实验报告-网络常用的dos命令恶意代码实验.docVIP

一、查看计算机的端口 在命令提示窗口中输入：netstat –a –n可以看到如下内容： Proto：代表协议类型，上图为TCP和UDP两种协议。 Local Address：代表本地计算机的IP地址和连接正在使用的端口号。 Foreign Address：代表连接本地计算机短裤的远程计算机的IP地址和端口号。如果正和其他计算机进行通信，显示的就是对方计算机的地址。 State：代表运行状态， 显示“listening”表示处于监听状态，说明该端口是开放的，正在等待连接，但是还没有被连接。只有TCP的服务端口才能处于“listening”状态。 显示为“SYS_SENT”状态，表示本机正在向其他计算机发出连接请求，一般这个状态存在的时间很短，当用户要访问其他计算机的服务时首先要发送一个同步信号给该计算机的服务端口，此时就为“SYS_SENT”状态。如果连接成功就变为“ESTABLISHED”状态，因此，“SYS_SENT”状态非常短暂，但是如果发现“SYS_SENT”状态非常多而且在向多个不同的地址发送信号，那么用户的计算机很可能中了冲击波或者震荡波之类的病毒。这类病毒为了感染别的计算机，就会不停的进行扫描，在扫描过程中对每个要扫描的计算机都会发出同步请求，这就是同时出现很多“SYS_SENT”状态的原因。 ESTABLISHED：表示两个地址已经建立了连接，正在进行通信。如果用户访问的网站中又许多内容，就会发现一个地址对应多个“ESTABLISHED”状态，这是正常的，英文网站中得每个内容，比如图片、FLASH等都要单独建立一个连接，如果用户关闭了所以访问的网页及其连接程序，然后多次在命令窗口中运行“netstat -a -n ”命令，始终有访问同一个网络IP地址的连接处于ESTABLISHED状态，则可能中了木马。 TIMA_WAIT：表示结束本次连接，说明端口曾经有过访问。 CLOSE_WAIT：表示结束等待。 问题：用这个命令查看自己的电脑，对“state”状态进行说明。 结果的截图： 说明： 二、ARP命令的介绍ARP Address Resolution Protocol 是地址解析协议，ARP是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。ARP协议是通过IP地址来获得MAC地址的。 ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后就会进行数据传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。ARP表：为了回忆通信的速度，最近常用的MAC地址与IP的转换不用依*交换机来进行，而是在本机上建立一个用来记录常用主机IP－MAC映射表，即ARP表。 所使用的到以太网的 IP 或令牌环物理地址翻译表。ARP该命令只有在安装了 TCP/IP 协议之后才可用。 –a arp –d 思考：如何绑定IP地址和MAC？用ARP命令查看自己的电脑，对结果进行说明。 结果的截图： 自己电脑的ARP： 2、绑定命令及绑定后的结果： 说明： 三、IPCONFIG的使用 总的参数简介 也可以在DOS方式下输入 Ipconfig /? 进行参数查询 　　Ipconfig /all：显示本机TCP/IP配置的详细信息； 　　Ipconfig /release：DHCP客户端手工释放IP地址； 　　Ipconfig /renew：DHCP客户端手工向服务器刷新请求； 　　Ipconfig /flushdns：清除本地DNS缓存内容； 　　Ipconfig /displaydns：显示本地DNS内容； 　　Ipconfig /registerdns：DNS客户端手工向服务器进行注册； 　　Ipconfig /showclassid：显示网络适配器的DHCP类别信息； 　　Ipconfig /setclassid：设置网络适配器的DHCP类别。 　　ipconfig /renew “Local Area Connection”：更新“本地连接”适配器的由 DHCP 分配 IP 地址的配置 　　ipconfig /sho