3网络安全基础命令

Tracert命令
7 net指令

net指令的功能非常的强大，net指令在网络安全领域通常用 来查看计算机上的用户列表、添加和删除用户、和对方计 算机建立连接、启动或者停止某网络服务等。

利用“net user”查看计算机上的用户列表，如图2-44所示。
net指令

利用“net user 用户名 密码”给某用户修 改密码，比如把管理员的密码修改成 “123456”，如图2-45所示。
ARP请求报文（携带主机A的IP地址Ia——物理地址
Pa），请求IP地址为Ib的主机B回答物理地址Pb。网
上所有主机包括B都收到ARP请求，但只有主机B识别 自己的IP地址，于是向A主机发回一个ARP响应报文。
其中就包含有B的MAC地址，A接收到B的应答后，就
会更新本地的ARP缓存。接着使用这个MAC地址发送


预防措施
1、及时升级客户端的操作系统和应用程序补丁； 2、安装和更新杀毒软件； 3、如果网络规模较少，尽量使用手动指定IP设 置，而不是使用DHCP来分配IP地址。 4、如果交换机支持，在交换机上绑定MAC地址与 IP地址。
3 ipconfig命令
IPConfig可用于显示当前的TCP/IP配置 的设置值，这些信息一般用来检验人工配置
我知道10.1.46.1 的MAC地址是:xxxxxx
谁知道10.1.46.1 的MAC地址
ARP使用方法
常用参数: Arp –a :显示所有的Arp表项
ARP原理：某机器A要向主机B发送报文，会查询 本地的ARP缓存表，找到B的IP地址对应的MAC地址
后，就会进行数据传输。如果未找到，则广播A一个
正常情况下，当我们使用Ping命令来查 找问题所在或检验网络运行情况时，我们 需要使用许多Ping命令，如果所有都运行 正确，我们就可以相信基本的连通性和配 置参数没有问题；如果某些Ping命令出现 运行故障，它也可以指明到何处去查找问 题。
校验与远程计算机或本地计算机的连接。只有在 安装 TCP/IP 协议之后才能使用该命令。在命令行下 输入ping回车即可看到：
其他用法：
使用ping命令查看主机的IP地址（不管通还是不通）：
例如: ping www.baidu.com
使用ping判断TCP/IP故障
1、Ping 127.0.0.1 或者 Ping localhost 127.0.0.1是本地循环地址，如果本地址无法Ping通，则表
明本地机TCP/IP协议不能正常工作。
拓展知识

后门

定义：

又称为Back Door，是绕过安全性控制而获取对程序 或系统访 问权的方法。

例：在软件开发阶段，程序员常会在软件内创建后门以便可以 修改程序中的缺陷。

后门产生的必要条件

必须以某种方式与其它终端节点相连 目标机默认开放的可供外界访问的端口必须在一个以上

注：在一台默认无任何端口开放的机器是无法进行通信的。

目标机存在程序设计缺陷或人为疏忽，导致攻击者能以权限 较高的身份执行程序。
拓展知识

后门


-n count 发送由 count 指定数量的 ECHO 报文，默认值为 4。
使用方法：
ping -t ip
校验与指定计算机的连接，直到用户通过 ctrl+c终止。
ping -a ip 将地址解析为计算机名。
ping -n count ip 发送由 count 指定数量的 ECHO 报文，默 认值为 4。
netstat命令的功能是显示网络连接、路由
表和网络接口信息，可以让用户得知目前都有
哪些网络连接正在运作。
netstat -n
使用这个参数，表示以网络IP地址代替名称， 显示出网络连接情形。
通过上面的例子我们可以看出，
10.152.10.93这台主机和61.162.229.36的8065端口
建立了一个TCP连接，并且和21端口也建立了一个
拓展知识

端口

定义：是计算机与外界通信交流的出口；

在硬件领域端口也称为接口 在软件领域端口指网络中通信协议的端口，是逻 辑意义上的端口。

端口通过端口号来标记，端口号只有整数 端口范畴0～65535（216-1）

分类

按端口号来分类：公认端口、注册端口、动态\私 有端口。
拓展知识

因此我们可以判断，这个家伙正在浏览WEB。
Netstat命令应用举例： ［实例1］判断机器是否中了木马 检查你自己的系统上有没有被安装木马，目前流行的木马都有 它们常用的端口号，比如：12345端口常被特洛伊木马所使用， 如果在显示结果中出现例似的信息：“ Port 12345(TCP)”就要 注意感染特洛伊木马的可能性了，其它木马常用端口号，感兴 趣的同学可以到互联网上查询木马表。 ［实例2］获得别人的IP地址 在使用 OICQ 或 ICQ 等聊天软件时要想知道好友的 IP 地址可以 采取下列方法： 步骤 1.打开一个 MS－DOS 窗口，执行 Netstat –n命令获得你的 系统已经打开的端口和远程连接列表。 步骤2.然后打开OICQ，给目标好友发信息。 步 骤 3. 当 你 们 还 在 聊 天 的 时 候 ， 返 回 DOS 窗 口 ， 再 次 执 行 Netstat –n命令，你将发现一个显示新连接的IP地址，这个就应 该是“目标好友”的IP地址。
2、Ping本机的IP地址： 用IPConfig查看本机IP，然后Ping该IP，通则表明网络适配器 工作正常，不通则是网络适配器出现故障。
3、Ping网址： 如Ping www.baidu.com，正常情况下会出现该 网址所指向的IP，这表明本机的DNS设置正确而且 DNS服务器工作正常，反之就可能是其中之一出现
了故障。
ping还可以用来进行DDOS攻击。比如 ：死亡之ping命令为： ping 127.0.0.1 –l 65500 -t
2 ARP 地址解析协议

原理: arp即地址解析协议，在常用以太网或令牌
LAN上，用于实现第三层到第二层地址的转换IP MAC

功能: 显示和修改IP地址与MAC地址的之间映射。
数据（由网卡附加MAC地址）。因此，本地高速缓存
的这个ARP表是本地网络流通的基础，而且这个缓存 是动态的。
ARP使用方法
其他参数: Arp -s:在ARP缓存中添加一条记录.
C:\>Arp -s 126.13.156.2 02-e0-fc-fe-01-b9

Arp -d:在ARP缓存中删除一条记录.
Win7下绑定IP和MAC地址办法




相关命令： 1、使用 arp -a 命令 查看网关的MAC网卡 物理地址 2、使用 netsh i i show in 命令 查看 本地连 接的idx编号 3、使用 netsh -c "i i" add neighbors 本地连 接的idx “网关IP” “网关mac” 命令绑定 4、使用 arp -a 查看结果
简单的说， Ping就是一个测试程序，如果Ping
运行正确，我们大体就可以排除网络访问层、网
卡、MODEM的输入输出线路、电缆和路由器等
存在的故障，从而减小了问题的范围。但由于可
以自定义所发送数据报的大小及无休止的高速发
送， Ping也被某些别有用心的人作为DDOS（拒
绝服务攻击）的工具，例如许多大型的网站就是 被黑客利用数百台可以高速接入互联网的电脑连 续发送大量Ping数据报而瘫痪的。
ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v TOS][-r count] [-s count] [[-j host-list] | [-k host-list]][-w timeout] target_name
-t 校验与指定计算机的连接，直到用户中断。 -a 将地址解析为计算机名。
动态端口
1024~65535
拓展知识

漏洞

定义：

在硬件、软件、协议的具体实现或系统安全策略上存在的 缺陷，从而可以使攻击者能够在未授权的情况下访问或破 坏系统 软件编写存在BUG。 系统配置不当 密码失窃 嗅探未加密通信数据 由于设计方面考虑不全或应用的限制而存在的缺陷都属于 漏洞

分类

端口

分类

按端口号来分类：公认端口、注册端口、动态\私有端口。
端口范围 0~1023 作用 明确表明某种服务的协议 举例 80端口表明是 HTTP 许多系统从1024 左右开始处理动 态端口 SUN的RPC端口 从32768开始
分类 公认端口 （well-known ports) 注册端口 （registered ports) 动态/私有 （dynamic/private
的TCP/IP设置是否正确。
当使用IPConfig不带任何参数选项时，
那么它为每个已经配置了的接口显示IP地址、
子网掩码和缺省网关值
例如：ipconfig
ipconfig /all
当使用all选项时，IPConfig显示它已配 置的所有的信息，并且显示内置于本地网
卡中的物理地址（MAC）。
4 netstat命令
5 nslookup命令
nslookup命令的功能是查询一台机器的IP
地址和其对应的域名。它通常需要一台域名服
务器来提供域名服务。
nslookup 域名 或者nslookup回车后再输入域名
6 Tracert命令

Tracert（跟踪路由）是路由跟踪实用程 序，用于确定 IP 数据报访问目标所采取 的路径。Tracert 命令用 IP 生存时间 (TTL) 字段和 ICMP 错误消息来确定从 一个主机到网络上其他主机的路由。
C:\>Arp -d 126.13.156.2
wenku.baidu.com
Arp -g:显示所有的表项
C:\>Arp -g


ARP病毒简介 现在局域网中感染ARP病毒的情况比 较多，清理和防范都比较困难，给不少网 络管理员造成了很多的困扰，所以，我们 有必要对ARP病毒做个简单的介绍，并讲 解如何应对ARP病毒及防范措施。
TCP连接，21端口是FTP使用的端口，所以我们可以 判断10.152.10.93在登陆着FTP； 我们还看到该机器和61.156.25.76的3306端口有通 讯，3306是MYSQL使用的端口，因此我们可以判断
该主机正在使用61.156.25.76的MYSQL数据库服务；
我们还看到该主机和多台远程机器的80端口相连，

原理 : 源站点向目的站点发送ICMP request报文，目的主机收
到后回icmp replay 报文。这样就验证了两个接点之间IP的可达 性。

功能 : 用ping 来判断两个接点在网络层的连通性。
按照缺省设置，Windows上运行的Ping命令发送4个ICMP（网间控制报文协 议）回送请求，每个32字节数据，如果一切正常，你应能得到4个回送应答。
1024~4915 1 49152~655 35
许多服务绑定于这些端口，这些端口 同样用于许多其它端口 不应为服务分配这些端口，实际上， 机器通常从1024起分配动态端口
拓展知识

端口

分类

按对应协议来分类：周知端口，动态端口
端口协议
周知端口
端口范围
0~1023
含义
是众所周知的端口，如果不是默认的端口则应该在地 址栏上指定端口号。方法是：在地址后面加上冒号“ ：”，在加上端口号 当一个系统进程或应用程序需要网络通信时，它向主 机申请一端口，主机从可用的端口号中分配一个供它 使用，当这个时程关闭时，所占用的端口号释放
2.3 常用网络安全命令
与网络安全有关的命令有非常多，这里主要 介绍几个常用的，它们分别是：IPCONFIG 命令，PING命令，ARP命令，NETSTAT命 令，NET命令，TRACERT命令， NSLOOKUP命令。
1 ping命令
Ping是个使用频率极高的实用程序，用于确定本地主机是否
能与另一台主机交换（发送与接收）数据报。
ARP病毒的清除与预防
病毒攻击的核心： 破坏网络设备的ARP表内容，使得设备无法查到IP对应的 正确MAC地址，导致报文发送错误，从而造成网络瘫痪。

病毒的症状 MAC地址表错误，不能正常上网 路由器ARP表错误，不能正常上网 PC机一会能上网，一会不能上网 网络中用户上不了网或网速很慢，但ARP表无 错，切能在网络上抓取多个ARP流量