計算機網路連續發包

1. 區域網內一台電腦老是向固定地址發包,發包埠逐漸提高,現在網關也一起做同一個動作,請問這是怎麼了

估計是這台電腦中了病毒，或這台電腦在使用特定的軟體連接該IP地址，而這個軟體一直沒有連接成功，所以一直在試探連接ip的埠，當然，如果這個IP地址不是區域網I地址，網關肯定做相應的動作，如果是nat的話

2. 區域網內，一插上網線就會大量發包，自己給自己發NBNS的包，造成電腦非常卡

這是ARP病毒在作怪，前幾天我的也是這樣！我就安裝了360安全衛士，超級巡警，彩影ARP防火牆和qq電腦管家！把全部的ARP防禦都打開！後來就沒有被攻擊了！用完了再關掉或卸載了都沒有問題了！雖然安那麼多有點麻煩！但也只有耐著性子做咯...

3. 區域網內有電腦總是向別人發包

那你就在路由器上把這個IP打入黑名單就行了嘛，，看那個人材來找你，跟你說上不了網了，就教育一下他嘛，，呵呵。。
知道攻擊人的IP地址還不好辦么？
要不你也以牙還牙，往它那邊拚命扔包

4. 主機A向主機B連續發送了兩個TCP報文段序號是七十和一百，問第一個報文段攜帶了多少位元組的數據

30位元組。

主機A向B發送的是每個報文段的第一個序號是70，表明從70開始，第二個序號是100，表明第一個的結束序號為99，從70到99（包括70和99）共30位元組。

在使用TCP傳輸數據時，如果有一個確認報文段丟失了，是不是一定會引起與該確認報文段對應的數據的重傳答案是不一定。

例如某個確認丟失了，但是在該報文的重傳計時器到時之前，卻收到了更高序號的確認，因為如果接收方沒有收到低號的報文是不可能會發出高序號的確認的，所以說發送方此時不會在重傳那個丟失確認的報文了。

(4)計算機網路連續發包擴展閱讀

相關原理：

當應用層向TCP層發送用於網間傳輸的、用8位位元組表示的數據流，TCP則把數據流分割成適當長度的報文段，最大傳輸段大小（MSS）通常受該計算機連接的網路的數據鏈路層的最大傳送單元（MTU）限制。之後TCP把數據包傳給IP層，由它來通過網路將包傳送給接收端實體的TCP層。

TCP為了保證報文傳輸的可靠，就給每個包一個序號，同時序號也保證了傳送到接收端實體的包的按序接收。然後接收端實體對已成功收到的位元組發回一個相應的確認（ACK）；如果發送端實體在合理的往返時延（RTT）內未收到確認，那麼對應的數據（假設丟失了）將會被重傳。

5. 電腦大量發送廣播包是不是中ARP病毒了

1、不一定。。大量大量發送廣播包不等於中arp毒。。但是中arp毒會發送大量欺騙包
2、臨時應急辦法是裝arp防火牆。。不要360的。效果不行。。簡單易用的推薦金山arp防火牆。好點的影碟的不錯。。但是設置稍微有點麻煩
3、不斷修改arp緩存多半是別人攻擊了。。。也不排除自己攻擊別人。。當然。。也不一定修改arp就一定是攻擊發生。。具體問題具體判斷 （因為很多區域網軟體都要帶「攻擊」功能。。我用引號。。就是殺毒軟體和防火牆認為是攻擊。但是其實是安全的。安全與不安全是都是相對而言的

6. 使用什麼命令可以不斷向目標主機發送請求

一、Ping

相信玩過網路的人都會對「Ping」這個命令有所了解或耳聞。Ping命令是

Windows9X/NT中集成的一個專用於TCP/IP協議的測試工具，ping命令是用於查看網路上

的主機是否在工作，它是通過向該主機發送ICMP ECHO_REQUEST包進行測試而達到目的

的。一般凡是應用TCP/IP協議的局域或廣域網路，不管你是內部只有幾台電腦的家庭、

辦公室區域網，還是校園網、企業網甚至Internet國際互聯網路，當客戶端與客戶端之

間無法正常進行訪問或者網路工作出現各種不穩定的情況時，建議大家一定要先試試用

Ping這個命令來測試一下網路的通信是否正常，多數時候是可以一次奏效的。

1.Ping命令的語法格式

ping命令看似小小的一個工具，但它帶有許多參數，要完全掌握它的使用方法還真

不容易，要達到熟練使用則更是難下加難，但不管怎樣我們還得來看看它的真面目，首

先我們還是從最基本的命令格式入手吧!

ping命令的完整格式如下：

ping [-t] [-a] [-n count] [-l length] [-f] [-i ttl] [-v tos] [-r count][-s
count] [[-j -Host list] | [-k Host-list]] [-w timeout] destination-list

從這個命令式中可以看出它的復雜程度，ping命令本身後面都是它的執行參數，現

對其參數作一下詳細講解吧!

-t—— 有這個參數時，當你ping一個主機時系統就不停的運行ping這個命令，直

到你按下Control-C。

-a——解析主機的NETBIOS主機名，如果你想知道你所ping的要機計算機名則要加

上這個參數了，一般是在運用ping命令後的第一行就顯示出來。

-n count——定義用來測試所發出的測試包的個數，預設值為4。通過這個命令可

以自己定義發送的個數，對衡量網路速度很有幫助，比如我想測試發送20個數據包的返

回的平均時間為多少，最快時間為多少，最慢時間為多少就可以通過執行帶有這個參數

的命令獲知。

-l length——定義所發送緩沖區的數據包的大小，在默認的情況下windows的ping

發送的數據包大小為32byt，也可以自己定義，但有一個限制，就是最大隻能發送

65500byt，超過這個數時，對方就很有可能因接收的數據包太大而死機，所以微軟公司

為了解決這一安全漏洞於是限制了ping的數據包大小。

-f—— 在數據包中發送「不要分段」標志，一般你所發送的數據包都會通過路由

分段再發送給對方，加上此參數以後路由就不會再分段處理。

-i ttl—— 指定TTL值在對方的系統里停留的時間，此參數同樣是幫助你檢查網路

運轉情況的。

-v tos—— 將「服務類型」欄位設置為 「tos」 指定的值。

-r count—— 在「記錄路由」欄位中記錄傳出和返回數據包的路由。一般情況下

你發送的數據包是通過一個個路由才到達對方的，但到底是經過了哪些路由呢?通過此

參數就可以設定你想探測經過的路由的個數，不過限制在了9個，也就是說你只能跟蹤

到9個路由。

-s count——指定「count」 指定的躍點數的時間戳，此參數和-r差不多，只是這

個參數不記錄數據包返回所經過的路由，最多也只記錄4個。

-j host-list ——利用「 computer-list」 指定的計算機列表路由數據包。連續

計算機可以被中間網關分隔IP 允許的最大數量為 9。

-k host-list ——利用 「computer-list」 指定的計算機列表路由數據包。連續

計算機不能被中間網關分隔IP 允許的最大數量為 9。

-w timeout——指定超時間隔，單位為毫秒。

destination-list ——是指要測試的主機名或IP地址

2.Ping命令的應用

(1)、測試網路的通暢

我們知道可以用ping命令來測試一下網路是否通暢，這在區域網的維護中經常用到，

方法很簡單，只需要在DOS或Windows的開始菜單下的「運行」子項中用ping命令加上所

要測試的目標計算機的IP地址或主機名即可(目標計算機要與你所運行ping命令的計算

機在同一網路或通過電話線或其它專線方式已連接成一個網路)，其它參數可全不加。

如要測試台IP地址為196.168.1.21的工作站與伺服器是否已連網成功，就可以在伺服器

上運行：ping -a 196.`68.123.56 即可，如果工作站上TCP/IP協議工作正常，即會以

DOS屏幕方式顯示如下所示的信息：

Pinging cindy[196.168.1.21] with 32 bytes of data:

Reply from 196.168.1.21: bytes=32 time<10ms TTL=254

Reply from 196.168.1.21: bytes=32 time<10ms TTL=254

Reply from 196.168.1.21: bytes=32 time<10ms TTL=254

Reply from 196.168.1.21: bytes=32 time<10ms TTL=254

Ping statistics for 196.168.1.21:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round

trip times in milli-seconds:

Minimum = 0ms, Maximum = 0ms, Average = 0ms

從上面我們就可以看出目標計算機與伺服器連接成功，TCP/IP協議工作正常，因為

加了「-a」這個參數所以還可以知道IP為196.168.1.21的計算機的NetBIOS名為cindy。

如果網路未連成功則顯示如下錯誤信息：

Pinging[196.168.1.21 ] with 32 bytes of data

Request timed out.

Request timed out.

Request timed out.

Request timed out.

Ping statistice for 196.168.1.21:

PacketsTongue Tiedent=4,Received =0,Lost=4(100% loss),

Approximate round trip times in milli-seconds

Minimum=0ms,Maximum=0ms,Average=0ms

為什麼不管網路是否連通在提示信息中都會有重復四次一樣的信息呢(如上的

「Reply from 196.168.1.21: bytes=32 time<10ms TTL=254 」和「Request
timed

out」)，那是因為一般系統默認每次用ping測試時是發送四個數據包，這些提示就是

告訴你所發送的四個數據包的發送情況。

出現以上錯誤提示的情況時，就要仔細分析一下網路故障出現的原因和可能有問題

的網上結點了，一般首先不要急著檢查物理線路，先從以下幾個方面來著手檢查：一是

看一下被測試計算機是否已安裝了TCP/IP協議;二是檢查一下被測試計算機的網卡安裝

是否正確且是否已經連通;三是看一下被測試計算機的TCP/IP協議是否與網卡有效的綁

定(具體方法是通過選擇「開始→設置→控制面板→網路」來查看);四是檢查一下

Windows NT伺服器的網路服務功能是否已啟動(可通過選擇「開始→設置→控制面板→

服務」，在出現的對話框中找到「Server」一項，看「狀態」下所顯示的是否為「已啟

動」)。如果通過以上四個步驟的檢查還沒有發現問題的症結，這時再查物理連接了，

我們可以藉助查看目標計算機所接HUB或交換機埠的批示燈狀態來判斷目標計算機現

網路的連通情況。

(2)、獲取計算機的IP地址

利用ping這個工具我們可以獲取對方計算機的IP地址，特別是在區域網中，我們經

常是利用NT或WIN2K的DHCP動態IP地址服務自動為各工作站分配動態IP地址，這時當然

我們要知道所要測試的計算機的NETBIOS名，也即我們通常在「網路鄰居」中看到的

「計算機名」。使用ping命令時我們只要用ping命令加上目標計算機名即可，如果網路

連接正常，則會顯示所ping的這台機的動態IP地址。其實我們完全可以在互聯網使用，

以獲取對方的動態IP地址，這一點對於黑客來說是比較有用的，當然首先的一點就是你

先要知道對方的計算機名。

(3)、上述應用技巧其實重點是Ping 命令在區域網中的應用，其實Ping命令不僅在

區域網中廣泛使用，在Internet互聯網中也經常使用它來探測網路的遠程連接情況。平

時，當我們遇到以下兩種情況時，需要利用Ping工具對網路的連通性進行測試。比如當

某一網站的網頁無法訪問時，可使用Ping命令進行檢測。另外，我們在發送E-mail之前

也可以先測試一下網路的連通性。許多網際網路用戶在發送E-mail後經常收到諸如

「Returned mail:User unknown」的信息，這說明您的郵件未發送到目的地。為了避免

此類事件再次發生，所以建議大家在發送E-mail 之前先養成Ping對方郵件伺服器地址

的習慣。例如，當您給163網站郵件用戶發郵件時，可先鍵入「ping 163.com」(其實

163.com就是網易的其中一台伺服器名)進行測試，如果返回類似於「Bad IP address

163.com」或「Request times out」或「Unknow host 163.com」等的信息，說明對方

郵件伺服器的主機未打開或網路未連通。這時即使將郵件發出去，對方也無法收到。

二、Ipconfig/Winipcfg

與Ping 命有所區別，利用Ipconfig和Winipcfg工具可以查看和修改網路中的

TCP/IP協議的有關配置，如IP地址、網關、子網掩碼等。這兩個工具在Windows 95/98

中都能使用，功能基本相同，只是Ipconfig 是以 DOS的字元形式顯示，而Winipcfg則

用圖形界面顯示，也就是其實兩個工具是一個工具，只不過一個是DOS下的版本，另一

個為WINDWOS下的版本，但要注意，在Windows NT中只能運行於DOS方式下的Ipconfig工

具。

1.Ipconfig命令的語法格式

Ipconfig[/all][/batch file][/renew all][/release all][/renew
n][/release

n]all——顯示與TCP/IP協議相關的所有細節信息，其中包括測試的主機名、IP地

址、子網掩碼、節點類型、是否啟用IP路由、網卡的物理地址、默認網關等。

Batch file——將測試的結果存入指定的「file「文件名中，以便於逐項查看，如

果省略file文件名，則系統會把這測試的結果保存在系統的「winipcfg.out」文件中。

renew all——更新全部適配器的通信配置情況，所有測試重新開始。

release all——釋放全部適配器的通信配置情況，

renew n——更新第n號適配器的通信配置情況，所有測試重新開始。

release n——釋放第n號適配器的通信配置情況，

2.Winipcfg命令

Winipcfg工具的功能與Ipconfig基本相同，只是Winipcfg是以圖形界面的方式顯

示，如圖1所示。在操作上更加方便，同時能夠以WINDOWS的32點陣圖形界面方式顯示。當

用戶需要查看任何一台機器上TCP/IP協議的配置情況時，只需在Windows 95/98上選擇

「開始→運行」，在出現的對話框中輸入命令「winipcfg」，將出現測試結果。單擊

「詳細信息」按鈕，在隨後出現的對話框中可以查看和改變TCP/IP的有關配置參靈敏，

當一台機器上安裝有多個網卡時，可以查找到每個網卡的物理地址和有關協議的綁定情

況，這在某些時候對我們是特別有用的。如果要獲取更多的信息，可單擊圖中的「詳細

信息」按鈕，在出現的對話框中可以相看到比較全面的信息。

3、ipconfig/winipcfg的應用

上面我講了一下這兩姊妹TCP/IP測試工具的一些用法，下面我就來談她們的一些用

途。

(1)、查找目標主機的IP地址及其它有關TCP/IP協議的信息，方法如下：按「開

始」菜單執行「運行」菜單項，輸入 winipcfg，就會出現一個 IP 組態窗口，這里會

顯示有關於你目前網路 IP 的一些詳細設置數據。或者，你也可以在 MS-DOS 模式下，

輸入 ipconfig，也是一樣可以顯示詳細的 IP 信息，只不過此畫面是在 DOS 下而已。

(2)、ipconfig/winipcfg應該說是一款網路偵察的利器，尤其當用戶的網路中設置

的是DHCP(動態IP地址配置協議)時，利用Ipconfig/winipcfg可以讓用戶很方便地了

解到所用IPconfig/winipcfg機的IP地址的實際配置情況。因為它有一個「/all」這個

參數，所以它可偵查到本機上所有網路適配的IP地址分配情況，比ping命令更為詳細。

如果我們在機房winda客戶端上運行「Ipconfig/all/batch winda.txt」後，打開

winda.txt文件，將顯示如下所示的內容，非常詳細地顯示了所有與TCP/IP協議有關的

配置情況 。當然與ping相比也有它的不足之處就是它只能在本機上測試，不能運用網

絡功能來測試。

三、Netstat

與上述幾個網路檢測軟體類似，Netstat命令也是可以運行於Windows 95/98/NT的

DOS提示符下的工具，利用該工具可以顯示有關統計信息和當前TCP/IP網路連接的情

，用戶或網路管理人員可以得到非常詳盡的統計結果。當網路中沒有安裝特殊的網管

軟體，但要對整個網路的使用狀況作個詳細地了解時，就是Netstat大顯身手的時候

了。

它可以用來獲得你的系統網路連接的信息(使用的埠和在使用的協議等)，收到

和發出的數據，被連接的遠程系統的埠等。

1、Netstat命令的語法格式

Nbtstat 格式：netstat [-a] [-e] [-n] [-s] [-p protocol] [-r]
[interval]參數解釋如下：

-a——用來顯示在本地機上的外部連接，它也顯示我們遠程所連接的系統，本地和

遠程系統連接時使用和開放的埠，以及本地和遠程系統連接的狀態。這個參數通常用

於獲得你的本地系統開放的埠，用它您可以自己檢查你的系統上有沒有被安裝木馬，

如果您在你的機器上運行Netstat的話，如發現諸如：Port 12345(TCP) Netbus、Port

31337(UDP) Back Orifice之類的信息，則你的機器上就很有可能感染了木馬。

-n——這個參數基本上是-a參數的數字形式，它是用數字的形式顯示以上信息，這

個參數通常用於檢查自己的IP時使用，也有些人使用他是因為更喜歡用數字的形式來顯

示主機名。

-e——顯示靜態太網統計，該參數可以與 -s 選項結合使用。

-p protocol——用來顯示特定的協議配置信息，它的格式為：Netstat -p ***，

***可以是UDP、IP、ICMP或TCP，如要顯示機器上的TCP協議配置情況則我們可以用：

Netstat -p tcp。

-s——顯示機器的預設情況下每個協議的配置統計，預設情況下包括TCP、IP、

UDP、ICMP等協議。

-r——用來顯示路由分配表。

interval——每隔「interval」秒重復顯示所選協議的配置情況，直到按

「CTRL+C」中斷。

2、netstat的應用

從以上各參數的功能我們可以看出netstat工具至少有以下向方面的應用：

(1)、顯示本地或與之相連的遠程機器的連接狀態，包括TCP、IP、UDP、ICMP協議

的使用情況，了解本地機開放的埠情況;

(2)、檢查網路介面是否已正確安裝，如果在用netstat這個命令後仍不能顯示某些

網路介面的信息，則說明這個網路介面沒有正確連接，需要重新查找原因。

(3)、通過加入「-r」參數查詢與本機相連的路由器地址分配情況;

(4)、還可以檢查一些常見的木馬等黑客程序，因為任何黑客程序都需要通過打開

一個埠來達到與其伺服器進行通信的目的，不過這首先要使你的這台機連入互聯網才

行，不然這些埠是不可能打開的，而且這些黑客程序也不會起到入侵的本來目的。

四、nbtstat

NBTSTAT命令:用於查看當前基於NETBIOS的TCP/IP連接狀態，通過該工具你可以獲

得遠程或本地機器的組名和機器名 。雖然用戶使用ipconfig/winipcfg工具可以准確地

得到主機的網卡地址，但對於一個已建成的比較大型的區域網，要去每台機器上進行這

樣的操作就顯得過於費事了。網管人員通過在自己上網的機器上使用DOS命令nbtstat，

可以獲取另一台上網主機的網卡地址。我們還是先來看看它的語法格式吧：

NBTSTAT [ [-a RemoteName] [-A IP address] [-c] [-n] [-r] [-R] [-RR]
[-s][-S] [interval] ]參數說明：

-a Remotename——說明使用遠程計算機的名稱列出其名稱表，此參數可以通過遠

程計算機的NetBios名來查看他的當前狀態。

-A IP address——說明使用遠程計算機的 IP 地址並列出名稱表，這個和-a不同

的是就是這個只能使用IP，其實-a就包括了-A的功能了。

-c——列出遠程計算機的NetBIOS 名稱的緩存和每個名稱的 IP 地址 這個參數就

是用來列出在你的NetBIOS里緩存的你連接過的計算機的IP。

-n——列出本地機的 NetBIOS 名稱，此參數與上面所介紹的一個工具軟體

「netstat」中加「 -a」參數功能類似，只是這個是檢查本地的，如果把netstat -a後

面的IP換為自己的就和nbtstat -n的效果是一樣的了。

-r——列出 Windows 網路名稱解析的名稱解析統計。在配置使用 WINS 的

Windows 2000 計算機上，此選項返回要通過廣播或 WINS 來解析和注冊的名稱數。

-R——清除 NetBIOS 名稱緩存中的所有名稱後，重新裝入 Lmhosts 文件，這個參

數就是清除nbtstat -c所能看見的緩存里的IP。

-S—— 在客戶端和伺服器會話表中只顯示遠程計算機的IP地址。

-s—— 顯示客戶端和伺服器會話，並將遠程計算機 IP 地址轉換成NETBIOS名稱。

此參數和-S差不多，只是這個會把對方的NetBIOS名給解析出來。

-RR——釋放在 WINS 伺服器上注冊的 NetBIOS 名稱，然後刷新它們的注冊。

interval——每隔interval 秒重新顯示所選的統計，直到按「 CTRL+C」鍵停止重

新顯示統計。如果省略該參數，nbtstat 將列印一次當前的配置信息。此參數和

netstat的一樣，nbtstat中的「interval」參數是配合-s和-S一起使用的。

7. 計算機網路：主機A向主機B連續發送了兩個TCP報文段，其序號分別為70和100。

確認號指的是接收方想要接收的報文段的序號，比如我想要1-5的報文，在接收過程中我收到了2-5，而1丟了，這時候我肯定跟你說，再發一遍1，就是這個意思。
在這里序號70的丟了，所以確認號就是70，和後面的沒關系。

8. 我的電腦網路連接發送數據包特別多，高手指教！

也許這是一個ddos軟體
所謂ddos就是消耗別人的系統資源
你中的這個病毒似乎就是與這種症狀
介意你搜索一下c盤的svchost.exe文件
正常的都是14k
看看有什麼可疑文件呀

9. 請問：網卡拚命的發包和接包，是怎麼回事

8月14日上午，瑞星全球反病毒監測網在國內率先截獲到兩個利用系統高危漏洞進行傳播的惡性病毒

——「魔波（Worm.Mocbot.a）」和「魔波變種B(Worm.Mocbot.b)病毒。

據瑞星客戶服務中心統計，目前國內已有數千用戶遭受到該病毒攻擊。

該病毒會利用微軟MS06-040高危漏洞進行傳播。

當用戶的計算機遭受到該病毒攻擊時，會出現系統服務崩潰，無法上網等症狀。

遇到「魔波」病毒攻擊，用戶無需恐慌。您只需按照下面三個步驟，即可快速清除該病毒。

第一步：使用個人防火牆攔截病毒攻擊

1、 啟動瑞星個人防火牆主程序，點擊「設置」菜單，選擇「IP規則」。

2、 在彈出的「設置瑞星個人防火牆IP規則」窗口中點擊「增加規則」按鈕。

3、 規則名稱填入「MS06-040」，執行動作為「禁止」，然後點擊「下一步」。

對方地址設置為「任意地址」，本地地址設置為「所有地址」，協議類型選擇「TCP」，對方埠選擇「任意埠」，

本地埠選擇「埠列表」並在其下面輸入「139,445」，報警方式選擇「托盤動畫」和「日誌記錄」兩項選中，點擊保存。

第二步 打補丁

您可以登錄微軟的網站：http://www.microsoft.com/china/t ... letin/MS06-040.mspx

下載並安裝對應操作系統的補丁程序。

建議大家訪問http://update.microsoft.com/ 安裝所有的關鍵更新以防止利用其它漏洞進行傳播和破壞的病毒。

第三招 清除病毒

由於該病毒的變種數量較多，每一個變種生成的文件位置都不一樣，因此手工清除這個病毒並不是很方便，

建議大家升級殺毒軟體到最新版本來對此病毒進行查殺