Route的输出举例。建议先阅读《路由基础》一章， 相当于静态路由的内容

探测类工具
NETSTAT的使用
Netstat的常用参数介绍 -a 显示所有的连接和侦听端口。默认时，侦听 端口不显示 -e 显示本地网卡的数据包收发统计值 -p 按TCP、UDP、TCPv6、UDPv6分类显示 -r 显示路由表，效果同route print -s 相当于-e –p的组合，按照协议分类来进行 统计，但更加详细

探测类工具
IPCONFIG的示例
IPCONFIG的输出示例，查看当前IP配置属性

探测类工具
IPCONFIG的示例（续）
IPCONFIG的输出示例，查看当前DNS缓冲信息

探测类工具
ROUTE的使用
Unix平台的调试工具暂不涉及，在高级课程中讨论

概述
教学目的
学会MicroSoft系统中常见自带工具的使用 通过调试工具，缩小/确定故障点的范围

目录
概述
探测类工具
查询类工具
实验与练习 小结

Windows主机通常会采用ICMP探测方式，而 BDCOM、CISCO、Huawei等公司的网络设备通 常会采用UDP探测 有些服务器等被探测设备为了安全考虑，可能会关 闭ICMP响应，此时用ICMP探测会失败，而UDP探 测则不会 ICMP探测时，以Echo Reply报文宣告Tracert终止， 而UDP探测以Port-unreachable宣告终止 两者本质上没有差别，都是通过控制TTL的值来进行
PC: 192.168.1.22 Serv: 192.168.1.1 Router: 192.168.1.254
192.168.1.1 在吗？ 我是192.168.1.1

探测类工具
PING示例
本例为192.168.19.180 ping 192.168.1.6 每发送一个Req并成功收到一个Reply，为ping通 一次 Ping通常会重复多次进行
探测类工具
TRACERT的使用
Tracert的语法 Tracert+target+[若干可选参数]

探测类工具
TRACERT的使用（续）
多数情况下， Tracert的这些辅助参数都是不用的

探测类工具
TRACERT的输出信息

探测类工具
基础知识
本文介绍的所有调试工具都是在CMD Line窗口中 进行的，也就是一般说的MSDOS窗口 进入该模式的方法为： 开始运行“cmd”<回车>

探测类工具
PING
ICMP是一套网络层的协议/标准 Ping是一个应用程序，借助了ICMP中的Echo报 文，用以探测IP网络中某主机是否可达 Ping的基本工作原理（Echo Req＋Echo Reply）

探测类工具
ARP的使用（续）
ARP的选项 Inet_address 需要解析的（对端）IP地址 Eth_address 解析出来的MAC地址 If_address 本机网卡的MAC地址

探测类工具
ARP的使用（续）

探测类工具
PING的输出出上述的这些ping 的结果？

探测类工具
TRACERT
Tracert是一个借助了ICMP中Echo和TTL exceed报 文来实现网络探测的应用程序 Tracert更关注到目的地址的通路的过程细节；而 Ping只关心是否可以到达指定的目的地址，即结果 Tracert的基本工作原理 TTL=0、1时，数据包将被丢弃，并向源主机发送 TTL exceed超时报文） Tracert主机依次以TTL=1、2、3…向目的地址发 起Echo Req报文，这样通路上的主机会按顺序发 回TTL exceed报文
ARP的示例：查看当前arp表

探测类工具
IPCONFIG系列命令介绍
IPconfig [/all] 显示本机网卡的IP地址、掩码、网关等信息，带/all 参数时，额外显示MAC地址、DNS等 IPconfig {/release | /renew} 在采用DHCP地址分配模式下，可以进行IP地址的手 工释放和重新获取 IPconfig {/flushdns | /displaydns} 显示/清空当前的DNS缓冲信息
对所执行命令的解释和确认，并包含域名解析结果 通路上每个主机/网关的详细信息（顺序、时延*3、 具体地址等） 使用CTRL+C、CTRL+Break可强行终止

探测类工具
BDCOM的Traceroute机制
实际上，BDCOM的Traceroute机制的核心还是控 制TTL值的增长，然后通过判断收到的ICMP（TTL exceed）来收集路径信息 不同之处在于，每次发送的报文不是ICMP报文， 而是length=0的UDP报文 这些UDP报文的目的端口通常是很大的随机值，如 30000以上的值，“确保”对方正好没有提供相关 的服务 第一个承载UDP的IP报文，TTL=1，后面依次增加1
Serv
10.0.0.1
10.0.0.2
PC Ping Serv TTL=1,2,3... TTL exceed
TTL exceed
…...
TTL exceed

202.96.19.111
探测类工具
TRACERT示例
每次探测都会发送三个Echo req报文，可以看到返 回的报文是Time Ex即TTL exceed。 不同的主机先后返回TTL exceed，根据他们的源IP 地址，可以描绘出一个IP通路

探测类工具
TRACERT（续）
Tracert在探测到目标地址后会自动终止，或者探测 的跳数hops超过30（默认值） 网络上的设备可能会因为ACL拦截、防火墙等原因， 不一定会回应TTL exceed报文
192.168.1.22 192.168.1.1 202.1.1.1

探测类工具
PING的输出信息（BDCOM）
在BDCOM路由器上，ping的结果很多都是使用字 母和标点来表示的，常见的有如下几种 !!!!! 表示echo和echo reply完全正常，ping成功 ...... 表示timeout超时，reply没有在规定时间内返回； 也有可能Echo没有正常发出；也可能目标不存在 TTTTT 表示TTL超时，icmp报文在转发过程中变成0了 UUUUU Unreachable，当内ping设备没有相关的路由时， 通常回返回目标不可达信息

探测类工具
PING的输出信息
对所执行命令的确认描述，以及对NS域名的解析 Ping的详细过程，具体到每个数据包的Length、 time、TTL等信息 统计信息，包括丢包率、双程时间延迟、最大和最 小时延等 使用CTRL+C、CTRL+Break可强行或暂时终止

探测类工具
BDCOM的Traceroute示例
UDP探测

探测类工具
BDCOM的Traceroute示例（续）
中途TTL exceed和Port-unreachable终点

探测类工具
Traceroute比较
探测类工具
PING的使用
Ping的语法 Ping+target+[若干可选参数]

探测类工具
PING的常用选项
-t 持续的ping/探测某个目的地址，除非人为干预； 通常用于测试长时间通信的稳定性 -n 发送指定数量的探测报文；通常用于判断丢包 率或者单步跟踪（n=1时） -l 指定Echo req报文的长度；用以检测设备对大 包的转发能力 -i 指定Echo Req报文的TTL值

目录
概述
探测类工具
查询类工具
实验与练习 小结

探测类工具
ARP的使用
ARP是一种根据IP地址解析MAC地址的协议，用以 协助将IP数据包封装成二层的以太网帧，以便在以 太网上进行转发 相关的原理请参阅《以太网基础》 ARP的语法 -a 查看… -s 添加… -d 删除…
Route –f 手工清除ipconfig中的所有默认网关信息 Route –p 辅助参数，使添加的路由变成永久性质 Route command … 对本地路由表进行查看、添加、删除等操作 上述多个参数可以组合运用

探测类工具
ROUTE的使用（续）

探测类工具
NETSTAT的使用
Netstat的输出举例，网卡输入输出的IP包统计信息

探测类工具
NETSTAT的使用
Netstat的输出举例，当前的所有TCP链接状况
探测类工具
基础知识
ICMP－Internet Control Message Protocol ICMP处于OSI的L3网络层，设计用于为网络管理人 员的维护和排障工作提供必要且便利的信息 参阅ICMP的报文结构：根据Type类型码可以将 ICMP分为Echo、Unreachable、TTL exceed、 Redirect等多种。当Type=8时，为Echo Req报文， Type=0时，为Reply报文

探测类工具
BDCOM的Traceroute机制（续）
设备收到UDP探测报文之后，如果其目的IP不是自 己，就要转发，同时如果TTL≤1，如果是，则回应 TTL exceed的ICMP报文；否则继续转发 如果发现目的IP地址就是自己，且TTL=1，则向上提 交UDP处理，由于目的端口是一个很大的随机值， 通常没有对应的服务开启，所以回应PortUnreachable的ICMP报文 Traceroute通过收集TTL exceed和unreachable 报文的源IP，就可以绘制出一幅路径图了。