Netstat及arp命令的运用图文详细教程

XP下Netstat和ARP其实是个非常有用的工具， 看到经常有的朋友忙于找一些复杂的网络软件， 其实小小的Netstat有时候能解决非常多的问题。 netstat命令是一个监控TCP/IP网络的非常有用的工具， 它可以显示路由表、实际的网络连接以及每一个网络接口设备的状态信息。

    经常上网的人一般都使用ICQ的， 不知道我们有没有被一些讨厌的人骚扰， 想投诉却又不知从和下手？其实， 我们只要知道对方的IP， 就可以向他所属的ISP投诉了。 但怎样才能通过ICQ知道对方的IP呢？如果对方在设置ICQ时选择了不显示IP地址， 那我们 是无法在信息栏中看到的。 其实， 我们只需要通过Netstat就可以很方便的做到这一点：当他通过ICQ或其他的工具与我们相连时（例如我们给他发一条ICQ信息或他给我们发一条信息）， 我们立刻在DOS 命令提示符下输入netstat -n或netstat -a就可以看到对方上网时所用的IP或ISP域名了， 甚至连所用Port都完全暴露了。

    IP数据包常通过以太网发送。 以太网设备并不识别32位IP地址：它们是以48位以太网地址传输以太网数据包的。 因此， IP驱动器必须把IP目的地址转换成以太网网目的地址。 在这两种地址之间存在着某种静态的或算法的映射， 常常需要查看一张表。 地址解析协 议(Address Resolution Protocol， ARP)就是用来确定这些映象的协议。

    ARP工作时， 送出一个含有所希望的IP地址的以太网广播数据包。 目的地主机， 或另一个代表该主机的系统， 以一个含有IP和以太网地址对的数据包作为应答。 发送者将这个地址对高速缓存起来， 以节约不必要的ARP通信如果有一个不被信任的节点对本地网络具有 写访问许可权， 那么也会有某种风险。 这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己， 然后它就可以扮演某些机器， 或者顺便对数据流进行简单的修改。 ARP机制常常是自动起作用的。 在特别安全的网络上， ARP映射可以用固件， 并且具有自动抑制协议达到防止干扰的目的。

    现在将Netstat和ARP的基本用法整理一下， 希望对没用过的朋友有点帮助。

    1.netstat – a

    显示一个所有的有效连接信息列表， 包括已建立的连接（ESTABLISHED）， 也包括监听连接请求（LISTENING）的那些socket。 具体情况如下图：

    Proto：表示所采用的运输层协议， 在本例中有TCP和UDP协议；

    Local Address：表示本地址， 如：“apolo:1025”,指的意思是本机名是“apolo”,本连接的端口号是“1025”；

    Foreign Address：表示另一端端系统的地址和端口号；

    State：表示连接状态。 常有， LISTENING(监听),ESTABLISHED(已建立),TIME_WAIT(等待)。

    2.netstat -n

    以点分四段式的形式输出IP地址， 而不是象征性的主机名和网络名。

    3.netstat –r

    显示关于路由表的信息， 格式同“route -e”。 除了显示有效路由外， 还显示当前有效的连接。 具体情况如下图：

    该图显示的是一个路由表， 其中Network Destination：表示的是目的网络。 0.0.0.0表示不明网络， 这是设置默认网关后系统自动产生的；127.0.0.0表示本机网络地址， 用于测试。 224.0.0.0表示组播地址。 255.255.255.255表示限制广播地址。

    Netmask：表示的是网络掩码。

    Gateway：表示的是网关。 本机的默认网关是218.18.33.1。

    Interface：表示的是接口地址。

    按照各个协议分别显示其统计数据。

    在本例中分别显示了IP， TCP的数据统计情况。 具体数据所表示的含义一目了然， 在这里不再赘述。

    5.netstat –e

    用于显示关于以太网的统计数据。 它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。 这些统计数据既有发送的数据报数量， 也有接收的数据报数量。 这个选项可以用来统计一些基本的网络流量。 具体情况如下：

    Unicast packets：表示广播分组。

    Non-unicast packets：非广播分组。

    6.netstat –v

    显示正在进行的工作。