电脑网络:黑客必备ping和netstat命令，让木马无处盾形

1、Ping的基础知识

ping命令相信大家已经再熟悉不过了，但是能把ping的功能发挥到最大的人却并不是很多，当然我也并不是说我可以让ping发挥最大的功能，我也只不过经常用ping这个工具，也总结了一些小经验，现在和大家分享一下。

Ping是潜水艇人员的专用术语，表示回应的声纳脉冲，在网络中Ping 是一个十分好用的TCP/IP工具。它主要的功能是用来检测网络的连通情况和分析网络速度。

Ping有好的善的一面也有恶的一面。先说一下善的一面吧。上面已经说过Ping的用途就是用来检测网络的连同情况和分析网络速度，但它是通过什么来显示连通呢？这首先要了解Ping的一些参数和返回信息。

2、Ping命令详解

首先需要打开DOS命令界面，通过点击开始菜单中的"运行"选项，输入"cmd"， 回车即可打开（如下图）。

回车后

Ping是Windows、Unix和Linux系统下的一个命令。ping也属于一个通信协议，是TCP/IP协议的一部分。利用"ping"命令可以检查网络是否连通，可以很好地帮助我们分析和判定网络故障。

使用格式：ping -参数 (中间有个空格)

很多时候大家都只单独ping 加IP地址，验证本机到目的IP地址之间的网络是否连通，其实加上一些参数会获得不一样的结果。

1、ping -t 目标主机IP地址

机房的环境有多噪音大家都明白，还有大家也知道在机房呆的时间不宜过长。所以一般我们都有自己的办公室，然后都能远程到服务器，服务器重启时间一般都要10分钟甚至更久，这个时候一般我都是开着DOS窗口，打上一行命令ping -t 192.168.188.8，然后看着一行"来自 192.168.188.8 的回复: 无法访问目标主机。"直到ping通说明服务器重启成功，无需再进机房。

此时终止ping命令方法：Ctrl+C或者直接关闭窗口

2、ping -a 目标主机IP地址

可以返回主机名。有些单位没有做电脑资产登记表，知道IP地址不一定知道此时的电脑处在何处。可以通过这个命令查看到主机名，从而快速找到机主。

3、ping -n 目标主机IP地址

有些时候只是测试连通性，ping一两次就够了。剩下的两次ping会提高工作效率。ping -n 2 192.168.2.1

4、ping -l 目标主机IP地址

在默认的情况下windows的ping发送的数据包大小为32byte，也可以自己定义大小，这个自定义功能有时候可以强大到使得目标主机宕机。

Ping是Windows、Unix和Linux系统下的一个命令。ping也属于一个通信协议，是TCP/IP协议的一部分。利用"ping"命令可以检查网络是否连通，可以很好地帮助我们分析和判定网络故障。

5、ping -f 目标主机IP地址

一般情况ping -f 是和-l 组合使用的，用来测试MTU的大小，-F参数是不分段，而-L是ICMP数据长度。格式为ping -f -l (ICMP数据长度) 目标主机IP地址。MTU是指一种通信协议的某一层上面所能通过的最大数据包大小（以字节为单位）。

例如：ping -f -l 1472 www.baidu.com，如下图说明最大的MTU值为1472+20+8=1500

MTU=IP头部长度（20B）+ICMP头部长度(8B)+ICMP数据长度

6、ping -i 目标主机IP地址

-i 指定发送回响请求消息的IP标题中的TTL字段值，其默认值是主机的默认TTL值。TTL的主要作用是避免IP包在网络中的无限循环和收发，节省了网络资源，并能使IP包的发送者能收到告警消息。很少使用到。

7、ping -v 目标主机IP地址

-v 指定发送回响请求消息的IP标题中的"服务类型（TOS）"字段值，默认值是0。TOS被指定为0到255的十进制数。如命令中文翻译提示，不赞成使用。

8、ping -r 目标主机IP地址

这个功能平常网络排查中经常用到，类似tracert命令。可以查看主机到目标主机之间的所经过的路由，没有tracert命令功能强大，不过用于查看内部网络拓扑结构相当好用。ping -r <1-9>最大跳转路由数值为9

9、ping -r /j/k/w 十几年来一次都没用过，忽略。

2、netstat命令基础详解

Netstat命令可以帮助我们了解网络的整体使用情况。根据Netstat后面参数的不同，它可以显示不同的网络连接信息。Netstat的参数如图，下面对其中一些参数进行说明。如何检测本机是否有被中木马，电脑系统后台是否已被秘密操控，是否被监听。今天跟大家讲下如何查询可疑连接，调用任务管理器Ctrl+Shift+ESC组合键，找到对应的PID数值，右击结束进程。

一、netstat命令详解

1、netstat -a

-a显示所有连接和侦听端口，包括本地和远程系统连接时使用的TCP端口或者UDP端口，在本地机器上的外部连接和我们远程所连接的系统以及本地和远程系统连接的状态，如图

使用该参数可以查看计算机的系统服务是否正常，判断系统是否被种上木马，如果发现不正常的端口与服务，要及时关闭端口或者服务。netstat -a命令还可以作为一种实时入侵检测工具，判断是否有外部计算机连接本地计算机。

2、-n参数可以显示本机和本机相连的外部主机的IP地址，而不像-a参数显示的只是计算机的NetBios名。

3、-e参数可以显示以太网统计，联合-s -p使用。-s显示每个协议的统计，默认情况下，显示TCP、UDP和IP协议的统计，再加上-p 就可以指定显示TCP、UDP还是IP协议其中一种。如图

4、-r参数可以显示路由表的内容，类似route print(能让双网卡同时工作的非常实用的命令).。

5、-o参数可以显示本地与外部主机相连的PID数值，taskkill需要通过这个数值才能中断连接

二、发现可疑连接，调用任务管理器Ctrl+Shift+ESC组合键找到对应PID数值的进程

1、有些任务管理器没有看到PID列，如下图找出PID列

在任务管理器中找到对应PID数值的进程右击结束进程。此时还没有完全抵御入侵，更彻底点进入组策略新建规则

2、进入组策略命令：Win+R，输入gpeidt.msc回车

3、根据协议新建IP安全策略--新建端口封堵入侵端口，彻底让电脑保持安全。

知识拓展

以上我们讲到的是常用的命令用法，但是实际上该功能还可以用于很多应用场景，比如可以查下电脑是否有中木马之类的；假设我这台电脑没有打开任何程序，然后发现电脑的网络数据很大，这时候应该怎么排查呢？

举个例子：假设用户打开任务管理器的时候，发现电脑的网络数据量很大，如图所示：

图4

从以上图我们可以发现，进程system，pid为4，网络数据有4.7m多（其实并不是很大，我们只是用来举个例子），这时候我们电脑并没有开启任何的进程，应该不至于产生这么大的数据量；接下来我们用netstat -ano 查看下当前pid值为"4"的连接情况，如图所示：

图5

我们发现，本地电脑有开启了这4个端口，然后访问了192.168.251.2服务器的445端口，我们知道445端口一般是用于共享连接的，也有可能是木马连接，所以我们在dos执行下net use命令，结果如图所示：

图6

发现是本地有个映射盘，所以可能产生了数据，把映射盘关闭掉或者执行net use */del，将当前的连接都清空之后，再观察看看是否还会自动产生连接，如果还会，那可能还得再查查，是本地的哪几个端口连接了445；可以再利用netstat -ano |findstr （端口号），直接查下是哪个进程产生的端口然后发起连接；

其实也可以通过TCPView工具，直接分析当前的连接情况，这个工具直接运行下，更加直观，如图所示：

图7