第3章 常用网络故障诊断命令

3.1ping3.2nslookup

3.3ipconfig

3.4netstat

3.5nbtstat

3.6tracert

3.7arp

3.8pathping

3.9net

3.10小结

第3章常用网络故障诊断命令3.1ping

ping是用于测试网络连接情况的程序。作为一个网络维护人员，ping命令是第一个必须掌握的命令。ping是Windows系统自带的一个可执行命令。它可以检查网络是否能够连通，并很好地帮助我们分析判定网络故障。ping的原理是这样的：网络上的机器都有唯一确定的IP地址，ping发送一个ICMP回声请求消息给目的地，并报告是否收到所希望的ICMP回声应答，根据返回的数据包我们可以确定网络的连接情况。我们以图3-1所示网络为例，讲述ping命令。图中，有A、B、C、D四台机器，一台路由RA，子网掩码均为，默认路由为。图3-1ping命令实验网络1.在同一网段内在主机A上运行“ping”后，都发生了些什么呢?首先，ping命令会构建一个固定格式的ICMP请求数据包，然后由ICMP协议将这个数据包连同地址一起交给IP层协议，IP层协议将以地址作为目的地址，本机IP地址作为源地址，加上一些其他的控制信息，构建一个IP数据包，并想办法得到的MAC地址(这是数据链路层协议构建数据链路层的帧所必需的)，以便交给数据链路层构建一个数据帧。主机B收到这个数据帧后，先检查其目的地址，并和本机的物理地址对比，如符合，则接收，否则丢弃。接收后检查该数据帧，将IP数据包从帧中提取出来，交给本机的IP层协议。同样，IP层检查后，将有用的信息提取后交给ICMP协议，后者处理后，立即构建一个ICMP应答包，发送给主机A，其过程和主机A发送ICMP请求包到主机B一样。2.不在同一网段内在主机A上运行“ping”后，开始跟上面一样。到了该获取MAC地址时，IP协议通过计算发现D机与自己不在同一网段内，就直接交路由器处理，也就是将路由器的MAC取过来。至于怎样得到路由器的MAC，跟上面一样，先在ARP缓存表找，找不到就广播。路由器得到这个数据帧后，再跟主机D进行联系，如果找不到，就向主机A返回一个超时的信息。3.1.1语法与参数

语法：

ping[-t][-a][-ncount][-llength][-f][-ittl][-rcount][-scount]

参数：

-t：若使用者不人为中断会，系统就会不断ping下去。

-a：将目标机器标识转换为IP地址，其实不使用这个参数直接ping目标主机也会在结果中显示目标主机的IP地址。

-ncount：要求ping命令连续发送数据报，直到发出并接收到count个请求。-l：发送缓冲区的大小。

-f：是一种快速方式ping。它可使ping输出数据报的速度与数据报从远程主机返回一样快，或者更快，达到每秒100次。在这种方式下，每个请求用一个句点表示。对于每一个响应打印一个空格键。

-i：生存期。

-r：使ping命令旁路掉用于发送数据报的正常路由表。

-spacketsize：使用户能够标识出要发送数据的字节数。缺省是56个字符，再加上8个字节的ICMP数据头，共64个ICMP数据字节。1. Requesttimedout

(1)对方已关机，或者网络上根本没有这个地址：比如在图3-1中主机A中ping，或者主机B关机了，在主机A中ping都会得到超时信息。

(2)对方与自己不在同一网段内，通过路由也无法找到对方。但有时对方确实是存在的。(3)对方确实存在，但设置了ICMP数据包过滤(比如防火墙设置)。怎样知道对方是存在还是不存在呢，可以用带参数-a的ping命令探测对方，如果能得到对方的NETBIOS名称，则说明对方是存在的，有防火墙设置。如果得不到，则多半是对方不存在或关机，或不在同一网段内。

(4)错误设置IP地址。正常情况下，一台主机应该有一个网卡、一个IP地址，或者多个网卡、多个IP地址。但如果在一台计算机的“拨号网络适配器”(相当于一块软网卡)的TCP/IP设置中，设置了一个与网卡IP地址处于同一子网的IP地址，这样，在IP层协议看来，这台主机就有两个不同的接口处于同一网段内。当从这台主机ping其他的机器时，会存在这样的问题：

①主机不知道将数据包发到哪个网络接口，因为有两个网络接口都连接在同一网段。

②主机不知道用哪个地址作为数据包的源地址。因此，从这台主机去ping其他机器时，IP层协议会无法处理。超时后，ping就会给出一个“超时无应答”的错误信息提示。但从其他主机ping这台主机时，请求包从特定的网卡来，ICMP只须简单地将目的、源地址互换，并更改一些标志即可，ICMP应答包能顺利发出，其他主机也就能成功ping通这台机器了。2. DestinationhostUnreachable

对方与自己不在同一网段内，而自己又未设置默认的路由。比如上例中A机中不设定默认的路由，运行ping，就会出现“DestinationhostUnreachable”。

这里要说明一下“destinationhostunreachable”和“timeout”的区别。如果所经过的路由器的路由表中具有到达目标的路由，而目标因为其他原因不可到达，那么这时会出现“timeout”；如果路由表中连到达目标的路由都没有，那么就会出现“destinationhostunreachable”。3. BadIPaddress

表示用户可能没有连接到DNS服务器，所以无法解析这个IP地址，也可能是IP地址不存在。

4. Sourcequenchreceived

这个信息比较特殊，它出现的概率很小。它表示对方或中途的服务器繁忙，无法回应。5. Unknownhost

这种出错信息的意思是，该远程主机的名字不能被域名服务器(DNS)转换成IP地址。故障原因可能是域名服务器有故障，或者其名字不正确，或者网络管理员的系统与远程主机之间的通信线路有故障。6. Noanswer

这种故障说明本地系统有一条通向中心主机的路由，但却接收不到它发给该中心主机的任何信息。故障原因可能是下列之一：

●中心主机没有工作；

●本地或中心主机网络配置不正确；

●本地或中心的路由器没有工作；

●通信线路有故障；

●中心主机存在路由选择问题。

7. Noroutetohost

网卡工作不正常。

8. Transmitfailed,errorcode：10043

网卡驱动不正常。

9.Unknownhostname

DNS配置不正确。3.1.2命令举例

1. ping本机IP

例如本机IP地址为：，则执行命令ping。如果网卡安装配置没有问题，则应有类似下列显示：

Replayfrombytes=32time<10ms

Pingstatisticsfor

PacketsSent=4Received=4Lost=00%loss

Approximateroundtriptimesinmilli-seconds

Minimum=0msMaxiumu=1msAverage=0ms如果在MS-DOS方式下执行此命令显示内容为：Requesttimedout，则表明网卡安装或配置有问题。将网线断开再次执行此命令，如果显示正常，则说明本机使用的IP地址可能与另一台正在使用的机器IP地址重复了。如果仍然不正常，则表明本机网卡安装或配置有问题，需继续检查相关网络配置。2.测试网速

在默认情况下，Windows只发送四个数据包，通过这个命令可以自己定义发送的个数，对衡量网络速度很有帮助。比如想测试发送50个数据包的平均返回时间、最快时间及最慢时间，就可以通过以下获知：

C:＼>ping-n508

Pinging8with32bytesofdata:

Replyfrom8:bytes=32time=50msTTL=241Replyfrom8:bytes=32time=50msTTL=241

Replyfrom8:bytes=32time=50msTTL=241

Requesttimedout.

…

Replyfrom8:bytes=32time=50msTTL=241

Replyfrom8:bytes=32time=50msTTL=241

Pingstatisticsfor8:

Packets:Sent=50,Received=48,Lost=2(4%loss),Approximateroundtriptimesinmilli-seconds:

Minimum=40ms,Maximum=51ms,Average=46ms由此可知，在给8发送50个数据包的过程当中，返回了48个，其中有两个由于未知原因丢失，这48个数据包当中返回时间最快为40ms，最慢为51ms，平均返回时间为46ms。3.获取路由信息

一般情况下发送的数据包是通过多个路由器才到达对方的，但到底是经过了哪些路由器呢？通过参数R就可以设定用户想探测经过的路由器的个数，不过只能跟踪到9个路

由器。

C:＼>ping-n1-R901

Pinging01with32bytesofdata:

Replyfrom01:bytes=32time=10msTTL=249

Route:87->

14->

0->

9->

49->

7->

01->

50->

0

Pingstatisticsfor01:

Packets:Sent=1,Received=1,Lost=0(0%loss),

Approximateroundtriptimesinmilli-seconds:

Minimum=10ms,Maximum=10ms,Average=10ms

由此可知，从用户的计算机到01一共通过了87、14、0、9、49和7这几个路由器。3.2nslookup

3.2.1语法与参数语法：nslookup[-SubCommand...][{ComputerToFind|[-Server]}]nslookup有两种模式：1.非交互式如果仅需要查找一块数据，则使用非交互式模式。对于第一个参数，键入要查找的计算机的名称或IP地址。对于第二个参数，键入DNS名称服务器的名称或IP地址。如果省略第二个参数，则nslookup使用默认DNS名称服务器。2.交互式

如果需要查找多块数据，则可以使用交互式模式。对于第一个参数，键入连字符(-)。对于第二个参数，键入DNS名称服务器的名称或IP地址。如果省略两个参数，则nslookup使用默认DNS名称服务器。要随时中断交互式命令，按Ctrl + C。要退出，键入Exit。参数：

-SubCommand...：将一个或多个nslookup子命令指定为命令行选项。

ComputerToFind：如果未指定其他服务器，就使用当前默认DNS名称服务器查阅ComputerToFind的信息。要查找不在当前DNS域的计算机，请在名称上附加句点。

如果ComputerToFind是IP地址，并且查询类型为A或PTR资源记录类型，则返回计算机的名称。如果ComputerToFind是一个名称，并且没有跟踪期，则向该名称添加默认DNS域名。此行为取决于下面set子命令的状态：domain、srchlist、defname和search。如果键入连字符“-”代替ComputerToFind，则命令提示符更改为nslookup交互式模式。

-Server：指定将该服务器作为DNS名称服务器使用。如果省略了-Server，则将使用默认的DNS名称服务器。

{help|?}：显示nslookup子命令的简短总结。

如果nslookup命令执行成功，即可显示出目标服务器的主机名和对应的IP地址，称之为正向解析。若失败了，可能是执行nslookup命令的计算机的DNS设置错了，也有可能是所查询的DNS服务器停止或工作异常。还有一种情况，虽然返回了应答，但每当和该服务器通信就会失败。这多数是目标服务器停止工作，但也有可能DNS服务器保存了错误的信息。在DNS服务器出现问题时，有时可能只能进行正向解析，无法进行逆向解析。此时，只需执行nslookup命令，看是否输出目标主机名即可。下面列出可能的错误消息：

1) Timedout

重试一定时间和一定次数之后，服务器没有响应请求。可以通过settimeout子命令设置超时期，而利用setretry子命令设置重试次数。

2) Noresponsefromserver

服务器上没有运行DNS名称服务器。

3) Norecords

尽管计算机名有效，但是DNS名称服务器没有当前查询类型的资源记录。查询类型使用setquerytype命令指定。4) Nonexistentdomain

计算机或DNS域名不存在。

5) Connectionrefused或Networkisunreachable

无法与DNS名称服务器或指针服务器建立连接。该错误通常发生在ls和finger请求中。

6) ServerfailureDNS

名称服务器发现在其数据库中内部不一致而无法返回有效应答。

7) RefusedDNS

名称服务器拒绝为请求服务。

8) FormaterrorDNS

名称服务器发现请求数据包的格式不正确。该错误可能表明nslookup中存在错误。

1.查找不同的数据类型

要在域名空间中查找不同的数据类型，可在命令提示符下使用settype或setq[uerytype]命令。例如，若查询邮件交换器数据，则可输入：

C:\>nslookup

DefaultServer:

Address:

>setq=mx

>mailhost

Server:Address:

MXpreference=0,mailexchanger=

internetaddress=

>第一次查询是查找远程名称，答案是权威的，但随后的查询是非权威的。第一次查询远程主机时，本地DNS服务器与作为该域权威的DNS服务器取得联系。然后，本地DNS服务器缓存该信息，以便从本地服务器缓存中非权威地回答随后的查询。2.直接从另一个名称服务器中进行查询

要直接查询另一个名称服务器，使用server或lserver命令切换到该名称服务器。lserver命令使用本地服务器得到要切换的服务器地址，而server命令使用当前默认服务器得到该地址。例如：

C:\>nslookup

DefaultServer:

Address:

>server

DefaultServer:

Address:

>3.3ipconfig

3.3.1语法与参数语法：ipconfig[/all][/renew[Adapter]][/release[Adapter]][/flushdns][/displaydns][/registerdns][/showclassidAdapter][/setclassidAdapter[ClassID]]参数：/all：显示所有适配器的完整TCP/IP配置信息。在没有该参数的情况下，ipconfig只显示各个适配器的IPv6地址(或IPv4地址)、子网掩码和默认网关值。适配器可以代表物理接口或逻辑接口(例如拨号连接)。

/renew[Adapter]：更新所有适配器(如果未指定适配器)或特定适配器(如果包含了Adapter参数)的DHCP配置。该参数仅在具有配置为自动获取IP地址的适配器的计算机上可用。要指定适配器名称，请键入使用不带参数的ipconfig命令显示的适配器名称。

/release[Adapter]：发送DHCPRELEASE消息到DHCP服务器，以释放所有适配器(如果未指定适配器)或特定适配器(如果包含了Adapter参数)的当前DHCP配置并丢弃IP地址配置。该参数可以禁用配置为自动获取IP地址的适配器的TCP/IP。要指定适配器名称，请键入使用不带参数的ipconfig命令显示的适配器名称。

/flushdns：刷新并重设DNS客户解析缓存的内容。在DNS故障排除期间，可以使用本过程从缓存中丢弃否定缓存项和任何其他动态添加项。/displaydns：显示DNS客户解析缓存的内容，包括从LocalHosts文件预装载的记录，以及最近获得的针对由计算机解析的名称查询的资源记录。DNS客户服务在查询配置的DNS服务器之前使用这些信息快速解析被频繁查询的名称。

/registerdns：初始化计算机上配置的DNS名称和IP地址的手工动态注册。可以使用该参数对失败的DNS名称注册进行故障排除，或解决客户和DNS服务器之间的动态更新问题，而不必重新启动客户端计算机。TCP/IP协议高级属性中的DNS设置可以确定DNS中注册了哪些名称。/showclassidAdapter：显示指定适配器的DHCP类别ID。要查看所有适配器的DHCP类别ID，请在Adapter位置使用星号“*”通配符。该参数仅在具有配置为自动获取IP地址的适配器的计算机上可用。

/setclassidAdapter：[ClassID]配置特定适配器的DHCP类别ID。要设置所有适配器的DHCP类别ID，请在Adapter位置使用星号“*”通配符。该参数仅在具有配置为自动获取IP地址的适配器的计算机上可用。如果未指定DHCP类别ID，则会删除当前类别ID。

/?：在命令提示符下显示帮助。3.3.2命令举例

(1)要显示所有适配器的基本TCP/IP配置，请键入：

ipconfig

(2)要显示所有适配器的完整TCP/IP配置，请键入：

ipconfig/all

下面是ipconfig/all命令输出，该计算机配置成使用DHCP服务器动态配置TCP/IP，并使用WINS和DNS服务器解析名称。Windows2000IPConfiguration

NodeType........... :Hybrid

IPRoutingEnabled........  :No

WINSProxyEnabled...... :No

EthernetadapterLocalAreaConnection:

HostName.............. :

DNSServers.............:00

Description............. :3Com3C90xEthernetAdapter

PhysicalAddress......... :00-60-08-3E-46-07

DHCPEnabled........... :Yes

AutoconfigurationEnabled... :YesIPAddress................:12

SubnetMask..............:

DefaultGateway...........:

DHCPServer............ :0

PrimaryWINSServer......:01

SecondaryWINSServer... :02

LeaseObtained...........:Wednesday,September02,199810:32:13AM

LeaseExpires.............:Friday,September18,199810:32:13AM(3)仅更新“本地连接”适配器由DHCP分配IP地址的配置，请键入：

ipconfig/renew“LocalAreaConnection”

(4)要在排除DNS的名称解析故障期间刷新DNS解析器缓存，请键入：

ipconfig/flushdns

(5)要显示名称以Local开头的所有适配器的DHCP类别ID，请键入：

ipconfig/showclassidLocal*

(6)要将“本地连接”适配器的DHCP类别ID设置为TEST，请键入：

ipconfig/setclassid“LocalAreaConnection”TEST

(7)要备份网络设置，请键入：

ipconfig/batchbak-netcfg(将有关网络配置的信息备份到文件bak-netcfg中)

(8)要为网卡动态分配新地址，请键入：

ipconfig/release1(去除网卡1的动态IP地址)

ipconfig/renew1(为网卡1重新动态分配IP地址)3.4netstat

3.4.1语法与参数语法：

netstat[-a][-b][-e][-n][-o][-pproto][-r][-s][-v][interval]参数：-a：显示所有连接和监听端口。-b：显示包含于创建每个连接或监听端口的可执行组件。在某些情况下已知可执行组件拥有多个独立组件，并且在这些情况下包含于创建连接或监听端口的组件序列被显示。这种情况下，可执行组件名在底部的[]中，顶部是其调用的组件等，直到TCP/IP部分。注意此选项可能需要很长时间，如果没有足够权限，则可能失败。-e：显示以太网统计信息。此选项可以与-s选项组合使用。-n：以数字形式显示地址和端口号。-o：显示与每个连接相关的所属进程ID。-pproto：显示proto指定的协议的连接；proto可以是下列协议之一：TCP、UDP、TCPv6或UDPv6。如果与-s选项一起使用以显示按协议统计信息，proto可以是下列协议之一：IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP或UDPv6。

-r：显示路由表。

-s：显示按协议统计信息。默认显示IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP和UDPv6的统计信息。

-p：选项用于指定默认情况的子集。

-v：与-b选项一起使用时将显示包含于为所有可执行组件创建连接或监听端口的组件。

3.4.2命令举例

下面用一个实例简单解释一下netstat的使用：

C:\>netstat-a

ActiveConnections

ProtoLocalAddressForeignAddressState

TCPEagle:ftpEagle:0LISTENING

TCPEagle:telnetEagle:0LISTENING

TCPEagle:smtpEagle:0LISTENING

TCPEagle:httpEagle:0LISTENING

TCPEagle:epmapEagle:0LISTENING

TCPEagle:httpsEagle:0LISTENING

TCPEagle:microsoft-dsEagle:0LISTENING

TCPEagle:1030Eagle:0LISTENING

TCPEagle:microsoft-dslocalhost:1031ESTABLISHED

TCPEagle:netbios-ssnEagle:0LISTENING

TCPEagle:12135:9002CLOSE_WAIT

TCPEagle:244342:httpsCLOSE_WAIT

TCPEagle:291601:telnetESTABLISHED

TCPEagle:29280:4899TIME_WAIT

TCPEagle:34555:9002ESTABLISHED

TCPEagle:netbios-ssnEagle:0LISTENING

UDPEagle:microsoft-ds*:*

UDPEagle:1046*:*

UDPEagle:1050*:*协议(Proto)：TCP，是指传输层通讯协议。

本地机器名(LocalAddress)：Eagle，俗称计算机名，安装系统时设置的，可以在“我的计算机”属性中修改。

远程机器名(ForeignAddress)：指与本机通信的计算机。

State指TCP连接状态，包括以下内容：

LISTEN：在监听状态中。

ESTABLISHED：已建立连接。

TIME_WAIT：该连接在目前已经是等待的状态。3.5nbtstat

3.5.1语法与参数

语法：

nbtstat[-aRemoteName][-AIPAddress][-c][-n][-r][-R][-RR][-s][-S][Interval]参数：-aRemoteName：显示远程计算机的NetBIOS名称表。其中，RemoteName是远程计算机的NetBIOS计算机名称，NetBIOS名称表是与运行在该计算机上的应用程序相对应的NetBIOS名称列表。-AIPAddress：显示远程计算机的NetBIOS名称表，其名称由远程计算机的IP地址指定(以小数点分隔)。

-c：显示NetBIOS名称缓存内容、NetBIOS名称表及其解析的各个地址。

-n：显示本地计算机的NetBIOS名称表。Registered的状态表明该名称是通过广播还是WINS服务器注册的。

-r：显示NetBIOS名称解析统计资料。在配置为使用WINS且运行WindowsXP或WindowsServer2003操作系统的计算机上，该参数将返回已通过广播和WINS解析和注册的名称号码。-R：清除NetBIOS名称缓存的内容，并从Lmhosts文件中重新加载带有#PRE标记的

项目。

-RR：释放并刷新通过WINS服务器注册的本地计算机的NetBIOS名称。

-s：显示NetBIOS客户端和服务器会话，并试图将目标IP地址转化为名称。

-S：显示NetBIOS客户端和服务器会话，只通过IP地址列出远程计算机。Interval：重新显示选择的统计资料，可以在每个显示内容之间中断Interval中指定的秒数。按Ctrl + C停止重新显示统计信息。如果省略该参数，则netstat将只显示一次当前的配置信息。

/?：在命令提示符下显示帮助。

标题描述：

Input：接收的字节数。

Output：发送的字节数。

In/Out：该连接是否从计算机传出或者从其他计算机传入到本地计算机。

Lift：名称表示缓存项在被清除之前所存留的时间。

LocalName：与连接相关的本地NetBIOS名称。

RemoteHost：与远程计算机相关的名称或IP地址。

<03>转化为十六进制的NetBIOS名称的最后一个字节。每个NetBIOS名称长度均为16个字符。最后一个字节通常有特殊的意义，因为相同的名称(只有最后一个字节不同)可能在一台计算机上出现几次。例如，<20>在ASCII文本中是一个空格。Type：名称类型。名称可以是唯一名称，也可以是组名称。

Status：远程计算机上是否在运行NetBIOS服务(已注册)，或同一计算机名是否已注册了相同的服务(冲突)。

StateNetBIOS：连接的状态。

State描述的内容包括：

Connected：会话已建立。

Associated：连接的终节点已经被创建并与IP地址关联。

Listening：该终节点对入站连接可用。

Idle：该终节点已被打开但不能接收连接。Connecting：会话处于连接阶段。在此阶段正在解析所选目标的由名称到IP地址的

映射。

Accepting：当前正在接受入站会话，并将立即连接。

Reconnecting：会话将试图重新连接(如果第一次连接尝试失败)。

Outbound：会话正处于连接阶段，当前正在创建TCP连接。

Inbound：入站会话处于连接阶段。

Disconnecting：会话正在断开连接。

Disconnected：本地计算机已断开连接，并正等待远程系统的确认。3.5.2命令举例(1)显示NetBIOS计算机名为CORP07的远程计算机的NetBIOS名称表：nbtstat-aCORP07(2)显示所分配IP地址为9的远程计算机的NetBIOS名称表：nbtstat-A93.6tracert

3.6.1语法与参数语法：tracert[-d][-hmaximum_hops][-jhost-list][-wtimeout]target_name参数：-d：指定不将地址解析为计算机名。-hmaximum_hops：指定搜索目标的最大跳数。-jcomputer-list：指定沿computer-list的稀疏源路由。-wtimeout：每次应答等待timeout指定的微秒数。target_name：目标计算机的名称。3.6.2命令举例tracert一般用来检测故障的位置，可以用tracertIP发现在哪个环节上出了问题。虽然尚未确定是什么问题，但它已经告诉了我们问题所在的位置。例如：C:\>tracert-dTracingrouteto[0]overamaximumof30hops:12ms1ms1ms23ms2ms1ms5432ms2ms2ms5342ms2ms2ms0Tracecomplete.3.7arp

3.7.1语法与参数语法：arp-sinet_addreth_addr[if_addr]arp-dinet_addr[if_addr]arp-a[inet_addr][-Nif_addr]参数：-a或 -g：用于查看高速缓存中的所有项目。-a和 -g参数的结果是一样的，多年来 -g一直是UNIX平台上用来显示ARP高速缓存中所有项目的选项，而Windows用的是arp-a，但它也可以接受比较传统的 -g选项。-aIP：如果我们有多个网卡，那么使用arp-a加上接口的IP地址，就可以只显示与该接口相关的ARP缓存项目。-sIP物理地址：我们可以向ARP高速缓存中人工输入一个静态项目。该项目在计算机引导过程中将保持有效状态，或者在出现错误时，人工配置的物理地址将自动更新该项目。-dIP：使用本命令能够人工删除一个静态项目。3.7.2命令举例很多此起彼伏的瞬间掉线或大面积的断网是ARP欺骗在作怪。从影响网络连接通畅的方式来看，ARP欺骗分为两种。一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断重复，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了。一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。有些网络管理员对此不甚了解，出现故障时，认为PC没有问题，交换机没掉线，电信也不承认宽带故障。而且如果第一种ARP欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。为此，路由器背了不少黑锅。如下操作可以防范ARP欺骗：①在宽带路由器中把所有PC的IP-MAC输入到一个静态表中，这叫路由器IP-MAC绑定。②在内网所有PC上设置网关的静态ARP信息，这叫PC机IP-MAC绑定。两项工作都做则称其为IP-MAC双向绑定。对每台主机进行IP和MAC地址静态绑定如下：

arp–sAA-AA-AA-AA-AA-AA3.8pathping

pathping提供有关在源和目标之间的中间跃点处网络滞后和网络丢失的信息。pathping在一段时间内将多个回响请求消息发送到源和目标之间的各个路由器，然后根据各个路由器返回的数据报计算结果。因为pathping显示在任何特定路由器或链接处的数据报的丢失程度，所以用户可据此确定存在网络问题的路由器或子网。pathping通过识别路径上的路由器来执行与tracert命令相同的功能。然后，该命令在一段指定的时间内定期将ping命令发送到所有的路由器，并根据每个路由器的返回数值生成统计结果。语法：pathping[-n][-hMaximumHops][-gHostList][-pPeriod][-qNumQueries[-wTimeout][-iIPAddress][-4IPv4][-6IPv6][TargetName]参数：-n：阻止pathping试图将中间路由器的IP地址解析为各自的名称。这有可能加快pathping的结果显示。-hMaximumHops：指定搜索目标的路径中存在的跃点的最大数。默认值为30个跃点。-gH