26、Windows基础TCP/IP网络命令全解析

Windows基础TCP/IP网络命令全解析

1. Net命令概述

Net命令是一个功能强大的工具，可用于执行多种计算机任务，包括启动和停止服务、管理共享资源访问以及向域中的用户发送消息等。其语法如下：

Net [ Accounts | Computer | Config | Continue | File | Group | Help | Helpmsg |
Localgroup | Name | Pause | Print | Send | Session | Share | Start | Statistics |
Stop | Ttime | Use | User | View ]

该命令的第一个参数是子命令，决定了Net要执行的功能类型。以下是一些常见子命令及其描述：
| 子命令 | 描述 |
| — | — |
| net accounts [/forcelogoff:{minutes | no}] [/minpwlen:length] [/maxpwage:{days | unlimited}] [/minpwage:days] [/uniquepw:number] [/domain] | 更新用户账户，管理密码，并修改所有账户的登录要求 |
| net computer \ComputerName {/add | /del} | 从域中添加或删除计算机 |
| net config [{server|workstation}] | 显示和管理正在运行的可配置服务 |
| net file [ID [/close]] | 显示服务器上所有打开的共享文件的名称以及每个文件的文件锁数量（如果有），还可关闭单个共享文件并移除文件锁 |
| net group [groupname [/comment:”text”]] [/domain] | 添加、显示或修改域中的全局组 |
| net helpmsg message# | 解释错误发生的原因并提供故障排除信息 |
| net localgroup [GroupName [/comment:”text”]] [/domain] | 添加、显示或修改本地组 |
| net name [name {/add|/delete}] | 添加、删除或显示消息名称 |
| net pause service | 暂停当前正在运行的服务 |
| net send {name | * | /domain[:name] | /users} message | 向其他用户或计算机发送消息 |
| net session [\ComputerName] [/delete] | 管理服务器计算机连接 |
| net share [ShareName] net share [ShareName=Drive:Path [{/users:number|/unlimited}] [/remark:”text”] [/cache: {manual|automatic|no}]] net share [ShareName [{/users:number|unlimited}] [/remark:”text”] [/cache: {manual|automatic|no}]] net share [{ShareName|Drive:Path} /delete] | 管理共享资源 |
| net start [service] | 启动服务 |
| net statistics [{workstation | server}] | 显示本地工作站或服务器服务的统计日志，或显示可获取统计信息的正在运行的服务 |
| net stop service | 停止正在运行的服务 |
| net time [{\ComputerName | /domain[:DomainName] | /rtsdomain[:DomainName]}] [/set] net time [\ComputerName] [/querysntp] [/setsntp[:NTPServerList]] | 使计算机的时钟与另一台计算机或域的时钟同步 |
| net use [{DeviceName | }] [\ComputerName\ShareName [\volume]] [{Password | }]] [/user:[DomainName]UserName] [/user:[DottedDomainName] UserName] [/user: [UserName@DottedDomainName] [/savecred] [/smartcard] [{/delete | /persistent:{yes | no}}] | 连接/断开计算机与共享资源的连接，还可显示计算机连接信息 |
| net user [UserName [Password | *] [options]] [/domain] | 添加或修改用户账户，或显示用户账户信息 |
| net view [\ComputerName] [/domain[:DomainName]] net view /network:nw [\ComputerName] | 显示指定计算机正在共享的域、计算机或资源列表 |

2. 启动和停止TCP/IP服务

可以使用Net命令来控制特定的网络服务。启动服务使用 net start <servicename> 命令，例如启动动态主机配置协议（DHCP）服务：

C:\>net start dhcp

停止服务使用 net stop 命令，例如停止刚刚启动的DHCP服务：

C:\>net stop dhcp

使用此命令时，必须使用系统中注册的服务名称，而不是服务管理控制台中使用的名称。例如，显示为“DHCP Client”的服务实际上注册为“DHCP”。另外，在命令提示符中使用时，服务名称不区分大小写。

以下是一些网络相关服务及其在Windows中注册的实际名称和描述：
| 服务名称 | 长名称 | 描述 |
| — | — | — |
| Alerter | Alerter | 向网络上的选定用户和计算机广播管理警报 |
| Wuausrv | Automatic Updates | 检查并下载Windows系统的更新 |
| Bits | Background Intelligent Transfer Service | 在后台传输客户端和服务器之间的数据 |
| Browser | Computer Browser | 维护网络上计算机的更新列表，并将此列表提供给指定为浏览器的计算机 |
| Dhcp | DHCP Client | 通过注册和更新互联网协议（IP）地址和域名系统（DNS）名称来管理网络配置 |
| TrkWks | Distributed Link Tracking Client | 维护计算机内或网络域中计算机之间的新技术文件系统（NTFS）文件的链接 |
| DnsCache | DNS Client | 解析并缓存此计算机的DNS名称 |
| PolicyAgent | IPSEC Services | 管理IP安全策略并启动ISAKMP/Oakley（IKE）和IP安全驱动程序 |
| Netman | Network Connections | 管理“网络和拨号连接”文件夹中的对象，可在其中查看局域网和远程连接 |
| NetDDE | Network DDE | 为在同一计算机或不同计算机上运行的程序提供动态数据交换（DDE）的网络传输和安全功能。如果此服务停止，DDE传输和安全将不可用 |
| NetDDEdsdm | Network DDE DSDM | 管理DDE网络共享 |
| Nla | Network Location Awareness | 收集和存储网络配置和位置信息，并在信息更改时通知应用程序 |
| Xmlprov | Network Provisioning Service | 基于域管理XML配置文件，用于自动网络配置 |
| NtLmSsp | NTLM Security Support Provider | 为使用除命名管道之外的传输的远程过程调用（RPC）程序提供安全支持 |
| Rsvp | QoS RSVP | 为支持服务质量（QoS）的程序和控制小程序提供网络信令和本地流量控制设置功能 |
| RasAuto | Remote Access Auto Connection Manager | 每当程序引用远程DNS或NetBIOS名称或地址时，创建与远程网络的连接 |
| RasMan | Remote Access Connection Manager | 创建网络连接 |
| RdSessMgr | Remote Desktop Help Session Manager | 管理和控制远程协助 |
| RpcSs | Remote Procedure Call (RPC) | 提供端点映射器和其他杂项RPC服务 |
| RpcLocator | Remote Procedure Call (RPC) Locator | 管理RPC名称服务数据库 |
| RemoteRegistry | Remote Registry | 允许远程用户修改此计算机上的注册表设置 |
| RemoteAccess | Routing and Remote Access | 为局域网和广域网环境中的企业提供路由服务 |
| Lanmanserver | Server | 支持此计算机通过网络进行文件、打印和命名管道共享 |
| SMTPSVC | Simple Mail Transport Protocol (SMTP) | 跨网络传输电子邮件 |
| SSDPSRV | SSDP Discovery Service | 启用家庭网络上UPnP设备的发现 |
| LmHosts | TCP/IP NetBIOS Helper | 支持通过TCP/IP（NetBT）服务的NetBIOS以及NetBIOS名称解析 |
| TlntSvr | Telnet | 允许远程用户登录到此计算机并运行程序，支持各种TCP/IP Telnet客户端，包括基于UNIX和Windows的计算机 |
| TermService | Terminal Services | 允许多个用户交互式连接到一台机器，并向远程计算机显示桌面和应用程序，是远程桌面（包括管理员远程桌面）、快速用户切换、远程协助和终端服务器的基础 |
| WebClient | WebClient | 使基于Windows的程序能够创建、访问和修改基于Internet的文件 |
| SharedAccess | Windows Firewall/Internet Connection Sharing (ICS) | 为家庭或小型办公室网络提供网络地址转换、寻址、名称解析和/或入侵预防服务 |
| W32Time | Windows Time | 维护网络上所有客户端和服务器的日期和时间同步 |
| WZCSVC | Wireless Zero Configuration | 为802.11适配器提供自动配置 |
| Lanmanworkstation | Workstation | 创建并维护客户端与远程服务器的网络连接 |
| W3SVC | World Wide Web Publishing | 通过Internet信息服务（IIS）管理单元提供Web连接和管理 |

3. TCP/IP故障排除命令

除了使用 net start 和 net stop 命令启动、停止和重启网络相关服务外，在某些情况下，还需要找出网络连接出现的具体问题。以下是一些常用的TCP/IP命令，可用于排查网络相关问题。

3.1 Arp命令

Arp命令用于管理系统的地址解析协议（ARP）缓存，允许管理员清除、修改和列出其中的条目。其语法如下：

Arp –s inet_addr eth_addr [if_addr]
Arp –d inet_addr [if_addr]
Arp –a [inet_addr] [–N if_addr]

参数描述如下：
| 参数 | 描述 |
| — | — |
| –a | 通过查询当前协议数据显示当前ARP条目。如果指定了inet_addr，则仅显示指定计算机的IP和物理地址。如果多个网络接口使用ARP，则显示每个ARP表的条目 |
| –g | 与 –a 相同 |
| inet_addr | 指定IP地址 |
| –N if_addr | 显示指定网络接口卡（NIC）的ARP缓存中的所有条目 |
| –d | 删除inet_addr指定的条目。如果inet_addr是通配符，则删除所有条目 |
| –s | 添加一个条目，将inet_addr参数中传递的IP地址与eth_addr中指定的媒体访问控制（MAC）地址关联起来 |
| Eth_addr | 指定物理以太网地址（MAC） |
| If_addr | 此参数可选。如果传递了该参数，则修改将在该NIC上进行。如果未传递，则使用第一个可用的NIC |

以下是一个使用示例：

C:\>arp –a

该命令列出执行命令的计算机的ARP缓存中的条目。如果ARP缓存为空，将显示以下消息：

No ARP Entries Found

使用以下命令在ARP缓存中添加一个静态条目：

C:\>arp –s 10.10.1.2 00-0D-65-CC-3E-C2

假设命令执行成功，再次列出ARP缓存条目以验证操作是否成功：

C:\>arp –a
Interface: 0.0.0.0 --- 0x10003
Internet Address    Physical Address    Type
10.10.1.2           00-0d-65-cc-3e-c2  static

3.2 IPConfig命令

IPConfig命令可能是任何Windows计算机上最常用的网络相关管理命令。它至少会显示系统中所有活动NIC的基本IP设置。例如：

C:\>ipconfig
Windows IP Configuration
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix  . : domain.com
IP Address. . . . . . . . . . . . : 192.168.0.100
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.1

该命令的语法如下：

IPConfig [/all] [/renew [Adapter]] [/release [Adapter]] [/flushdns] [/displaydns]
[/registerdns] [/showclassid Adapter] [/setclassid Adapter [ClassID]]

参数描述如下：
| 参数 | 描述 |
| — | — |
| /all | 显示所有活动NIC的所有TCP/IP配置设置，包括IP地址、DNS设置、网关、MAC地址等 |
| /renew [Adapter] | 为指定的适配器更新DHCP配置。如果未指定适配器，则更新所有适配器。此命令仅适用于已设置为自动获取IP配置的适配器 |
| /release [Adapter] | 释放（清除）给定适配器的DHCP配置。如果未指定适配器，则释放所有适配器。此命令适用于已设置为自动获取IP配置的NIC |
| /flushdns | 清除并重置DNS缓存的内容，包括从本地HOSTS文件加载的条目以及计算机解析的条目 |
| /displaydns | 列出DNS解析器缓存的内容，DNS客户端（dnscache）使用此信息解析频繁查询的名称 |
| /registerdns | 手动启动将条目注册到DNS缓存的过程 |
| /showclassid Adapter | 显示给定适配器的DHCP类ID，可以使用星号（ ）显示所有类ID |
| /setclassid Adapter [ClassID] | 设置给定适配器的DHCP类ID。如果未提供类ID，则清除该ID。使用星号（ ）会影响所有适配器 |

使用 /all 参数的示例：

C:\>ipconfig /all
Windows IP Configuration
Host Name . . . . . . . . . . . . : cmptr03
Primary Dns Suffix  . . . . . . . :
Node Type . . . . . . . . . . . . : Broadcast
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : domain.com
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix  . : domain.com
Description . . . . . . . . . . . : Broadcom 440x 10/100 Integrated Controller
Physical Address. . . . . . . . . : 00-0D-66-CD-3E-C2
Dhcp Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 192.168.0.100
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.1
DHCP Server . . . . . . . . . . . : 192.168.0.1
DNS Servers . . . . . . . . . . . : 192.168.0.1
Lease Obtained. . . . . . . . . . : Saturday, August 26, 2006 09:58:07
Lease Expires . . . . . . . . . . : Saturday, September 02, 2006 09:58:07

如果IPConfig报告的IP地址格式为169. . .*，则计算机在网络上没有有效的IP地址，连接存在问题。如果网络适配器已配置为使用DHCP（自动获取IP地址和DNS信息）且连接有问题，首先应尝试刷新DHCP设置，即先释放DHCP设置，然后再更新它们。示例如下：

C:\>ipconfig /release
Windows IP Configuration
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix  . :
IP Address. . . . . . . . . . . . : 0.0.0.0
Subnet Mask . . . . . . . . . . . : 0.0.0.0
Default Gateway . . . . . . . . . :
C:\>ipconfig /renew
Windows IP Configuration
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix  . :
IP Address. . . . . . . . . . . . : 192.168.0.101
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.1

获取有效IP地址后，可以对给定的网关（如上述示例中的192.168.0.1）发出Ping命令，以确保IP数据包可以传输。

3.3 Finger命令

Finger命令用于显示用户在系统中个人资料中输入的信息，这是旧UNIX系统遗留下来的命令，用户过去常在其$HOME目录的.plan文件中写入关于自己的信息。也可使用该命令显示登录到远程系统的用户列表。要使此命令生效，远程主机系统必须运行finger服务。如果远程系统是UNIX/Linux系统，该服务很可能正在运行，但出于安全原因，越来越多的服务器正在禁用此服务，在Windows系统上几乎很少看到该服务运行。其语法如下：

Finger [–l] [user]@host [...]

参数描述如下：
| 参数 | 描述 |
| — | — |
| –l | 以长列表格式显示信息 |
| User | 指定请求信息的用户。如果省略此参数，则显示所有用户的信息 |
| @host […] | 指定查询的用户所在的远程主机 |

示例：

C:\>finger root@slackware.com
[slackware.com]
Login: root
Name: (null)
Directory: /root
Shell: /bin/bash
Last login Thu Mar 9 10:11 (PST) on pts/2
New mail received Fri Aug 25 16:02 2006 (PDT)
Unread since Fri Aug 18 01:04 2006 (PDT)
No Plan.

3.4 Getmac命令

Getmac命令用于列出系统中所有已知的MAC地址，包括系统中安装的NIC的MAC地址以及存储在ARP缓存中的eth_addr条目。其语法如下：

Getmac [/S system [/U username [/P [password]]]] [/FO format] [/NH] [/V]

参数描述如下：
| 参数 | 描述 |
| — | — |
| /S system | 指定要连接的远程系统 |
| /U [domain]user | 指定命令执行的用户上下文 |
| /P [password] | 指定与 /U 开关指定的用户对应的密码。如果未提供密码，命令会提示输入 |
| /FO format | 指定输出显示的格式，可能的值为TABLE、CSV和LIST |
| /V | 请求详细输出 |
| /NH | 抑制在TABLE和CSV格式输出中打印列标题 |

示例：

C:\>getmac
Physical Address    Transport Name
=================== ==================================
Disabled            Disconnected
00-0D-56-AB-E3-2C   Media disconnected
Disabled            Disconnected
Disabled            Disconnected
C:\>getmac /FO csv
"Physical Address","Transport Name"
"Disabled","Disconnected"
"00-0D-56-AB-E3-2C","Media disconnected"
"Disabled","Disconnected"
"Disabled","Disconnected"
C:\>getmac /FO list
Physical Address: Disabled
Transport Name: Disconnected
Physical Address: 00-0D-56-AB-E3-2C
Transport Name: Media disconnected
Physical Address: Disabled
Transport Name: Disconnected
Physical Address: Disabled
Transport Name: Disconnected

3.5 Hostname命令

Hostname命令用于显示或打印执行该命令的计算机的名称，该命令不接受任何参数，语法非常简单：

Hostname

计算机的主机名是完全限定域名（FQDN）的最左侧部分。例如，计算机ch012.books.syngress.com的主机名是ch012，这就是Hostname命令将返回的内容。

4. 其他常用TCP/IP命令

4.1 Netstat命令

Netstat命令可显示当前活动的传输控制协议（TCP）连接、计算机正在监听的端口、以太网统计信息、IP路由表、IPv4统计信息（针对IP、互联网控制消息协议[ICMP]、TCP和用户数据报协议[UDP]）以及IPv6统计信息（针对IPv6、ICMPv6、基于IPv6的TCP和基于IPv6的UDP协议）。若不使用参数，Netstat仅显示活动的TCP连接。其语法如下：

Netstat [–a] [–b] [–e] [–n] [–o] [–p proto] [–r] [–s] [–v] [interval]

参数描述如下：
| 参数 | 描述 |
| — | — |
| –a | 显示所有活动的TCP连接以及系统正在监听的所有TCP和UDP端口 |
| –b | 显示拥有连接的进程的ID和名称。此开关仅在用户具有适当权限时有效，并且由于获取此信息的方式，可能会比较耗时 |
| –e | 显示以太网统计信息，如发送和接收的字节数和数据包数。可与 –s 开关结合使用 |
| –n | 不执行IP地址的反向DNS解析，仅返回数字IP地址 |
| –o | 显示打开连接或绑定端口的进程的进程ID（PID）。可与参数 –a、–n 和 –p 结合使用 |
| –p Protocol | 仅显示指定协议的连接。Protocol的有效值为tcp、udp、tcpv6和udpv6。如果与 –s 结合使用，则显示统计信息，有效值为tcp、udp、icmp、ip、tcpv6、udpv6、icmpv6和ipv6 |
| –s | 按协议显示统计信息。如果不使用 –p Protocol 参数，Netstat将显示TCP、UDP、ICMP和IP的统计信息。如果已安装IPv6协议，则显示相同协议在IPv6上的统计信息 |
| –r | 显示路由表的内容，与 route print 命令输出的信息相同 |
| Interval | 如果指定，每隔Interval秒显示一次相同的信息 |

不同参数可以组合使用，例如：

Netstat –a –n –b
Netstat –anb

这两个命令执行后返回的结果相同。

Netstat命令报告的列头及含义如下：
| 列头 | 描述 |
| — | — |
| Proto | 获取统计信息的协议 |
| Local Address | 本地IP地址或解析后的名称，以及具有连接的端口号/服务名称 |
| Foreign Address | 与Local Address类似，但针对远程计算机 |
| State | 连接的状态（仅与TCP相关，参考RFC 793）：
CLOSE_WAIT（连接正在等待关闭）
CLOSED（连接已关闭）
ESTABLISHED（连接处于活动状态）
FIN_WAIT_1（关闭TCP连接的步骤1，发出请求）
FIN_WAIT_2（关闭TCP连接的步骤2）
LAST_ACK（远程端正在关闭连接）
LISTEN（正在监听连接）
SYN_RECEIVED（入站半开放连接）
SYN_SEND（出站半开放连接）
TIME_WAIT（等待连接关闭） |

在典型的故障排除场景中，可能需要检查某个进程是否实际绑定到了TCP端口并正在监听连接，还可以使用Netstat命令查找未知的网络服务器，这些服务器可能是特洛伊木马。例如：

C:\>netstat –anp tcp
Active Connections
Proto    Local Address    Foreign Address    State
TCP      0.0.0.0:135      0.0.0.0:0          LISTENING
TCP      0.0.0.0:445      0.0.0.0:0          LISTENING
TCP      0.0.0.0:3306     0.0.0.0:0          LISTENING
TCP      127.0.0.1:1028   0.0.0.0:0          LISTENING
TCP      127.0.0.1:1031   0.0.0.0:0          LISTENING
TCP      127.0.0.1:1372   127.0.0.1:1373     ESTABLISHED
TCP      127.0.0.1:1373   127.0.0.1:1372     ESTABLISHED

若识别出一个不认识的监听端口，想知道是哪个进程在监听，可以使用 –o 参数：

C:\>netstat –anop tcp
Active Connections
Proto    Local Address    Foreign Address    State    PID
TCP      0.0.0.0:135      0.0.0.0:0          LISTENING  1244
TCP      0.0.0.0:445      0.0.0.0:0          LISTENING  4
TCP      0.0.0.0:3306     0.0.0.0:0          LISTENING  1716
TCP      127.0.0.1:1028   0.0.0.0:0          LISTENING  772
TCP      127.0.0.1:1031   0.0.0.0:0          LISTENING  804
TCP      127.0.0.1:1372   127.0.0.1:1373     ESTABLISHED  3608
TCP      127.0.0.1:1373   127.0.0.1:1372     ESTABLISHED  3608

也可以使用 –b 参数获取详细输出：

C:\>netstat –anbp tcp
Active Connections
Proto    Local Address    Foreign Address    State    PID
TCP      0.0.0.0:135      0.0.0.0:0          LISTENING  1244
c:\windows\system32\WS2_32.dll
C:\WINDOWS\system32\RPCRT4.dll
c:\windows\system32\rpcss.dll
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ADVAPI32.dll
[svchost.exe]
TCP      0.0.0.0:445      0.0.0.0:0          LISTENING  4
[System]
TCP      0.0.0.0:3306     0.0.0.0:0          LISTENING  1716
[mysqld–nt.exe]
TCP      127.0.0.1:1028   0.0.0.0:0          LISTENING  772
[alg.exe]
TCP      127.0.0.1:1031   0.0.0.0:0          LISTENING  804
[ccApp.exe]
TCP      127.0.0.1:1372   127.0.0.1:1373     ESTABLISHED  3608
[FIREFOX.EXE]
TCP      127.0.0.1:1373   127.0.0.1:1372     ESTABLISHED  3608
[FIREFOX.EXE]

要检查TCP连接的统计信息，可以运行 netstat –snp tcp 命令：

C:\>netstat –snp tcp
TCP Statistics for IPv4
Active Opens        = 338
Passive Opens       = 2
Failed Connection Attempts = 3
Reset Connections   = 20
Current Connections = 2
Segments Received   = 13116
Segments Sent       = 11868
Segments Retransmitted = 2
Active Connections
Proto    Local Address    Foreign Address    State
TCP      127.0.0.1:1372   127.0.0.1:1373     ESTABLISHED
TCP      127.0.0.1:1373   127.0.0.1:1372     ESTABLISHED

4.2 NBTStat命令

NBTStat命令可轻松获取NetBT统计信息和相关信息，还能刷新NetBIOS名称缓存以及在Windows Internet名称服务（WINS）中注册的名称。其语法如下：

NBTStat [–a RemoteName] [–A IPAddress] [–c] [–n] [–r] [–R] [–RR] [–s] [–S] [Interval]

参数描述如下：
| 参数 | 描述 |
| — | — |
| –a RemoteName | 显示远程计算机的NetBIOS名称表，返回的表是对应于该计算机上运行的NetBIOS应用程序的名称列表 |
| –A IPAddress | 显示远程计算机（由IP地址指定）的NetBIOS名称表，返回的结果与 –a 开关相同 |
| –c | 显示NetBIOS名称缓存的内容、NetBIOS名称及其解析后的IP地址 |
| –n | 显示本地计算机的NetBIOS名称表。状态为Registered表示该名称已通过广播或WINS服务器注册 |
| –r | 显示NetBIOS名称解析统计信息。在Windows XP上使用WINS时，返回通过广播和WINS解析和注册的名称数量 |
| –R | 清除NetBIOS名称缓存的内容，然后从LMHOSTS文件中重新加载带有#PRE标签的条目 |
| –RR | 释放并刷新在WINS服务器上注册的本地计算机的NetBIOS名称 |
| –s | 显示NetBIOS客户端和服务器会话，尝试将目标IP地址转换为名称 |
| –S | 显示NetBIOS客户端和服务器会话，仅按目标IP地址列出远程计算机 |
| Interval | 重新显示选定的统计信息，每次显示之间暂停Interval秒指定的时间。如果省略此参数，则仅列出一次请求的信息 |

示例：显示本地计算机的名称表

C:\>nbtstat –n
Local Area Connection:
Node IpAddress: [192.168.0.100] Scope Id: []
NetBIOS Local Name Table
Name          Type    Status
---------------------------------------------
CMPTR03       <00>    UNIQUE    Registered
WORKGROUP     <00>    GROUP     Registered
CMPTR03       <20>    UNIQUE    Registered

NBTStat命令报告的列头描述如下：
| 列头 | 描述 |
| — | — |
| Input | 接收的字节数 |
| Output | 发送的字节数 |
| In/Out | 连接是出站还是入站 |
| Life | 缓存条目在被清除之前的剩余存活时间 |
| Local Name | 与连接关联的本地NetBIOS名称 |
| Remote Host | 与远程计算机关联的名称或IP地址 |
| <??> | NetBIOS名称的最后一个字节转换为十六进制。此信息非常重要，可用于区分具有相同名称的多个条目 |
| Type | 名称可以是唯一名称或组名称 |
| Status | 远程计算机上的NetBIOS名称是否正在运行（Registered）或是否有重复的计算机名称注册了相同的服务（Conflict） |
| State | NetBIOS连接的状态，可能的值包括：Connected（已建立会话）、Associated（已创建连接端点并与IP地址关联）、Listening（端点正在等待连接）等多种状态 |

4.3 NSLookup命令

NSLookup命令用于对DNS执行命令，常用于诊断DNS服务器的问题。其语法如下：

NSLookup [–SubCommand ...] [{ComputerToFind| [–Server]}]

参数描述如下：
- –SubCommand：指定要执行的一个或多个NSLookup子命令。
- ComputerToFind：指定要查找的计算机名称。使用 –Server 参数时不能使用此参数。
- –Server：指定用于执行命令的DNS服务器。如果省略此参数，则使用默认的主DNS服务器。

可以使用ComputerToFind参数或 –Server 参数与NSLookup命令一起使用。常见的任务是查找给定计算机的IP地址，例如：

C:\>nslookup www.syngress.com
Server:  DNS
Address:  192.168.0.1
Non-authoritative answer:
Name:    www.syngress.com
Address: 155.212.56.73

在家庭网络上运行此命令时，可能会出现错误，但这不会影响DNS查询的结果。

进入交互式模式，可在不使用任何参数的情况下执行NSLookup命令：

C:\>nslookup
*** Can't find server name for address 192.168.0.1: Server failed
*** Default servers are not available
Default Server:  UnKnown
Address:  192.168.0.1
>

NSLookup在交互式模式下支持多个子命令，如下表所示：
| 子命令 | 描述 |
| — | — |
| Exit | 退出交互式模式 |
| finger [UserName] [{[>] FileName| [>>] FileName}] | 功能与前面描述的Finger命令完全相同 |
| {help|?} | 显示子命令的简短列表 |
| ls [Option] DNSDomain [{[>] FileName|[>>] FileName}] | 列出DNS的信息 |
| lserver DNSDomain | 将默认DNS更改为DNSDomain |
| Root | 将默认服务器更改为DNS域的根服务器 |
| Server DNSDomain | 将默认DNS更改为DNSDomain |
| set KeyWord[=Value] | 为指定的关键字设置值。执行set all可列出所有值 |
| view FileName | 对先前ls命令的输出进行排序和列出 |

另一个常见任务是查找处理给定域邮件的服务器名称，DNS记录中包含此信息的称为MX记录，例如：

> set type=MX
> syngress.com
Server:  UnKnown
Address:  192.168.0.1
Non-authoritative answer:
syngress.com    MX preference = 20, mail exchanger = spool.conversent.net
syngress.com    MX preference = 10, mail exchanger = mailhost.syngress.com
>

4.4 Pathping命令

Pathping命令提供有关源和目的地之间中间跃点的网络延迟和网络丢失的信息。它会识别两个端点之间的跃点（类似于Tracert命令的功能），然后对每个跃点进行ping操作。完成该过程后，Pathping会显示计算出的统计信息。其语法如下：

Pathping [–n] [–h MaximumHops] [–g HostList] [–p Period] [–q NumQueries [–w Timeout] [–T] [–R] [TargetName]

参数描述如下：
| 参数 | 描述 |
| — | — |
| –n | 不解析主机名，仅显示IP地址 |
| –h MaximumHops | 指定要处理的最大跃点数 |
| –g HotList | 指定Echo Request消息使用松散源路由选项 |
| –p Period | 指定ping之间等待的毫秒数 |
| –q NumQueries | 指定向每个跃点发送的Echo Request查询数，默认值为100 |
| –w Timeout | 指定等待每个回复的毫秒数，默认值为3000 |
| –T | 为发出的每个Echo Request附加一个第2层优先级标志，有助于测试QoS连接性 |
| –R | 用于确定每个跃点是否支持RSVP协议，用于测试QoS连接性 |

示例：对Syngress网站执行Pathping命令

C:\>pathping www.syngress.com
Tracing route to www.syngress.com [155.212.56.73]
over a maximum of 30 hops:
0    cmptr03.launchmodem.com [192.168.0.100]
1    192.168.0.1
2    launchmodem [192.168.1.254]
3    65.41.225.92
4    65.41.245.254
5    205.152.145.217
6    axr00mia-1-3-0.bellsouth.net [65.83.237.8]
7    pxr00mia-0-0-0.bellsouth.net [65.83.236.16]
8    0.so-1-0-0.GW8.MIA4.ALTER.NET [65.208.86.133]
9    0.so-1-3-0.XL1.MIA4.ALTER.NET [152.63.84.54]
10   0.so-3-0-0.XL1.NYC1.ALTER.NET [152.63.27.29]
11   POS6-0.GW12.NYC1.ALTER.NET [152.63.29.193]
12   65.200.139.145
13   host116.209.113.217.oem.net [209.113.217.116]
14   ma1-bb1-as0.conversent.net [209.113.217.229]
15   host99.101.41.216.conversent.net [216.41.101.99]
16   ma-brockton-s1-0.conversent.net [209.113.217.126]
17   host65.155.212.56.conversent.net [155.212.56.65]
18   *   *   *
Computing statistics for 450 seconds...
Source to Here   This Node/Link
Hop    RTT    Lost/Sent = Pct    Lost/Sent = Pct    Address
0    cmptr03.launchmodem.com [192.168.0.100]    0/ 100 = 0%    |
1    0ms    0/ 100 = 0%    0/ 100 = 0%    192.168.0.1    0/ 100 = 0%    |
2    1ms    0/ 100 = 0%    0/ 100 = 0%    launchmodem [192.168.1.254]    0/ 100 = 0%    |
3    9ms    0/ 100 = 0%    0/ 100 = 0%    65.41.225.92    0/ 100 = 0%    |
-- -- -- --
18    ---    100/ 100 =100%    0/ 100 = 0%    kimon03 [0.0.0.0]
Trace complete.

4.5 Ping命令

Ping命令用于验证与另一台计算机的IP连接性。该命令通过发送ICMP Echo Request消息来工作，会显示回复以及往返时间。通常用于检查远程计算机是否已启动并连接到网络，或检查本地计算机的连接性。其语法如下：

Ping [–t] [–a] [–n Count] [–l Size] [–f] [–i TTL] [–v TOS] [–r Count] [–s Count] [{–j HostList | –k HostList}] [–w Timeout] [TargetName]

参数描述如下：
| 参数 | 描述 |
| — | — |
| –t | 持续ping，直到用户按下Ctrl + C |
| –a | 对IP地址执行反向DNS查找 |
| –n Count | 发送的请求数量，默认值为4 |
| –l Size | Echo Request中发送的数据大小（以字节为单位），默认值为64 |
| –f | 不分割IP数据包 |
| –i TTL | 指定Echo Request消息的生存时间（TTL） |
| –v TOS | 指定服务类型字段的值，默认值为0 |
| –r Count | 指定在IP报头中使用记录路由选项。使用时，指定的值应大于或等于跃点数，范围为1到9 |
| –s Count | 指定使用互联网时间戳选项，范围为1到4 |
| –j HostList | 指定Echo Request消息在IP报头中使用严格源路由选项，并指定中间目的地的集合 |
| –w Timeout | 指定等待消息返回的毫秒数 |
| TargetName | 要ping的远程主机的名称或IP地址 |

示例：管理员测试网络连接性时，通常会ping另一个IP地址：

C:\>ping 192.168.0.1
Pinging 192.168.0.1 with 32 bytes of data:
Reply from 192.168.0.1: bytes=32 time<1ms TTL=127
Reply from 192.168.0.1: bytes=32 time<1ms TTL=127
Reply from 192.168.0.1: bytes=32 time<1ms TTL=127
Reply from 192.168.0.1: bytes=32 time<1ms TTL=127
Ping statistics for 192.168.0.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

为了更好地理解上述信息，可查看互联网工程任务组（IETF）网站（www.ietf.org）上关于各种协议（如TCP、UDP、ICMP等）的请求评论（RFC）文档。以下是一些协议及其对应的RFC编号：
| 协议 | RFC编号 |
| — | — |
| TCP | 需查看对应RFC文档 |
| UDP | 需查看对应RFC文档 |
| ICMP | 需查看对应RFC文档 |

总之，这些TCP/IP命令在Windows系统的网络管理和故障排除中起着至关重要的作用。通过合理运用这些命令，可以高效地解决网络连接、服务管理等方面的问题。