實訓2 金融信息安全實訓——利用常見的網絡命令獲取網絡信息

實訓目的
掌握常見網絡命令使用方法。
學習使用網絡命令嗅探網絡信息。
學習使用網絡命令判斷和處理網絡問題。
實訓準備及注意事項
1．裝有Windows操作系統的計算機若干，已連入局域網。
2．部分實驗可能需要將系統防火墻和殺毒軟件關閉，遠程連接和文件共享開啟。
實訓背景
隨著基于圖形用戶界面應用程序的普及，普通用戶已逐漸淡忘了DOS時代只能依靠輸入命令同計算機交互的方式。但是命令行依然有它獨特的價值，而Windows命令行中也提供了一些實用工具，尤其適用于判斷和處理系統網絡問題以及嗅探網絡中的信息。
準備工作：啟動命令行環境
按win+R鍵，打開運行，輸入cmd，點擊確定，進入命令行環境(win10可直接搜索“cmd”)。

實訓1-1 網絡探查

1(簡答題) 利用局域網探查工具LanSee對所屬局域網網段進行探查，結果截圖或拍照
2(簡答題) 利用端口掃描工具AdvancedPortScanner對目標主機(部署了IIS Web服務)進行掃描，結果截圖或拍照

實訓1-2 Web掃描

1必答 (簡答題) 利用御劍后臺掃描工具對目標網址(自己部署的IIS Web服務)進行掃描，結果截圖或拍照
2必答 (簡答題) 利用網站漏洞掃描工具AWVS的web scanner功能對目標網址(自己部署的IIS Web服務)進行掃描，結果截圖或拍照
3必答 (簡答題) 利用網站漏洞掃描工具AWVS的site crawler功能對目標網址(自己部署的IIS Web服務)進行掃描，結果截圖或拍照

實訓2-1 ipconfig

1必答 (簡答題) 執行ipconfig/all命令，將執行結果截圖，截圖中應包含本機配置的IP地址、mac地址和DNS地址。
2必答 (簡答題) 執行ipconfig/displaydns命令，查看本機緩存了哪些服務器域名，將執行結果截圖

實訓2-2 Ping命令

1必答 (簡答題) 利用ping命令向www.baidu.com發送1000字節的數據包，結果截圖
2必答 (簡答題) 利用ping命令向www.baidu.com發送10000字節的數據包2個，結果截圖

3必答 (簡答題) ping命令返回的TTL值可以粗略判斷對方主機的操作系統，例如： WIN NT/2000默認TTL：128 WIN 95/98 TTL：32 UNIX TTL：255 LINUX TTL：64 要求：ping www.sina.com結果截圖，思考該服務器可能采用的是哪種操作系統？
4必答 (單選題) 假如機器無法上網，利用ping命令查找原因，你認為應按何種順序對目標域名、網關IP、本機IP、目標IP進行ping操作？

A. 目標域名、網關IP、本機IP、目標IP

B. 目標域名、目標IP、網關IP、本機IP

√****C. 本機IP、網關IP、目標IP、目標域名

D. 本機IP、目標域名、網關IP、目標IP
5必答 (簡答題) ping命令除了可以測試網絡聯通性外還可以探測網絡中的哪些主機存在。 要求：執行批處理文件"探查網段IP.bat",輸入本地網絡的網段，探查本地網段的活動主機IP有哪些，結果截圖

實訓2-3 其他常用網絡命令

1必答 (簡答題) 執行nslookup www.hbfu.edu.cn命令，獲取該域名所對應的IP地址，結果截圖。

2必答 (簡答題) 在瀏覽器中訪問網站www.hbfu.edu.cn，利用netstat -n查看本機網絡狀態，是否有關于www.hbfu.edu.cn網站的連接建立，結果截圖。

3必答 (簡答題) 對局域網內其他主機和www.baidu.com分別執行tracert命令，將結果截圖并思考區別。

4必答 (簡答題) 執行arp -a命令，結果截圖

5必答 (簡答題) 執行arp -d命令(可能需要使用管理員權限)后立即執行arp -a命令，結果截圖

**

實訓任務1

** 利用ipconfig命令獲取本地網絡信息
ipconfig命令是調試計算機網絡的常用命令，通常大家使用它顯示計算機中網絡適配器的IP地址、子網掩碼及默認網關。
ipconfig/all命令顯示所有網絡適配器（網卡、撥號連接等）的完整TCP/IP配置信息。與ipconfig相比，它的信息更全更多，如IP是否動態分配、顯示網卡的物理地址等。

ipconfig/release 釋放當前IP(適用于由DHCP自動獲取IP的情況)
ipconfig/renew 重新獲取IP(適用于由DHCP自動獲取IP的情況)
ipconfig/displaydns 顯示當前主機DNS緩存中的內容
ipconfig/flushdns 清空DNS緩存
**

實訓任務2

**** 利用ping命令獲取遠程網絡信息**
ping命令使用率極高，它是用來檢查網絡是否暢通或者網絡連接速度的命令。它所利用的原理是這樣的：網絡上的機器都有唯一確定的IP地址，我們給目標IP地址（或域名，域名會經DNS服務器解析為IP地址）發送一個數據包，對方就要返回一個同樣大小的數據包，根據返回的數據包我們可以確定目標主機的存在，可以初步判斷目標主機的操作系統等。
簡單的說，ping就是一個測試程序，如果ping運行正確，大體上就可以排除網絡訪問層、網卡、Modem的輸入輸出線路、電纜和路由器等存在的故障，從而縮小問題的范圍。
ping能夠以毫秒為單位顯示發送請求到返回應答之間的時間量。如果應答時間短，表示數據報不必通過太多的路由器或網絡，連接速度比較快。ping還能顯示TTL（Time To Live，生存時間）值，通過TTL值可以推算數據包通過了多少個路由器。
此外，通過返回的TTL值還可以獲悉對方主機的操作系統類型。
1)WINDOWS NT TTL初始值：128
2)WINDOWS 95/98 TTL初始值：32
3)UNIX TTL初始值：255
4)LINUX TTL初始值：64或255

注:在命令行模式下輸入“ping /h”即可得到ping的命令介紹,其他命令通過在命令名稱后空格加”/h”也可得到相關使用幫助。

ping (ip地址) -t表示不間斷向目標IP發送數據包，直到我們強迫其停止（可按下Ctrl+C進行終止）。

ping -l定義發送數據包的大小，默認為32字節，我們利用它可以最大定義到65500字節。
注意：隨著防火墻功能在網絡中的廣泛使用，當你使用過大的包ping其他主機時，有可能因數據包被攔截或丟棄而顯示超時或主機不可達。
如：ping www.baidu.com –l 100 和 ping www.baidu.com –l 10000的結果會有所不同。

ping -n 定義向目標IP發送數據包的次數，默認為4次。如果網絡速度比較慢，定義1次即可。

這里time=36ms表示從發出數據包到接受到返回數據包所用的時間是36毫秒，從這里可以判斷網絡連接速度的大小。
通常利用ping命令可以快速查找網絡故障(如：ping DNS、網關、本機ip、目標地址等)，也可以快速判斷服務器連接速度。如果目標服務器安全防護性能差且出口帶寬窄，也可能被攻擊者通過ping進行攻擊。
下面給出一個典型的檢測次序及對應的可能故障：
①ping 127.0.0.1，如果測試成功，表明網卡、TCP/IP協議的安裝、IP地址、子網掩碼的設置正常。如果測試不成功，就表示TCP/IP的安裝或設置存在有問題。
②ping 本機IP地址，如果測試不成功，則表示本地配置或安裝存在問題，應當對網絡設備和通訊介質進行測試、檢查并排除。
③ping局域網內其他IP，如果測試成功，表明本地網絡中的網卡和載體運行正確。但如果收到0個回送應答，那么表示子網掩碼不正確或網卡配置錯誤或電纜系統有問題。
④ping 網關IP，這個命令如果應答正確，表示局域網中的網關路由器正在運行并能夠做出應答。
⑤ping 遠程IP ，如果收到正確應答，表示成功的使用了缺省網關。對于撥號上網用戶則表示能夠成功的訪問Internet（但不排除ISP的DNS會有問題）。
⑥ping localhost，localhost是系統的網絡保留名，它是127.0.0.1的別名，每臺計算機都應該能夠將該名字轉換成該地址。否則，則表示主機文件（/Windows/host）中存在問題。
⑦ping www.baidu.com（或其他著名網站域名），對此域名執行Ping命令，計算機必須先將域名轉換成IP地址，通常是通過DNS服務器。如果這里出現故障，則表示本機DNS服務器的IP地址配置不正確，或它所訪問的DNS服務器有故障。
如果上面所列出的所有ping命令都能正常運行，那么計算機進行本地和遠程通信基本上就沒有問題了。但是，這些命令的成功并不表示你所有的網絡配置都沒有問題，例如，某些子網掩碼錯誤就可能無法用這些方法檢測到。
ping命令除了可以測試網絡聯通性外還可以探測網絡中的哪些主機存在。下面一段批處理代碼實現的功能就是利用ping命令批量探測某網段的主機IP。
@echo off
set /p ip="請輸入IP地址段，格式如：“192.168.1.” >>> "
for /L %%i in (1,1,254) do (
Ping.exe -n 1 -l 16 -w 100 %ip%%%i>>ipscan.txt
if not errorlevel 1 (echo %ip%%%i 可以ping通)
)
pause
**

實訓任務3

** 其他常用網絡命令

1)nslookup 命令

用來查看域名和IP的對應關系。它通常需要一臺域名服務器來提供域名。如果用戶已經設置好域名服務器，就可以用這個命令查看不同主機的IP地址對應的域名。
如：nslookup www.hbfu.edu.cn 即為查看該網站服務器的ip地址。

2)netstat 命令

這是一個用來查看網絡狀態的命令，可以了解網絡當前的狀態。netstat命令能夠顯示活動的TCP連接、計算機偵聽的端口、以太網統計信息、IP路由表、IPv4統計信息（對于IP、ICMP、TCP和UDP協議）以及IPv6統計信息（對于IPv6、ICMPv6、通過IPv6的TCP以及UDP協議）。使用時如果不帶參數，netstat顯示活動的TCP連接。
netstat -a 查看本地機器的所有開放端口，可以有效發現和預防木馬，可以知道機器所開的服務等信息。

這里可以看出本地機器正向遠程計算機建立起了SMTP連接和FTP連接。
netstat -n：以點分十進制的形式列出IP地址，而不是象征性的主機名和網絡名。
netstat -s按照各個協議分別顯示其統計數據。這樣就可以看到當前計算機在網絡上存在哪些連接，以及數據包發送和接收的詳細情況等等。如果應用程序（如Web瀏覽器）運行速度比較慢，或者不能顯示Web頁之類的數據，那么可以用本選項來查看一下所顯示的信息。仔細查看統計數據的各行，找到出錯的關鍵字，進而確定問題所在。
netstat -e 顯示以太網卡的統計數據。它列出的項目包括傳送的數據包的總字節數、錯誤數、刪除數、數據包的數量和廣播的數量。這些統計數據既有發送的數據包數量，也有接收的數據包數量。使用這個選項可以統計一些基本的網絡流量。
netstat -r 顯示路由表。

3)tracert 命令

跟蹤路由信息，使用此命令可以查出數據從本地機器傳輸到目標主機所經過的所有途徑，這對我們了解網絡布局和結構很有幫助，如果網絡出現故障，就可以通過這條命令查看出現問題的位置。
輸出有5列：第一列是描述路徑的第n跳的數值，即沿著該路徑的路由器序號；第二列是第一次往返時延；第三列是第二次往返時延；第四列是第三次往返時延；第五列是路由器的名字及其輸入端口的IP地址。如果源從任何給定的路由器接收到的報文少于3條（由于網絡中的分組丟失），traceroute在該路由器號碼后面放一個星號，并報告到達那臺路由器的少于3次的往返時間。
這里說明數據從本地機器傳輸到10.28.133.1的機器上，中間經過了10.28.132.1作為中轉，說明這兩臺機器是不在同一段局域網內。

4)arp 命令

使用arp命令，能夠查看本地計算機或另一臺計算機的ARP高速緩存中的當前內容。此外，使用arp命令可以人工方式設置靜態的網卡物理地址/IP地址對，使用這種方式可以為缺省網關和本地服務器等常用主機進行本地靜態配置，這有助于減少網絡上的信息量。 按照缺省設置，ARP高速緩存中的項目是動態的，每當向指定地點發送數據并且此時高速緩存中不存在當前項目時，ARP便會自動添加該項目。
arp –a：用于查看高速緩存中的所有項目。
arp –d：刪除所有動態arp表項。
arp –d IP：刪除一個靜態項目。
arp –s IP MAC：向ARP高速緩存中人工輸入一個靜態項目。該項目在計算機引導過程中將保持有效狀態，或者在出現錯誤時，人工配置的物理地址將自動更新該項目。

5)nbtstat 命令(選做)

NETBIOS over TCP/IP statistics工具使用TCP/IP上的NetBIOS顯示協議統計和當前TCP/IP連接，使用這個命令你可以得到遠程主機的NETBIOS信息，比如用戶名、所屬的工作組、網卡的MAC地址等。

注意：如果命令無法運行，需要在“本地連接”屬性里“安裝”，選擇“協議”，確保安裝了以下選項(win10需進入高級TCP/IP設置進行啟用)：

該工具的幾個基本的參數如下：
nbtstat -a RemoteName，使用這個參數，只要你知道了遠程主機的機器名稱，就可以得到它的NETBIOS信息。
nbtstat -A IP address這個參數也可以得到遠程主機的NETBIOS信息，但需要你知道它的IP。
nbtstat -n 列出本地機器的NETBIOS信息。
nbtstat -c 列出遠程[計算機]名稱及其 IP 地址的 NBT 緩存
攻擊者當得到了對方的IP或者機器名的時候，就可以使用nbtstat命令來進一步得到對方的信息了，增加了攻擊者入侵的成功系數。

6)net 命令(選做)

net view 使用此命令查看遠程主機的所有共享資源。命令格式：net view \。
net use 使用此命令建立遠程目標到本地計算機的影射。
C:\net use \192.168.1.99\ipc$ “pass” /user:“admin”
C:\Net use z: \192.168.1.99\C$ “aaa” /user: “bbb”
這里的第一個命令表示與192.168.1.99建立一個IPCKaTeX parse error: Undefined control sequence: \盤 at position 35: …1.99的C盤影射成本機的Z:\?盤?。建立了IPC連接并且影射后，就可以從本地機向目標機器拷貝文件了。
net start/stop 使用此命令來啟動或停止主機上的服務。命令格式：net start 或net stop 。
net user 使用此命令查看和賬戶有關的情況，包括新建賬戶、刪除賬戶、查看特定賬戶、激活賬戶、賬戶禁用等。鍵入不帶參數的net user，可以查看所有用戶，包括已經禁用的。
net user u1 123 /add 新建一個用戶名為u1，密碼為123的賬戶，默認為user組成員。
net user u2 /del 將用戶名為u2的用戶刪除。
net user u3 /active:no 將用戶名為u3的用戶禁用。
net user u4 /active:yes 激活用戶名為u4的用戶。
net user u5 查看用戶名為u5的用戶情況。
net localgroup 使用此命令查看所有和用戶組有關的信息和進行相關操作。
net time 使用此命令查看遠程主機當前的時間，可以和Windows的計劃任務命令配合啟動程序任務。命令格式：net time \。

總結

以上是生活随笔為你收集整理的金融信息安全实训——利用常见的网络命令获取网络信息的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。