Netstat及arp命令的使用教程

XP下Netstat和ARP其实是个非常有用的工具，看到经常有的朋友忙于找一些复杂的网络软件，其实小小的Netstat有时候能解决非常多的问题。netstat命令是一个监控TCP/IP网络的非常有用的工具，它可以显示路由表、实际的网络连接以及每一个网络接口设备的状态信息。

    经常上网的人一般都使用ICQ的，不知道我们有没有被一些讨厌的人骚扰，想投诉却又不知从和下手？其实，我们只要知道对方的IP，就可以向他所属的ISP投诉了。但怎样才能通过ICQ知道对方的IP呢？如果对方在设置ICQ时选择了不显示IP地址，那我们 是无法在信息栏中看到的。其实，我们只需要通过Netstat就可以很方便的做到这一点：当他通过ICQ或其他的工具与我们相连时（例如我们给他发一条ICQ信息或他给我们发一条信息），我们立刻在DOS 命令提示符下输入netstat -n或netstat -a就可以看到对方上网时所用的IP或ISP域名了，甚至连所用Port都完全暴露了。

    IP数据包常通过以太网发送。以太网设备并不识别32位IP地址：它们是以48位以太网地址传输以太网数据包的。因此，IP驱动器必须把IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射，常常需要查看一张表。地址解析协 议(Address Resolution Protocol，ARP)就是用来确定这些映象的协议。

    ARP工作时，送出一个含有所希望的IP地址的以太网广播数据包。目的地主机，或另一个代表该主机的系统，以一个含有IP和以太网地址对的数据包作为应答。发送者将这个地址对高速缓存起来，以节约不必要的ARP通信如果有一个不被信任的节点对本地网络具有 写访问许可权，那么也会有某种风险。这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己，然后它就可以扮演某些机器，或者顺便对数据流进行简单的修改。ARP机制常常是自动起作用的。在特别安全的网络上， ARP映射可以用固件，并且具有自动抑制协议达到防止干扰的目的。

    现在将Netstat和ARP的基本用法整理一下，希望对没用过的朋友有点帮助。

    1.netstat – a

    显示一个所有的有效连接信息列表，包括已建立的连接（ESTABLISHED），也包括监听连接请求（LISTENING）的那些socket。具体情况如下图：

    Proto：表示所采用的运输层协议，在本例中有TCP和UDP协议；

    Local Address：表示本地址，如：“apolo:1025”,指的意思是本机名是“apolo”,本连接的端口号是“1025”；

    Foreign Address：表示另一端端系统的地址和端口号；

    State：表示连接状态。常有，LISTENING(监听),ESTABLISHED(已建立),TIME_WAIT(等待)。

    2.netstat -n

    以点分四段式的形式输出IP地址，而不是象征性的主机名和网络名。

    3.netstat –r

    显示关于路由表的信息，格式同“route -e”。除了显示有效路由外，还显示当前有效的连接。具体情况如下图：

    该图显示的是一个路由表，其中Network Destination：表示的是目的网络。0.0.0.0表示不明网络，这是设置默认网关后系统自动产生的；127.0.0.0表示本机网络地址，用于测试。224.0.0.0表示组播地址。255.255.255.255表示限制广播地址。

    Netmask：表示的是网络掩码。

    Gateway：表示的是网关。本机的默认网关是218.18.33.1。

    Interface：表示的是接口地址。

    Metric：表示的是路由跳数。