetBIOS 名称缓存，包含其他计算机的名称对地址映射。nbtstat -R 清除名称缓存，然后从 Lmhosts 文件重新加载。 nbtstat -RR 释放在 WINS 服务器上注册的 NetBIOS 名称，然后刷新它们的注册。 nbtstat -a name 对 name 指定的计算机执行 NetBIOS 适配器状态命令。适配器状态命令将返回计算机的本地 NetBIOS 名称表，以及适配器的媒体访问控制地址。nbtstat -S 列出当前的 NetBIOS 会话及其状态（包括统计），如下例所示：NetBIOS connection table Local name State In/out Remote Host Input Output ------------------------------------------------------------------ CORP1 <00> Connected Out CORPSUP1<20> 6MB 5MB CORP1 <00> Connected Out CORPPRINT<20> 108KB 116KB CORP1 <00> Connected Out CORPSRC1<20> 299KB 19KB CORP1 <00> Connected Out CORPEMAIL1<20> 324KB 19KB CORP1 <03> Listening 使用 netstat 显示连接统计可以使用 netstat 命令显示协议统计信息和当前的 TCP/IP 连接。netstat -a 命令将显示所有连接，而 netstat -r 显示路由表和活动连接。netstat -e 命令将显示 Ethernet 统计信息，而 netstat -s 显示每个协议的统计信息。如果使用netstat -n，则不能将地址和端口号转换成名称。下面是 netstat 的输出示例：

路由跟踪命令

路由跟踪命令 1.最基本，最常用的，测试物理网络的 ping 192.168.0.8 －t ，参数－t是等待用户去中断测试 2.查看DNS、IP、Mac等 A.Win98：winipcfg B.Win2000以上：Ipconfig/all C.NSLOOKUP：如查看河北的DNS C:\>nslookup Default Server: https://www.wendangku.net/doc/558831367.html, Address: 202.99.160.68 >server 202.99.41.2 则将DNS改为了41.2 > https://www.wendangku.net/doc/558831367.html, Server: https://www.wendangku.net/doc/558831367.html, Address: 202.99.160.68 Non-authoritative answer: Name: https://www.wendangku.net/doc/558831367.html, Address: 202.99.160.212 3.网络信使（经常有人问的~） Net send 计算机名/IP|* (广播) 传送内容，注意不能跨网段 net stop messenger 停止信使服务，也可以在面板－服务修改 net start messenger 开始信使服务 4.探测对方对方计算机名，所在的组、域及当前用户名（追捕的工作原理） ping －a IP －t ，只显示NetBios名 nbtstat -a 192.168.10.146 比较全的 https://www.wendangku.net/doc/558831367.html,stat -a 显示出你的计算机当前所开放的所有端口 netstat -s -e 比较详细的显示你的网络资料，包括TCP、UDP、ICMP 和IP的统计等 6.探测arp绑定（动态和静态）列表，显示所有连接了我的计算机，显示对方IP和MAC 地址 arp -a 7.在代理服务器端捆绑IP和MAC地址，解决局域网内盗用IP！： ARP －s 192.168.10.59 00 －50－ff－6c－08－75 解除网卡的IP与MAC地址的绑定： arp -d 网卡IP 8.在网络邻居上隐藏你的计算机（让人家看不见你！）

【协议分析】【通过tracert 命令查看路由跟踪报文】

实验七通过tracert命令查看路由跟踪报文【实验目的】 1、理解路由跟踪过程。 2、掌握tracert命令使用方法。 3、掌握路由跟踪报文特点。【实验学时】 1学时【实验环境】图 3-42 实验拓扑图【实验内容】 1、掌握路由跟踪过程； 2、掌握tracert命令使用方法； 3、掌握路由跟踪报文特点。

图 3-43 实验流程图【实验原理】 Tracert（跟踪路由）是路由跟踪实用程序，用于确定IP数据报访问目标所采取的路径。Tracert命令用IP生存时间(TTL)字段和ICMP错误消息来确定从一个主机到网络上其他主机的路由。 Tracert工作原理为Tracert程序向目标端发送ICMP请求数据包，并且将数据包中的TTL值置为1，此ICMP请求数据包在到达第一跳路由器时，TTL减1为0，因此路由器会向发送端发送ICMP超时消息。收到此消息后Tracert程序继续向目标端发送ICMP请求数据包，并将数据包中的TTL值加1置为2，这时，ICMP请求数据包在向目标端前进的路由上到达第二个路由器后，TTL值减为0，第二个路由器同样的，向发送端发送ICMP超时报文。依此类推，直到ICMP请求数据包到达目的端，Tracert程序则可以根据各路由器回复的ICMP超时报文确定到达目的端的路径。利用Tracert通常可以测试，在从源端到达目的端的路径上，需要进行哪些节点，或是在其中的哪个节点上存在故障。

步骤一：设定实验环境 1、配置主机IP和路由器IP地址。 2、按照实验拓扑连接网络拓扑。 RA(config)#interface FastEthernet 0/0 RA(config-if)#ip address 211.103.220.160 255.255.255.0 RA(config)#interface FastEthernet 0/1 RA(config-if)#ip address 172.16.1.1 255.255.255.0 RA(config)#router rip RA(config-router)#network 172.16.0.0 RA(config-router)#network 211.103.220.0 RA(config-router)#version 2 RA(config-router)#no auto-summary RB(config)#interface FastEthernet 0/0 RB(config-if)#ip address 211.103.220.161 255.255.255.0 RB(config)#interface FastEthernet 0/1 RB(config-if)#ip address 10.255.70.12 255.255.255.0 RB(config-router)#network 10.0.0.0 RB(config-router)#network 211.103.220.0 RB(config-router)#version 2 RB(config-router)#no auto-summary RC(config)#interface FastEthernet 0/0 RC(config-if)#ip address 10.255.70.13 255.255.255.0 RC(config)#interface FastEthernet 0/1 RC(config-if)#ip address 218.241.240.1 255.255.255.0 RA(config-router)#network 10.0.0.0 RA(config-router)#network 218.241.240.0 RA(config-router)#version 2 RA(config-router)#no auto-summary 步骤二：捕获数据包，分析Tracert过程 1、在PC1中开启协议分析软件，进行数据包捕获 2、在PC1命令行中，用命令tracert 218.241.240.8对PC2进行路由跟踪，输出的Tracert 结果如下图所示。

路由跟踪命令

路由跟踪命令查看DNS、IP、Mac等 1.最基本，最常用的，测试物理网络的 ping 192.168.0.8 －t ，参数－t是等待用户去中断测试 2.查看DNS、IP、Mac等 A.Win98：winipcfg B.Win2000以上：Ipconfig/all C.NSLOOKUP：如查看河北的DNS C:\>nslookup Default Server: https://www.wendangku.net/doc/558831367.html, Address: 202.99.160.68 >server 202.99.41.2 则将DNS改为了41.2 > https://www.wendangku.net/doc/558831367.html, Server: https://www.wendangku.net/doc/558831367.html, Address: 202.99.160.68 Non-authoritative answer: Name: https://www.wendangku.net/doc/558831367.html, Address: 202.99.160.212 3.网络信使（经常有人问的~） Net send 计算机名/IP|* (广播) 传送内容，注意不能跨网段 net stop messenger 停止信使服务，也可以在面板－服务修改 net start messenger 开始信使服务 4.探测对方对方计算机名，所在的组、域及当前用户名（追捕的工作原理） ping －a IP －t ，只显示NetBios名 nbtstat -a 192.168.10.146 比较全的 https://www.wendangku.net/doc/558831367.html,stat -a 显示出你的计算机当前所开放的所有端口 netstat -s -e 比较详细的显示你的网络资料，包括TCP、UDP、ICMP 和IP的统计等 6.探测arp绑定（动态和静态）列表，显示所有连接了我的计算机，显示对方IP和MAC 地址 arp -a 7.在代理服务器端捆绑IP和MAC地址，解决局域网内盗用IP！： ARP －s 192.168.10.59 00 －50－ff－6c－08－75 解除网卡的IP与MAC地址的绑定： arp -d 网卡IP

实验一-Wireshark的安装与使用

一、实验目的 1、熟悉并掌握Wireshark的基本使用； 2、了解网络协议实体间进行交互以及报文交换的情况。二、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。三、预备知识要深入理解网络协议，需要观察它们的工作过程并使用它们，即观察两个协议实体之间交换的报文序列，探究协议操作的细节，使协议实体执行某些动作，观察这些动作及其影响。这种观察可以在仿真环境下或在因特网这样的真实网络环境中完成。观察正在运行的协议实体间交换报文的基本工具被称为分组嗅探器（packet sniffer），又称分组捕获器。顾名思义，分组嗅探器捕获（嗅探）你的计算机发送和接收的报文。图显示了一个分组嗅探器的结构。图分组嗅探器的结构图右边是计算机上正常运行的协议和应用程序（如：Web浏览器和FTP客户端）。分组嗅探器（虚线框中的部分）主要有两部分组成：第一是分组捕获器，其功能是捕获计算机发送和接收的每一个链路层帧的拷贝；第二个组成部分是分组分析器，其作用是分析并显示协议报文所有字段的内容（它能识别目前使用的各种网络协议）。 Wireshark是一种可以运行在Windows, UNIX, Linux等操作系统上的分组

嗅探器，是一个开源免费软件，可以从下载。运行Wireshark 程序时，其图形用户界面如图所示。最初，各窗口中并无数据显示。Wireshark 的界面主要有五个组成部分：命令和菜单协议筛选框捕获分组列表选定分组首部明细分组内容左：十六进制右：ASCII码图 Wireshark 主界面命令菜单（command menus）：命令菜单位于窗口的最顶部，是标准的下拉式菜单。协议筛选框（display filter specification）：在该处填写某种协议的名称，Wireshark据此对分组列表窗口中的分组进行过滤，只显示你需要的分组。捕获分组列表（listing of captured packets）：按行显示已被捕获的分组内容，其中包括：分组序号、捕获时间、源地址和目的地址、协议类型、协议信息说明。单击某一列的列名，可以使分组列表按指定列排序。其中，协议类型是发送或接收分组的最高层协议的类型。分组首部明细（details of selected packet header）：显示捕获分组列表窗口中被选中分组的首部详细信息。包括该分组的各个层次的首部信息，需要查看哪层信息，双击对应层次或单击该层最前面的“＋”即可。分组内容窗口（packet content）：分别以十六进制（左）和ASCII码（右）两种格式显示被捕获帧的完整内容。

简述TRACERT命令

简述TRACERT命令答：TRACERT判定数据包到达目的主机所经过的路径、显示数据包经过的中继节点清单和到达时间。Tracert通过发送小的数据包到目的设备直到其返回，来测量其需要多长时间。一条路径上的每个设备Traceroute要测3次。输出结果中包括每次测试的时间(ms)和设备的名称（如有的话）及其IP地址。简单描述VPN技术答：VPN是指采用隧道技术，将企业专网的数据加密封装后，透过虚拟的公网隧道进行传输，从而防止敏感数据的网络安全性。简述VLAN技术优点答：抑制广播风暴、增加网络安全、管理控制集中化简单描述隧道技术答：隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据（或负载）可以是不同协议的数据桢（此字不正确）或包。隧道协议将这些其它协议的数据桢或包重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点，数据将被解包并转发到最终目的地。隧道技术是指包括数据封装，传输和解包在内的全过程。什么是PPPOE？答：基于以太网的点对点协议，PPPOE通过用户登录来确保通讯的安全和测量每个用户的数据流量。简单描述SNMP 答：SNMP是指简单网络管理协议，是在TCP/IP网络上通过交换信息包的方式来实现网管。一、请说出DHCP的工作原理。（10分） DHCP是Dynamic Host Configuration Protocol。 1.寻找Server。当DHCP客户端第一次登录网路的时候﹐也就是客户发现本机上没有任何IP 资料设定﹐它会向网路发出一个DHCP DISCOVER封包 2.提供IP租用位址。当DHCP服务器监听到客户端发出的DHCP discover广播后﹐它会从那些还没有租出的位址范围内﹐选择最前面的的空置IP，连同其它TCP/IP设定，回应给客户端一个DHCPOFFER封包。 3.接受IP租约。如果客户端收到网路上多台DHCP服务器的回应，只会挑选其中一个DHCP offer(通常是最先抵达的那个)，并且会向网路发送一个DHCP request广播封包，告诉所有DHCP服务器它将指定接受哪一台服务器提供的IP位址。 4.确认阶段。即DHCP服务器确认所提供的IP地址的阶段。当DHCP服务器收到DHCP客户机回答的DHCP request请求信息之后，它便向DHCP客户机发送一个包含它所提供的IP 地址和其他设置的DHCPack确认信息，告诉DHCP客户机可以使用它所提供的IP地址。然后DHCP客户机便将其TCP/IP协议与网卡绑定，另外，除DHCP客户机选中的服务器外，其他的DHCP服务器都将收回曾提供的IP地址 5.重新登录。以后DHCP客户机每次重新登录网络时，就不需要再发送DHCP discover发现信息了，而是直接发送包含前一次所分配的IP地址的DHCP request请求信息 6.更新租约。DHCP服务器向DHCP客户机出租的IP地址一般都有一个租借期限，期满后DHCP服务器便会收回出租的IP地址。如果DHCP客户机要延长其IP租约，则必须更新其IP租约。

Wireshark使用教程

第 1 章介绍 1.1. 什么是Wireshark Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具，就好像使电工用来测量进入电信的电量的电度表一样。（当然比那个更高级）过去的此类工具要么是过于昂贵，要么是属于某人私有，或者是二者兼顾。 Wireshark出现以后，这种现状得以改变。Wireshark可能算得上是今天能使用的最好的开元网络分析软件。 1.1.1. 主要应用下面是Wireshark一些应用的举例： ?网络管理员用来解决网络问题 ?网络安全工程师用来检测安全隐患 ?开发人员用来测试协议执行情况 ?用来学习网络协议除了上面提到的，Wireshark还可以用在其它许多场合。 1.1. 2. 特性 ?支持UNIX和Windows平台 ?在接口实时捕捉包 ?能详细显示包的详细协议信息 ?可以打开/保存捕捉的包 ?可以导入导出其他捕捉程序支持的包数据格式 ?可以通过多种方式过滤包 ?多种方式查找包 ?通过过滤以多种色彩显示包 ?创建多种统计分析 ?…还有许多不管怎么说，要想真正了解它的强大，您还得使用它才行图 1.1. Wireshark捕捉包并允许您检视其内

1.1.3. 捕捉多种网络接口 Wireshark 可以捕捉多种网络接口类型的包，哪怕是无线局域网接口。想了解支持的所有网络接口类型，可以在我们的网站上找到https://www.wendangku.net/doc/558831367.html,/CaptureSetup/NetworkMedia. 1.1.4. 支持多种其它程序捕捉的文件 Wireshark可以打开多种网络分析软件捕捉的包，详见??? 1.1.5. 支持多格式输出 Wieshark可以将捕捉文件输出为多种其他捕捉软件支持的格式，详见??? 1.1.6. 对多种协议解码提供支持可以支持许多协议的解码(在Wireshark中可能被称为解剖)??? 1.1.7. 开源软件 Wireshark是开源软件项目，用GPL协议发行。您可以免费在任意数量的机器上使用它，不用担心授权和付费问题，所有的源代码在GPL框架下都可以免费使用。因为以上原因，人们可以很容易在Wireshark上添加新的协议，或者将其作为插件整合到您的程序里，这种应用十分广泛。 1.1.8. Wireshark不能做的事 Wireshark不能提供如下功能 ?Wireshark不是入侵检测系统。如果他/她在您的网络做了一些他/她们不被允许的奇怪的事情，Wireshark不会警告您。但是如果发生了奇怪的事情，Wireshark可能对察看发生了什么会有所帮助。[3]?Wireshark不会处理网络事务，它仅仅是“测量”(监视)网络。Wireshark不会发送网络包或做其它交互性的事情（名称解析除外，但您也可以禁止解析）。 1.2. 系通需求想要安装运行Wireshark需要具备的软硬件条件... 1.2.1. 一般说明 ?给出的值只是最小需求，在大多数网络中可以正常使用，但不排除某些情况下不能使用。[4] ?在繁忙的网络中捕捉包将很容塞满您的硬盘！举个简单的例子：在100MBIT/s全双工以太网中捕捉数据将会产生750MByties/min的数据！在此类网络中拥有高速的CPU，大量的内存和足够的磁盘空间是十分有必要的。 ?如果Wireshark运行时内存不足将会导致异常终止。可以在 https://www.wendangku.net/doc/558831367.html,/KnownBugs/OutOfMemory察看详细介绍以及解决办法。 ?Wireshark作为对处理器时间敏感任务，在多处理器/多线程系统环境工作不会比单独处理器有更快的速度，例如过滤包就是在一个处理器下线程运行，除了以下情况例外：在捕捉包时“实时更新包列表”，此时捕捉包将会运行在一个处理下，显示包将会运行在另一个处理器下。此时多处理或许会有所帮助。[5] 1.2.2. Microsoft Windows ?Windows 2000,XP Home版,XP Pro版,XP Tablet PC，XP Media Center, Server 2003 or Vista(推荐在XP下使用) ?32-bit奔腾处理器或同等规格的处理器（建议频率：400MHz或更高）,64-bit处理器在WoW64仿真环境下-见一般说明 ?128MB系统内存（建议256Mbytes或更高） ?75MB可用磁盘空间（如果想保存捕捉文件，需要更多空间） 800*600（建议1280*1024或更高）分辨率最少65536(16bit)色，(256色旧设备安装时需要选择”legacy GTK1”) ?网卡需求： o以太网：windows支持的任何以太网卡都可以 o无线局域网卡：见MicroLogix support list, 不捕捉802.11包头和无数据桢。 o其它接口见：https://www.wendangku.net/doc/558831367.html,/CaptureSetup/NetworkMedia

TRACERT命令及用法

TRACERT命令及用法 Tracert（跟踪路由）是路由跟踪实用程序，用于确定 IP 数据报访问目标所采取的路径。Tracert 命令用 IP 生存时间 (TTL) 字段和 ICMP 错误消息来确定从一个主机到网络上其他主机的路由。 Tracert（跟踪路由）是路由跟踪实用程序，用于确定 IP 数据报访问目标所采取的路径。Tracert 命令用 IP 生存时间 (TTL) 字段和 ICMP 错误消息来确定从一个主机到网络上其他主机的路由。 Tracert 工作原理通过向目标发送不同 IP 生存时间 (TTL) 值的“Internet 控制消息协议 (ICMP)”回应数据包，Tracert 诊断程序确定到目标所采取的路由。要求路径上的每个路由器在转发数据包之前至少将数据包上的 TTL 递减 1。数据包上的 TTL 减为 0 时，路由器应该将“ICMP 已超时”的消息发回源系统。 Tracert 先发送 TTL 为 1 的回应数据包，并在随后的每次发送过程将 TTL 递增 1，直到目标响应或 TTL 达到最大值，从而确定路由。通过检查中间路由器发回的“ICMP 已超时”的消息确定路由。某些路由器不经询问直接丢弃 TTL 过期的数据包，这在 Tracert 实用程序中看不到。 Tracert 命令按顺序打印出返回“ICMP 已超时”消息的路径中的近端路由器接口列表。如果使用 -d 选项，则 Tracert 实用程序不在每个 IP 地址上查询 DNS。

在下例中，数据包必须通过两个路由器（10.0.0.1 和192.168.0.1）才能到达主机 172.16.0.99。主机的默认网关是10.0.0.1，192.168.0.0 网络上的路由器的IP 地址是192.168.0.1。 C:\>tracert 172.16.0.99 -d Tracing route to 172.16.0.99 over a maximum of 30 hops 1 2s 3s 2s 10,0.0,1 2 75 ms 8 3 ms 88 ms 192.168.0.1 3 73 ms 79 ms 93 ms 172.16.0.99 Trace complete. 用 tracert 解决问题可以使用 tracert 命令确定数据包在网络上的停止位置。下例中，默认网关确定 192.168.10.99 主机没有有效路径。这可能是路由器配置的问题，或者是 192.168.10.0 网络不存在（错误的 IP 地址）。 C:\>tracert 192.168.10.99 Tracing route to 192.168.10.99 over a maximum of 30 hops 1 10.0.0.1 reports:Destination net unreachable. Trace complete. Tracert 实用程序对于解决大网络问题非常有用，此时可以采取几条路径到达同一个点。 Tracert 命令行选项

常见的9个网络命令详解(图)

实验：常见的9个网络命令 1．ping命令 ping是个使用频率极高的实用程序，主要用于确定网络的连通性。这对确定网络是否正确连接，以及网络连接的状况十分有用。简单的说，ping就是一个测试程序，如果ping 运行正确，大体上就可以排除网络访问层、网卡、Modem的输入输出线路、电缆和路由器等存在的故障，从而缩小问题的范围。 ping能够以毫秒为单位显示发送请求到返回应答之间的时间量。如果应答时间短，表示数据报不必通过太多的路由器或网络，连接速度比较快。ping还能显示TTL（Time To Live，生存时间）值，通过TTL值可以推算数据包通过了多少个路由器。 (1) 命令格式 ping 主机名 ping 域名 ping IP地址如图所示，使用ping命令检查到IP地址210.43.16.17的计算机的连通性，该例为连接正常。共发送了四个测试数据包，正确接收到四个数据包。 (2) ping命令的基本应用一般情况下，用户可以通过使用一系列ping命令来查找问题出在什么地方，或检验网

络运行的情况。下面就给出一个典型的检测次序及对应的可能故障： ① ping 127.0.0.1 如果测试成功，表明网卡、TCP/IP协议的安装、IP地址、子网掩码的设置正常。如果测试不成功，就表示TCP/IP的安装或设置存在有问题。 ② ping 本机IP地址如果测试不成功，则表示本地配置或安装存在问题，应当对网络设备和通讯介质进行测试、检查并排除。 ③ ping局域网内其他IP 如果测试成功，表明本地网络中的网卡和载体运行正确。但如果收到0个回送应答，那么表示子网掩码不正确或网卡配置错误或电缆系统有问题。 ④ ping 网关IP 这个命令如果应答正确，表示局域网中的网关路由器正在运行并能够做出应答。 ⑤ ping 远程IP 如果收到正确应答，表示成功的使用了缺省网关。对于拨号上网用户则表示能够成功的访问Internet（但不排除ISP的DNS会有问题）。 ⑥ ping localhost local host是系统的网络保留名，它是127.0.0.1的别名，每台计算机都应该能够将该名字转换成该地址。否则，则表示主机文件（/Windows/host）中存在问题。 ⑦ ping https://www.wendangku.net/doc/558831367.html,（一个著名网站域名）对此域名执行Ping命令，计算机必须先将域名转换成IP地址，通常是通过DNS服务器。如果这里出现故障，则表示本机DNS服务器的IP地址配置不正确，或它所访问的DNS服务器有故障如果上面所列出的所有ping命令都能正常运行，那么计算机进行本地和远程通信基本上就没有问题了。但是，这些命令的成功并不表示你所有的网络配置都没有问题，例如，某些子网掩码错误就可能无法用这些方法检测到。（3）ping命令的常用参数选项 ping IP -t：连续对IP地址执行ping命令，直到被用户以Ctrl+C中断。 ping IP -l 2000：指定ping命令中的特定数据长度（此处为2000字节），而不是缺

Tracert(跟踪路由)是路由跟踪实用程序,用于确定IP(精)

Tracert（跟踪路由）是路由跟踪实用程序，用于确定IP 数据报访问目标所采取的路径。Tracert 命令用IP 生存时间(TTL) 字段和ICMP 错误消息来确定从一个主机到网络上其他主机的路由。 Tracert 工作原理通过向目标发送不同IP 生存时间(TTL) 值的“Internet 控制消息协议(ICMP)”回应数据包，Tracert 诊断程序确定到目标所采取的路由。要求路径上的每个路由器在转发数据包之前至少将数据包上的TTL 递减1。数据包上的TTL 减为0 时，路由器应该将“ICMP 已超时”的消息发回源系统。 Tracert 先发送TTL 为1 的回应数据包，并在随后的每次发送过程将TTL 递增1，直到目标响应或TTL 达到最大值，从而确定路由。通过检查中间路由器发回的“ICMP 已超时”的消息确定路由。某些路由器不经询问直接丢弃TTL 过期的数据包，这在Tracert 实用程序中看不到。 Tracert 命令按顺序打印出返回“ICMP 已超时”消息的路径中的近端路由器接口列表。如果使用-d 选项，则Tracert 实用程序不在每个IP 地址上查询DNS。在下例中，数据包必须通过两个路由器（10.0.0.1 和192.168.0.1）才能到达主机172.16.0.99。主机的默认网关是10.0.0.1，192.168.0.0 网络上的路由器的IP 地址是192.168.0.1。 C:\>tracert 172.16.0.99 -d Tracing route to 172.16.0.99 over a maximum of 30 hops 1 2s 3s 2s 10,0.0,1 2 75 ms 8 3 ms 88 ms 192.168.0.1 3 73 ms 79 ms 93 ms 172.16.0.99 Trace complete. 用tracert 解决问题可以使用tracert 命令确定数据包在网络上的停止位置。下例中，默认网关确定192.168.10.99 主机没有有效路径。这可能是路由器配置的问题，或者是192.168.10.0 网络不存在（错误的IP 地址）。 C:\>tracert 192.168.10.99 Tracing route to 192.168.10.99 over a maximum of 30 hops 1 10.0.0.1 reports:Destination net unreachable. Trace complete.

GNS3,VPcs,wireshark安装与使用教程

GNS3，VPCS，wireshark的安装与使用教程 1.准备工作（1）若原来安装过Dynamips和wincap（旧版本）的请先卸载。（2）在任意盘下建立文件夹LAB，在该文件夹下建立3个子文件夹project， temp， ios，文件夹名字可以根据个人喜好改变，但一定要为英文。（3）将已有的IOS及PIX的BIN文件拷到ios文件夹下（在GNS30.7版本中，模拟时无法识别RAR的文件，RAR文件必须解压为BIN文件，然后加载，GNS30.6中可以识别）。 2.开始安装组件全部安装。 3.安装完成启动GNS3，进入初始界面，选择第一个进入配置界面（第2次以及以后登录，在“编辑——首选项”中可打开）

设定：在语言处选择自己合适的语言，project为拓扑图所在处，image为IOS文件所在文件夹。然后选择左边的第二个Dynamips ； Executable path为dynmpis-wxp.Exe 的路径，选择你所安装的文件夹即可 Working director为GNS3工作时，产生的临时文件所在目录 Enable sparse memory feature 勾上，可以节约内存。配置好后，点击Test，进行测试

测试成功，基本配置完成。 4.加载IOS（点击：“编辑——IOS和Hypervisors”）;进入IOS配置界面选择合适的IOS配置并保存（IOS先以放入对应的文件夹）配置好后，选择路由器运行路由器当路由器成功运行后，准备计算Idle值(GNS3完全模拟路由器的内核，相当于真实路由，所以会大量消耗CPU和内存，计算Idle的值，是为了减少CPU空转的时间，提高利用率）

Tracert使用方法

该诊断实用程序将包含不同生存时间(TTL) 值的Internet 控制消息协议(ICMP) 回显数据包发送到目标，以决定到达目标采用的路由。要在转发数据包上的TTL 之前至少递减1，必需路径上的每个路由器，所以TTL 是有效的跃点计数。数据包上的TTL 到达0 时，路由器应该将“ICMP 已超时”的消息发送回源系统。Tracert 先发送TTL 为 1 的回显数据包,并在随后的每次发送过程将TTL 递增1，直到目标响应或TTL 达到最大值，从而确定路由。路由通过检查中级路由器发送回的“ICMP 已超时”的消息来确定路由。不过，有些路由器悄悄地下传包含过期TTL 值的数据包，而tracert 看不到。 tracert [-d] [-h maximum_hops] [-j computer-list] [-w timeout] target_name 使用tracert 跟踪网络连接 Tracert（跟踪路由）是路由跟踪实用程序，用于确定IP 数据报访问目标所采取的路径。Tracert 命令用IP 生存时间(TTL) 字段和ICMP 错误消息来确定从一个主机到网络上其它主机的路由。 Tracert 工作原理通过向目标发送不同IP 生存时间(TTL) 值的“Internet 控制消息协议(ICMP)”回应数据包，Tracert 诊断程序确定到目标所采取的路由。要求路径上的每个路由器在转发数据包之前至少将数据包上的TTL 递减1。数据包上的TTL 减为0 时，路由器应该将“ICMP 已超时”的消息发回源系统。 Tracert 先发送TTL 为1 的回应数据包，并在随后的每次发送过程将TTL 递增1，直到目标响应或TTL 达到最大值，从而确定路由。通过检查中间路由器发回的“ICMP 已超时”的消息确定路由。某些路由器不经询问直接丢弃TTL 过期的数据包，这在Tracert 实用程序中看不到。 Tracert 命令按顺序打印出返回“ICMP 已超时”消息的路径中的近端路由器接口列表。如果使用-d 选项，则Tracert 实用程序不在每个IP 地址上查询DNS。在下例中，数据包必须通过两个路由器（10.0.0.1 和192.168.0.1）才能到达主机172.16.0.99。主机的默认网关是10.0.0.1，192.168.0.0 网络上的路由器的IP 地址是192.168.0.1。 C:\>tracert 172.16.0.99 -d Tracing route to 172.16.0.99 over a maximum of 30 hops 1 2s 3s 2s 10,0.0,1 2 75 ms 8 3 ms 88 ms 192.168.0.1 3 73 ms 79 ms 93 ms 172.16.0.99 Trace complete. 用tracert 解决问题可以使用tracert 命令确定数据包在网络上的停止位置。下例中，默认网关确定192.168.10.99 主机没有有效路径。这可能是路由器配置的问题，或者是192.168.10.0 网络不存在（错误的IP 地址）。 C:\>tracert 192.168.10.99 Tracing route to 192.168.10.99 over a maximum of 30 hops 1 10.0.0.1 reports:Destination net unreachable. Trace complete.

计算机网络 Tracert 命令

Tracert 命令一、tracert命令的功能 Tracert（跟踪路由）是路由跟踪实用程序，用于确定IP 数据报访问目标主机所采取的路径。路由器在转发一个IP 数据报时，会将数据包中的TTL（生存时间）值减1，当数据包上的TTL 减为0 时，路由器会将一个“ICMP 已超时”的消息发回源主机。 Tracert 命令先发送TTL 为 1 的回应数据包，并在随后的每次发送过程将TTL 递增1，直到目标主机响应或TTL 达到最大值，从而确定路由。通过检查中间路由器发回的“I CMP 已超时”的消息确定路由。说明：某些路由器不经询问直接丢弃TTL 过期的数据包，这时用Tracert 命令检测会出现偏差。另外，如果到达目的主机有不止一条路径，Tracert 命令探查到的只是其中一条路径。二、tracert命令的使用使用tracert命令时，先打开“开始→程序→附件→命令提示符”，然后就可输入命令了。 ①tracert IP地址或URL：检测到指定主机经过的路由。这条命令执行较慢，每个路由器我们大约需要给它15秒钟。 ②tracert IP地址或URL -d：功能与①相同，但不会尝试解析路径中路由器的名称，所以速度要快一些，如图1所示。上例中是探测到主机172.16.0.99 的路径，可以看出需要经过2个路由器，第1个路由器的IP地址是10.0.0.1（这应该是本网络的出口路由器，即本网络的默认网关），第2个路由器的IP地址是192.168.0.1，然后可到达目的主机172.16.0.99。

这是一个探测失败的例子，没有测试到目的主机，可能该IP地址不存在。如果可以肯定IP地址是存在的，则可能是路由器的配置有问题。这个例子中确定了数据包停止的位置，有利于找到故障点 ③tracert IP地址或URL -h maximum_hops：指定跃点数以跟踪到目的主机的路由。 ④tracert IP地址或URL -j host-list：指定Tracert实用程序数据包所采用路径中的路由器接口列表。 ⑤tracert IP地址或URL -w timeout：等待timeout为每次回复所指定的毫秒数。

实验12 Wireshark 工具的使用与TCP数据包分析

Wireshark 工具的使用与TCP数据包分析(SEC-W07-007.1) Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是捕捉网络数据包，并尽可能显示出最为详细的数据包内容。在过去，网络数据包分析软件或者非常昂贵，或者专门属于营利用的软件。Wireshark的出现改变了这一切。在GNUGPL通用许可证的保障下，使用者可以免费取得软件及其源代码，并拥有对源代码修改的权利。Wireshark 是目前全世界最广泛的网络封包分析软件之一。传输控制协议（Transmission Control Protocol），简称TCP协议，是一种面向连接（连接导向）的、可靠的、基于字节流的运输层（Transport layer）通信协议，由IETF的RFC 793说明（specified）。在简化的计算机网络OSI模型中，它完成第3层传输层所指定的功能，基于TCP的常见应用如TELNET，SSH，HTTP，FTP等。实验目的 ●学习Wireshark工具的使用。 ●学习TCP协议及其TCP头部结构。 ●利用Wireshark分析TCP数据包内容。实验准备 ●获取Windows 远程桌面客户端工具mstsc压缩包并解压。 ●获取服务器Windows操作系统Administrator管理员口令。 ●获取服务器IP地址。实验步骤学习Wireshark工具使用步骤说明：使用Wireshark工具，熟悉常见功能配置。准备一台win20003和win xp电脑。服务器（win2003）： 1．设置IP地址为192.168.25.77 2．选择控制面板下的添加/删除程序---添加/删除windows组件对话框中的应用程序服务器---Internet 信息服务---文件传输协议(FTP)服务。 3．右击我的电脑，选择管理，选择本地用户和组---用户---administrator,设置其密码为123456 4．右击我的电脑，选择属性---远程选项卡，勾选远程桌面下的允许用户远程连接到这台计算机。（开启了3389端口，通过netstat –an 可以查看） 5．在该服务器上安装Wireshark软件。 Win xp(设置其ip地址为192.168.25.78) 1.运行远程桌面客户端程序mstsc.exe，输入服务器端IP地址，点击Connect连接，如图1：

Ping和Tracert命令原理详解

关于Ping和Tracert命令原理详解本文只是总结了两个常用的网络命令的实现原理和一点使用经验说明。这些东西通常都分布在各种书籍或者文章中的，我勤快那么一点点，总结一下，再加上我的一点理解和使用经验，方便大家了解。这些也是很基础的东西，没什么高深的。 Ping 这个应该大家都会用的吧，最主要的就是检测目标主机是不是可连通。Ping程序实际就是发送一个ICMP回显请求报文（就是请求别人收到这个报文之后回显）给目的主机，并等待回显的ICMP应答。然后打印出回显的报文。Ping不通一个地址，并不一定表示这个IP不存在或者没有连接在网络上，因为对方主机可能做了限制，比如安装了防火墙，因此Ping不通并不表示不能使用FTP或者TELNET连接。 C:\Documents and Settings\snoopy> ping 202.103.176.22 /t Pinging 202.103.176.22 with 32 bytes of data: Reply from 202.103.176.22: bytes=32 time=6ms TTL=58 Reply from 202.103.176.22: bytes=32 time=6ms TTL=58 PING得到的结果包括字节数、反应时间、以及生存时间。Ping程序通过在ICMP报文数据中存放发送请求的时间来计算返回时间。当应答返回时，根据现在时间减去报文中存放的发送时间就得到反应时间了。生存时间（TTL），本来就存放在IP数据报的头部，直接就能够获取。在返回的报文显示的TTL值表示从目标主机到源主机剩下的跳数。 Tracert 首先，要知道一个路由器的原理：当路由器接收到一个TTL为1的IP数据报的时候，路由器就不再转发这个数据了，而直接丢弃，并且发送一个ICMP“超时”信息给源主机，这个信息会带上自己的接口地址。（当路由器接收到TTL＝1的数据包时，它会将TTL值减1，这时TTL值减为0，路由器将会丢弃该报文并向源点发送错误信息。这个方法可以防止报文在互联网上无休止的传输，所以网络中根本就不会有TTL=0的报文）一个探测路由的程序，可以让我们看见IP数据报到达目的地经过的路由。Tracert利用ICMP数据报和IP数据报头部中的TTL值来实现。TTL（Time To Live）是一个IP数据报的生存时间，当每个IP数据报经过路由器的时候都回把TTL值减去1或者减去在路由器中停留的时间，但是大多数数据报在路由器中停留的时间都小于1 秒种，因此实际上就是在TTL值减去了1。这样，TTL值就相当于一个路由器的计数器。当路由器接收到一个TTL为1的IP数据报的时候，路由器就不再转发这个数据了，而直接丢弃，并且发送一个ICMP“超时”信息给源主机。Tracert程序的关键就是这个回显的ICMP报文的IP报头的信源地址就是这个路由器的IP地址。同时，如果到达了目的主机，我们并不能知道，于是，Tracert还同时发送一个UDP信息给目的主机，并且选择一个很大的值作为UDP的端口，使主机的任何一个应用程序都不使用这个端口。所以，当达到目的主机的时候，目标主机的UDP模块（别的主机的不会做出反应）就产生一个“端口不可到达”的错误，这样就能判断是否是到达目的地了。