udpping命令

1. ping命令，使用的是什麼埠

ping用的icmp協議，獨立的協議，既不是tcp也不是udp，不使用任何埠。

2. PING命令就是向主機發UDP數據包,但是什麼埠

ping是ICMP協議
一般說的埠是TCP／UDP的埠。

TCP和UDP能承載數據，但ICMP僅包含控制信息。因此，ICMP信息不能真正用於入侵其它機器。Hacker們使用ICMP通常是為了掃描網路，發動DoS攻擊，重定向網路交通。(這個觀點似乎不正確，可參考shotgun關於木馬的文章，譯者注)

一些防火牆將ICMP類型錯誤標記成埠。要記住，ICMP不象TCP或UDP有埠，但它確實含有兩個域：類型(type)和代碼(code)。而且這些域的作用和埠也完全不同，也許正因為有兩個域所以防火牆常錯誤地標記了他們。更多關於ICMP的知識請參考Infosec Lexicon entry on ICMP。
關於ICMP類型/代碼的含義的官方說明請參閱http://www.isi.e/in-notes/iana/assignments/icmp-parameters。該文獻描述官方含義，而本文描述Hacker的企圖，詳見下文。

類型 代碼 名稱 含義
0 * Echo replay 對ping的回應
3 * Destination Unreachable 主機或路由器返回信息：一些包未達到目的地
0 Net Unreachable 路由器配置錯誤或錯誤指定IP地址
1 Host Unreachable 最後一個路由器無法與主機進行ARP通訊
3 Port unreachable 伺服器告訴客戶端其試圖聯系的埠無進程偵聽
4 Fragmentation Needed but DF set 重要：如果你在防火牆丟棄記錄中發現這些包，你應該讓他們通過否則你的客戶端將發現TCP連接莫名其妙地斷開
4 * Source Quench Internet阻塞
5 * Redirect 有人試圖重定向你的默認路由器，可能Hacker試圖對你進行「man-in-middle」的攻擊，使你的機器通過他們的機器路由。
8 * Echo Request ping
9 * Router Advertisement hacker可能通過重定向你的默認的路由器DoS攻擊你的Win9x 或Solaris。鄰近的Hacker也可以發動man-in-the-middle的攻擊
11 * Time Exceeded In Transit 因為超時包未達到目的地
0 TTL Exceeded 因為路由循環或由於運行traceroute，路由器將包丟棄
1 Fragment reassembly timeout 由於沒有收到所有片斷，主機將包丟棄
12 * Parameter Problem 發生某種不正常，可能遇到了攻擊
(一) type=0 (Echo reply)

發送者在回應由你的地址發送的ping，可能是由於以下原因：
有人在ping那個人：防火牆後面有人在ping目標。

自動ping：許多程序為了不同目的使用ping，如測試聯系對象是否在線，或測定反應時間。很可能是使用了類似VitalSign『s Net.Medic的軟體，它會發送不同大小的ping包以確定連接速度。

誘騙ping掃描：有人在利用你的IP地址進行ping掃描，所以你看到回應。

轉變通訊信道：很多網路阻擋進入的ping(type=8)，但是允許ping回應(type=0)。因此，Hacker已經開始利用ping回應穿透防火牆。例如，針對internet站點的DdoS攻擊，其命令可能被嵌入ping回應中，然後洪水般的回應將發向這些站點而其它Internet連接將被忽略。

(二) Type=3 (Destination Unreachable)

在無法到達的包中含有的代碼(code)很重要
記住這可以用於擊敗「SYN洪水攻擊」。即如果正在和你通訊的主機受到「SYN洪水攻擊」，只要你禁止ping(type=3)進入，你就無法連接該主機。

有些情況下，你會收到來自你從未聽說的主機的ping(type=3)包，這通常意味著「誘騙掃描」。攻擊者使用很多源地址向目標發送一個偽造的包，其中有一個是真正的地址。Hacker的理論是：受害者不會費力從許多假地址中搜尋真正的地址。

解決這個問題的最好辦法是：檢查你看到的模式是否與「誘騙掃描」一致。比如，在ICMP包中的TCP或UDP頭部分尋找交互的埠。

1) Type = 3, Code = 0 (Destination Net Unreachable)
無路由器或主機：即一個路由器對主機或客戶說，：「我根本不知道在網路中如何路由！包括你正連接的主機」。這意味著不是客戶選錯了IP地址就是某處的路由表配置錯誤。記住，當你把自己UNIX機器上的路由表搞亂後你就會看到「無路由器或主機」的信息。這常發生在配置點對點連接的時候。
2) Type = 3, Code = 3 (Destination Port Unreachable)
這是當客戶端試圖連擊一個並不存在的UDP埠時伺服器發送的包。例如，如果你向161埠發送SNMP包，但機器並不支持SNMP服務，你就會收到ICMP Destination Port Unreachable包。

解碼的方案

解決這個問題的第一件事是：檢查包中的埠。你可能需要一個嗅探器，因為防火牆通常不會記錄這種信息。這種方法基於ICMP原始包頭包含IP和UDP頭。以下是復制的一個ICMP unreachable包：

00 00 BA 5E BA 11 00 60 97 07 C0 FF 08 00 45 00
00 38 6F DF 00 00 80 01 B4 12 0A 00 01 0B 0A 00
01 C9 03 03 C2 D2 00 00 00 00 45 00 00 47 07 F0
00 00 80 11 1B E3 0A 00 01 C9 0A 00 01 0B 08 A7
79 19 00 33 B8 36

其中位元組03 03是ICMP的類型和代碼。最後8個位元組是原始UDP頭，解碼如下：
08A7 UDP源埠 port=2215，可能是臨時分配的，並不是很重要。
7919 UDP目標埠 port=31001，很重要，可能原來用戶想連接31001埠的服務。
0033 UDP長度 length=51，這是原始UDP數據的長度，可能很重要。
B836 UDP校驗和 checksum=0xB836，可能不重要。

你為什麼會看到這些？

「誘騙UDP掃描」：有人在掃描向你發送ICMP的機器。他們偽造源地址，其中之一是你的IP地址。他們實際上偽造了許多不同的源地址使受害者無法確定誰是攻擊者。如果你在短時間內收到大量來自同一地址的這種包，很有可能是上述情況。檢查UDP源埠，它總在變化的話，很可能是Scenario。
「陳舊DNS」：客戶端會向伺服器發送DNS請求，這將花很長時間解析。當你的DNS伺服器回應的時候，客戶端可能已經忘記你並關閉了用於接受你回應的UDP埠。如果發現UDP埠值是53，大概就發生了這種情況。這是怎麼發生的？伺服器可能在解析一個遞歸請求，但是它自己的包丟失了，所以它只能超時然後再試。當回到客戶時，客戶認為超時了。許多客戶程序(尤其是Windows中的程序)自己做DNS解析。即它們自己建立SOCKET進行DNS解析。如果它們把要求交給操作系統，操作系統就會一直把埠開在那裡。

「多重DNS回應」：另一種情況是客戶收到對於一個請求的多重回應。收到一個回應，埠就關閉了，後序的回應無法達到。此外，一個Sun機器與同一個乙太網中的多個NICs連接時，將為兩個NICs分配相同的MAC地址，這樣Sun機器每楨會收到兩個拷貝，並發送多重回復。還有，一個編寫的很糟糕的客戶端程序(特別是那些吹噓是多線程DNS解析但實際上線程不安全的程序)有時發送多重請求，收到第一個回應後關閉了Socket。但是，這也可能是DNS欺騙，攻擊者既發送請求由發送回應，企圖使解析緩存崩潰。

「NetBIOS解析」：如果Windows機器接收到ICMP包，看看UDP目標埠是否是137。如果是，那就是windows機器企圖執行gethostbyaddr()函數，它將將會同時使用DNS和NetBIOS解析IP地址。DNS請求被發送到某處的DNS伺服器，但NetBIOS直接發往目標機器。如果目標機器不支持NetBIOS，目標機器將發送ICMP unreachable。

「Traceroute」：大多數Traceroute程序(Windows中的Tracert.exe除外)向關閉的埠發送UDP包。這引起一系列的背靠背的ICMP Port Unreachable包發回來。因此你看到防火牆顯示這樣ICMP包，可能是防火牆後面的人在運行Traceroute。你也會看到TTL增加。

3) Type = 3, Code = 4 (Fragmentation Needed and Don『t Fragment was Set)

這是由於路由器打算發送標記有(DF, 不允許片斷)的IP報文引起的。為什麼？IP和TCP都將報文分成片斷。TCP在管理片斷方面比IP有效得多。因此，餞堆趨向於找到「Path MTU」（路由最大傳輸單元）。在這個過程將發送這種ICMP包。

假設ALICE和BOB交談。他們在同一個乙太網上(max frame size = 1500 bytes)，但是中間有連接限制最大IP包為600 byte。這意味著所有發送的IP包都要由路由器切割成3個片斷。因此在TCP層分割片斷將更有效。TCP層將試圖找到MTU(最大傳輸單元)。它將所有包設置DF位(Don『t Fragment)，一旦這種包碰到不能傳輸如此大的包的路由器時路由器將發回ICMP錯誤信息。由此，TCP層能確定如何正確分割片斷。

你也許應該允許這些包通過防火牆。否則，當小的包可以通過達到目的地建立連接，而大包會莫名其妙的丟失斷線。通常的結果是，人們只能看到Web頁僅顯示一半。
路由最大傳輸單元的發現越來越整合到通訊中。如IPsec需要用到這個功能。

(三) Type = 4 (Source Quench)

這種包可能是當網路通訊超過極限時由路由器或目的主機發送的。但是當今的許多系統不生成這些包。原因是現在相信簡單包丟失是網路阻塞的最後信號(因為包丟失的原因就是阻塞)。

現在source quenches的規則是(RFC 1122)：
路由器不許生成它們
主機可以生成它們
主機不能隨便生成它們
防火牆應該丟棄它們

但是，主機遇到Source Quench仍然減慢通訊，因此這被用於DoS。防火牆應該過濾它們。如果懷疑發生DoS，包中的源地址是無意義的，因為IP地址肯定是虛構的。

已知某些SMTP伺服器會發送Source Quench。

(四) Type = 8 (Echo aka PING)

這是ping請求包。有很多場合使用它們；它可能意味著某人掃描你機器的惡意企圖，但它也可能是正常網路功能的一部分。參見Type = 0 (Echo Response)

很多網路管理掃描器會生成特定的ping包。包括ISS掃描器，WhatsUp監視器等。這在掃描器的有效載荷中可見。許多防火牆並不記錄這些，因此你需要一些嗅探器捕捉它們或使用入侵檢測系統(IDS)標記它們。
記住，阻擋ping進入並不意味著Hacker不能掃描你的網路。有許多方法可以代替。例如，TCP ACK掃描越來越流行。它們通常能穿透防火牆而引起目標系統不正常的反應。

發送到廣播地址(如x.x.x.0或x.x.x.255)的ping可能在你的網路中用於smurf放大。

(五) Type = 11 (Time Exceeded In Transit)

這一般不會是Hacker或Cracker的攻擊

1) Type = 11, Code = 0 (TTL Exceeded In Transit)

這可能有許多事情引起。如果有人從你的站點traceroute到Internet，你會看到許多來自路由器的TTL增加的包。這就是traceroute的工作原理：強迫路由器生成TTL增加的信息來發現路由器。

防火牆管理員看到這種情況的原因是Internet上發生路由循環。路由器Flapping(持續變換路由器)是一個常見的問題，常會導致循環。這意味著當一個IP包朝目的地前進時，這個包被一個路由器錯誤引導至一個它曾經通過的路由器。如果路由器在包經過的時候把TTL域減一，這個包只好循環運動。實際上當TTL值為0時它被丟棄。

造成這種情況的另一個原因是距離。許多機器(Windows)的默認TTL值是127或更低。路由器也常常會把TTL值減去大於1的值，以便反應諸如電話撥號或跨洋連接的慢速連接。因此，可能由於初始TTL值太小，而使站點無法到達。此外，一些Hacker/Cracker也會使用這種辦法使站點無法到達。

2) Type = 11, Code = 1 (Fragment Reassembly Time Exceeded)
當發送分割成片斷的IP報文時，發送者並不接收所有片斷。通常，大多數TCP/IP通訊甚至不分割片斷。你看到這種情況必定是採用了分割片斷而且你和目的地之間有阻塞。

(六) Type = 12 (Parameter Problem)
這可能意味著一種進攻。有許多足印技術會生成這種包。

3. 用來測試UDP數據包允許的最大長度命令ping -f -l中f和l的含義分別是什麼

-f是說明數據包不允許分片，在網路上傳輸數據時，如果發送的數據包超過了最大的傳輸單元大小時，會把它拆成多個數據包再進行傳輸，既然是要檢查MTU，那麼就設置不進行分片，這樣，在小的MTU上會將數據包丟棄，並通過ICMP協議返回一個錯誤，指明數據包被丟棄；
-l是指明發送的數據包的大小

通過改變數據包的大小，和返回的錯誤信息，就可以檢測出整個傳輸路徑上的最小的MTU，也就是整個鏈路上的MTU

4. 為什麼udp綁定的ip和埠，在命令行中ping和telnet都不通

這完全是兩回事，協議根本就不一樣，ping命令使用的是ICMP協議，而telnet使用的是TCP協議，你現在映射的是UDP協議的埠，UDP埠是不可能用TCP去連接的。客戶端連接正常就沒有問題了。

5. 什麼是Ping命令

這些東西網路上搜一下都有很多的,沒必要來這里提問吧(還為網路的管理人員增加工作量)?

PING命令
來源:網路 http://ke..com

PING命令
Ping概述：
Ping 是Windows系列自帶的一個可執行命令。利用它可以檢查網路是否能夠連通，可以很好地幫助我們分析判定網路故障。該命令只有在安裝了 TCP/IP 協議後才可以使用。Ping命令的主要作用是通過發送數據包並接收應答信息來檢測兩台計算機之間的網路是否連通。當網路出現故障的時候，可以用這個命令來預測故障和確定故障地點。Ping命令成功只是說明當前主機與目的主機之間存在一條連通的路徑。如果不成功，則考慮：網線是否連通、網卡設置是否正確、IP地址是否可用等。
需要注意的是：成功地與另一台主機進行一次或兩次數據報交換並不表示TCP/IP配置就是正確的，你必須執行大量的本地主機與遠程主機的數據報交換，才能確信TCP/IP的正確性。

按照預設設置，Windows上運行的Ping命令發送4個ICMP（網間控制報文協議）回送請求，每個32位元組數據，如果一切正常，你應能得到4個回送應答。

Ping能夠以毫秒為單位顯示發送回送請求到返回回送應答之間的時間量。如果應答時間短，表示數據報不必通過太多的路由器或網路連接速度比較快。Ping還能顯示TTL（Time To Live存在時間）值，你可以通過TTL值推算一下數據包已經通過了多少個路由器：源地點TTL起始值（就是比返回TTL略大的一個2的乘方數）-返回時TTL值。例如，返回TTL值為119，那麼可以推算數據報離開源地址的TTL起始值為128，而源地點到目標地點要通過9個路由器網段（128-119）；如果返回TTL值為246，TTL起始值就是256，源地點到目標地點要通過9個路由器網段。

PING命令參數詳解

1、-a 解析計算機NetBios名。

示例：
C:＼>ping -a 192.168.1.21
Pinging iceblood.yofor.com [192.168.1.21] with 32 bytes of data:
Reply from 192.168.1.21: bytes=32 time<10ms TTL=254
Reply from 192.168.1.21: bytes=32 time<10ms TTL=254
Reply from 192.168.1.21: bytes=32 time<10ms TTL=254
Reply from 192.168.1.21: bytes=32 time<10ms TTL=254
Ping statistics for 192.168.1.21:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
從上面就可以知道IP為192.168.1.21的計算機NetBios名為iceblood.yofor.com。

2、n count 發送count指定的Echo數據包數。
在默認情況下，一般都只發送四個數據包，通過這個命令可以自己定義發送的個數，對衡量網路速度很有幫助，比如我想測試發送50個數據包的返回的平均時間為多少，最快時間為多少，最慢時間為多少就可以通過以下獲知：
C:＼>ping -n 50 202.103.96.68
Pinging 202.103.96.68 with 32 bytes of data:
Reply from 202.103.96.68: bytes=32 time=50ms TTL=241
Reply from 202.103.96.68: bytes=32 time=50ms TTL=241
Reply from 202.103.96.68: bytes=32 time=50ms TTL=241
Request timed out.
………………
Reply from 202.103.96.68: bytes=32 time=50ms TTL=241
Reply from 202.103.96.68: bytes=32 time=50ms TTL=241
Ping statistics for 202.103.96.68:
Packets: Sent = 50, Received = 48, Lost = 2 (4% loss),Approximate round trip times in milli-seconds:
Minimum = 40ms, Maximum = 51ms, Average = 46ms
從以上我就可以知道在給202.103.96.68發送50個數據包的過程當中，返回了48個，其中有兩個由於未知原因丟失，這48個數據包當中返回速度最快為40ms，最慢為51ms，平均速度為46ms。

3、-l size . 定義echo數據包大小。

在默認的情況下windows的ping發送的數據包大小為32byt，我們也可以自己定義它的大小，但有一個大小的限制，就是最大隻能發送65500byt，也許有人會問為什麼要限制到65500byt，因為Windows系列的系統都有一個安全漏洞（也許還包括其他系統）就是當向對方一次發送的數據包大於或等於65532時，對方就很有可能當機，所以微軟公司為了解決這一安全漏洞於是限制了ping的數據包大小。雖然微軟公司已經做了此限制，但這個參數配合其他參數以後危害依然非常強大，比如我們就可以通過配合-t參數來實現一個帶有攻擊性的命令：（以下介紹帶有危險性，僅用於試驗，請勿輕易施於別人機器上，否則後果自負）
C:＼>ping -l 65500 -t 192.168.1.21
Pinging 192.168.1.21 with 65500 bytes of data:
Reply from 192.168.1.21: bytes=65500 time<10ms TTL=254
Reply from 192.168.1.21: bytes=65500 time<10ms TTL=254
………………
這樣它就會不停的向192.168.1.21計算機發送大小為65500byt的數據包，如果你只有一台計算機也許沒有什麼效果，但如果有很多計算機那麼就可以使對方完全癱瘓，曾做過這樣的試驗，當同時使用10台以上計算機ping一台Win2000Pro系統的計算機時，不到5分鍾對方的網路就已經完全癱瘓，網路嚴重堵塞，HTTP和FTP服務完全停止，由此可見威力非同小可。

4、-f 在數據包中發送「不要分段」標志。

在一般你所發送的數據包都會通過路由分段再發送給對方，加上此參數以後路由就不會再分段處理。

5、-i TTL 指定TTL值在對方的系統里停留的時間。
此參數同樣是幫助你檢查網路運轉情況的。

6、-v TOS 將「服務類型」欄位設置為 tos 指定的值。

7、-r count 在「記錄路由」欄位中記錄傳出和返回數據包的路由。在一般情況下你發送的數據包是通過一個個路由才到達對方的，但到底是經過了哪些路由呢？通過此參數就可以設定你想探測經過的路由的個數，不過限制在了9個，也就是說你只能跟蹤到9個路由，如果想探測更多，可以通過其他命令實現。

C:＼>ping -n 1 -r 9 202.96.105.101 （發送一個數據包，最多記錄9個路由）
Pinging 202.96.105.101 with 32 bytes of data:
Reply from 202.96.105.101: bytes=32 time=10ms TTL=249
Route: 202.107.208.187 ->
202.107.210.214 ->
61.153.112.70 ->
61.153.112.89 ->
202.96.105.149 ->
202.96.105.97 ->
202.96.105.101 ->
202.96.105.150 ->
61.153.112.90
Ping statistics for 202.96.105.101:
Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 10ms, Maximum = 10ms, Average = 10ms
從上面我就可以知道從我的計算機到202.96.105.101一共通過了202.107.208.187 ，202.107.210.214 , 61.153.112.70 , 61.153.112.89 , 202.96.105.149 , 202.96.105.97這幾個路由。

8、-s count 指定 count 指定的躍點數的時間戳。
此參數和-r差不多，只是這個參數不記錄數據包返回所經過的路由，最多也只記錄4個。

9、-j host-list 利用 computer-list 指定的計算機列表路由數據包。連續計算機可以被中間網關分隔（路由稀疏源）IP 允許的最大數量為 9。

10、-k host-list 利用 computer-list 指定的計算機列表路由數據包。連續計算機不能被中間網關分隔（路由嚴格源）IP 允許的最大數量為 9。

11、-w timeout 指定超時間隔，單位為毫秒。

12、-t--連續對IP地址執行Ping命令，直到被用戶以Ctrl+C中斷。

ping命令的其他技巧：
在一般情況下還可以通過ping對方讓對方返回給你的TTL值大小，粗略的判斷目標主機的系統類型是Windows系列還是UNIX/linux系列，一般情況下Windows系列的系統返回的TTL值在100-130之間，而UNIX/Linux系列的系統返回的TTL值在240-255之間，當然TTL的值在對方的主機里是可以修改的，Windows系列的系統可以通過修改注冊表以下鍵值實現：
[HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼Tcpip＼Parameters]
"DefaultTTL"=dword:000000ff
255---FF
128---80
64----40
32----20

在網路沒有問題，卻無法PING通時可能有以下一些情況。

1.太心急。即網線剛插到交換機上就想Ping通網關，忽略了生成樹的收斂時 間。當然，較新的交換機都支持快速生成樹，或者有的管理員乾脆把用戶埠（access port）的生成樹協議關掉，問題就解決了。

2.訪問控制。不管中間跨越了多少跳，只要有節點（包括端節點）對ICMP進行了過濾，Ping不通是正常的。最常見的就是防火牆的行為。

3.某些路由器埠是不允許用戶Ping的。

還遇到過這樣的情形，更為隱蔽。

1.網路因設備間的時延太大，造成ICMP echo報文無法在預設時 間（2秒）內收到。時延的原因有若干，比如線路（衛星網時延上下星為540毫秒），路由器處理時延，或路由設計不合理造成迂迴路徑。使用擴展Ping，增加timed out時 間，可Ping通的話就屬路由時延太大問題。

2.引入NAT的場合會造成單向Ping通。NAT可以起到隱蔽內部地址的作用，當由內Ping外時，可以Ping通是因為NAT表的映射關系存在，當由外發起Ping內網主機時，就無從查找邊界路由器的NAT表項了。

3.多路由負載均衡場合。比如Ping遠端目的主機，成功的reply和timed out交錯出現，結果發現在網關路由器上存在兩條到目的網段的路由，兩條路由權重相等，但經查一條路由存在問題。

4.IP地址分配不連續。地址規劃出現問題象是在網路中埋了地雷，地址重疊或掩碼劃分不連續都可能在Ping時出現問題。比如一個極端情況，A、B兩台主機，經過多跳相連，A能Ping通B的網關，而且B的網關設置正確，但A、B就是Ping不通。經查，在B的網卡上還設有第二個地址，並且這個地址與A所在的網段重疊。

5.指定源地址的擴展Ping。登陸到路由器上，Ping遠程主機，當ICMP echo request從串列廣域網介面發出去的時候，路由器會指定某個IP地址作為源IP，這個IP地址可能不是此介面的IP或這個介面根本沒有IP地址。而某個下游路由器可能並沒有到這個IP網段的路由，導致不能Ping通。可以採用擴展Ping，指定好源IP地址。

當主機網關和中間路由的配置認為正確時，出現Ping問題也是很普遍的現象。此時應該忘掉"不可能"幾個字，把Ping的擴展參數和反饋信息、traceroute、路由器debug、以及埠鏡像和Sniffer等工具結合起來進行分析。

比如，當A、B兩台主機經過多跳路由器相連時，二者網關設置正確，在A上可以Ping通B，但在B上不能Ping通A。可以通過在交換機做鏡像，並用Sniffer抓包，來找出ICMP 報文終止於何處，報文內容是什麼，就可以發現ICMP報文中的源IP地址並非預期的那樣，此時很容易想像出可能是路由器的NAT功能使然，這樣就能夠逐步地發現一些被忽視的問題。而Ping不通時的反饋信息是"destination_net_unreachable"還是"timed out"也是有區別的

利用PING來檢查網路狀態的方法：

1.Ping本機IP

例如本機IP地址為：172.168.200.2。則執行命令Ping 172.168.200.2。如果網卡安裝配置沒有問題，則應有類似下列顯示：

Replay from 172.168.200.2 bytes=32 time<10ms

Ping statistics for 172.168.200.2

Packets Sent=4 Received=4 Lost=0 0% loss

Approximate round trip times in milli-seconds

Minimum=0ms Maxiumu=1ms Average=0ms

如果在MS-DOS方式下執行此命令顯示內容為：Request timed out，則表明網卡安裝或配置有問題。將網線斷開再次執行此命令，如果顯示正常，則說明本機使用的IP地址可能與另一台正在使用的機器IP地址重復了。如果仍然不正常，則表明本機網卡安裝或配置有問題，需繼續檢查相關網路配置。

2.Ping網關IP

假定網關IP為：172.168.6.1，則執行命令Ping 172.168.6.1。在MS-DOS方式下執行此命令，如果顯示類似以下信息：

Reply from 172.168.6.1 bytes=32 time=9ms TTL=255

Ping statistics for 172.168.6.1

Packets Sent=4 Received=4 Lost=0

Approximate round trip times in milli-seconds

Minimum=1ms Maximum=9ms Average=5ms

則表明區域網中的網關路由器正在正常運行。反之，則說明網關有問題。

3.Ping遠程IP

這一命令可以檢測本機能否正常訪問Internet。比如本地電信運營商的IP地址為：202.102.48.141。在MS-DOS方式下執行命令：Ping 202.102.48.141，如果屏幕顯示：

Reply from 202.102.48.141 bytes=32 time=33ms TTL=252

Reply from 202.102.48.141 bytes=32 time=21ms TTL=252

Reply from 202.102.48.141 bytes=32 time=5ms TTL=252

Reply from 202.102.48.141 bytes=32 time=6ms TTL=252

Ping statistics for 202.102.48.141

Packets Sent=4 Received=4 Lost=0 0% loss

Approximate round trip times in milli-seconds

Minimum=5ms Maximum=33ms Average=16ms

則表明運行正常，能夠正常接入互聯網。反之，則表明主機文件（windows/host）存在問題。

摘自:http://ke..com

6. ping命令使用的是tcp報文還是udp報文Icmp屬於tcp嗎

icmp屬於ip協議族，既不是tcp也不是udp

7. TCP,UDP,ICMP是什麼意思啊

1、TCP是一種面向連接的、可靠的、基於位元組流的傳輸層通信協議，由IETF的RFC 793定義。在簡化的計算機網路OSI模型中，它完成第四層傳輸層所指定的功能。在網際網路協議族中，TCP層是位於IP層之上，應用層之下的中間層。不同主機的應用層之間經常需要可靠的、像管道一樣的連接，但是IP層不提供這樣的流機制，而是提供不可靠的包交換。

2、UDP 是User Datagram Protocol的簡稱， 中文名是用戶數據報協議，是OSI參考模型中一種無連接的傳輸層協議，提供面向事務的簡單不可靠信息傳送服務，IETF RFC 768是UDP的正式規范。UDP在IP報文的協議號是17。

3、ICMP是Internet控制報文協議。它是TCP/IP協議簇的一個子協議，用於在IP主機、路由器之間傳遞控制消息。控制消息是指網路通不通、主機是否可達、路由是否可用等網路本身的消息。這些控制消息雖然並不傳輸用戶數據，但是對於用戶數據的傳遞起著重要的作用。

(7)udpping命令擴展閱讀：

當應用層向TCP層發送用於網間傳輸的、用8位位元組表示的數據流，TCP則把數據流分割成適當長度的報文段，最大傳輸段大小（MSS）通常受該計算機連接的網路的數據鏈路層的最大傳送單元（MTU）限制。之後TCP把數據包傳給IP層，由它來通過網路將包傳送給接收端實體的TCP層。

TCP為了保證報文傳輸的可靠，就給每個包一個序號，同時序號也保證了傳送到接收端實體的包的按序接收。然後接收端實體對已成功收到的位元組發回一個相應的確認(ACK)；如果發送端實體在合理的往返時延(RTT)內未收到確認，那麼對應的數據（假設丟失了）將會被重傳。

8. "ping"命令的原理就是向對方主機發送UDP數據包

1. ping發送的是icmp包，不是udp包

2. udp是傳輸層的協議，ip層是網路層的協議，傳輸層是位於網路層之上的

   所以，你的理解可能是錯誤的

9. 如何向遠程電腦發送TCP或UDP數據包只是像PING命令那麼簡單嗎

ping命令是ICMP協議，而非tcp和udp所屬的tcp/IP協議。
發送TCP或者UDP數據包，一般是某些程序訪問或者發送數據到特定的埠。
例如telent命令，是訪問對方TCP 23號埠。 網頁訪問一般是tcp 80或8080埠。 像這樣的都是發送的tcp數據包。 像qq發送聊天信息都是udp協議的數據包。

10. 關於ping命令

ttl=255為unix
(轉)
ping 命令的用法Ping
��Ping是個使用頻率極高的實用程序，用於確定本地主機是否能與另一台主機交換（發送與接收）數據報。根據返回的信息，你就可以推斷TCP/IP參數是否設置得正確以及運行是否正常。需要注意的是：成功地與另一台主機進行一次或兩次數據報交換並不表示TCP/IP配置就是正確的，你必須執行大量的本地主機與遠程主機的數據報交換，才能確信TCP/IP的正確性。
��簡單的說，Ping就是一個測試程序，如果Ping運行正確，你大體上就可以排除網路訪問層、網卡、MODEM的輸入輸出線路、電纜和路由器等存在的故障，從而減小了問題的范圍。但由於可以自定義所發數據報的大小及無休止的高速發送，Ping也被某些別有用心的人作為DDOS（拒絕服務攻擊）的工具，前段時間Yahoo就是被黑客利用數百台可以高速接入互聯網的電腦連續發送大量Ping數據報而癱瘓的。
��按照預設設置，Windows上運行的Ping命令發送4個ICMP（網間控制報文協議）回送請求，每個32位元組數據，如果一切正常，你應能得到4個回送應答。
��Ping能夠以毫秒為單位顯示發送回送請求到返回回送應答之間的時間量。如果應答時間短，表示數據報不必通過太多的路由器或網路連接速度比較快。Ping還能顯示TTL（Time To Live存在時間）值，你可以通過TTL值推算一下數據包已經通過了多少個路由器：源地點TTL起始值（就是比返回TTL略大的一個2的乘方數）-返回時TTL值。例如，返回TTL值為119，那麼可以推算數據報離開源地址的TTL起始值為128，而源地點到目標地點要通過9個路由器網段（128-119）；如果返回TTL值為246，TTL起始值就是256，源地點到目標地點要通過9個路由器網段。
通過Ping檢測網路故障的典型次序
��正常情況下，當你使用Ping命令來查找問題所在或檢驗網路運行情況時，你需要使用許多Ping命令，如果所有都運行正確，你就可以相信基本的連通性和配置參數沒有問題；如果某些Ping命令出現運行故障，它也可以指明到何處去查找問題。下面就給出一個典型的檢測次序及對應的可能故障：
ping 127.0.0.1--這個Ping命令被送到本地計算機的IP軟體，該命令永不退出該計算機。如果沒有做到這一點，就表示TCP/IP的安裝或運行存在某些最基本的問題。
ping 本機IP--這個命令被送到你計算機所配置的IP地址，你的計算機始終都應該對該Ping命令作出應答，如果沒有，則表示本地配置或安裝存在問題。出現此問題時，區域網用戶請斷開網路電纜，然後重新發送該命令。如果網線斷開後本命令正確，則表示另一台計算機可能配置了相同的IP地址。
ping 區域網內其他IP--這個命令應該離開你的計算機，經過網卡及網路電纜到達其他計算機，再返回。收到回送應答表明本地網路中的網卡和載體運行正確。但如果收到0個回送應答，那麼表示子網掩碼（進行子網分割時，將IP地址的網路部分與主機部分分開的代碼）不正確或網卡配置錯誤或電纜系統有問題。
ping 網關IP--這個命令如果應答正確，表示區域網中的網關路由器正在運行並能夠作出應答。
ping 遠程IP--如果收到4個應答，表示成功的使用了預設網關。對於撥號上網用戶則表示能夠成功的訪問Internet（但不排除ISP的DNS會有問題）。
ping localhost--localhost是個作系統的網路保留名，它是127.0.0.1的別名，每太計算機都應該能夠將該名字轉換成該地址。如果沒有做到這一帶內，則表示主機文件（/Windows/host）中存在問題。
ping www.yahoo.com--對這個域名執行Pin ... 地址，通常是通過DNS 伺服器 如果這里出現故障，則表示DNS伺服器的IP地址配置不正確或DNS伺服器有故障（對於撥號上網用戶，某些ISP已經不需要設置DNS伺服器了）。順便說一句：你也可以利用該命令實現域名對IP地址的轉換功能。
��如果上面所列出的所有Ping命令都能正常運行，那麼你對你的計算機進行本地和遠程通信的功能基本上就可以放心了。但是，這些命令的成功並不表示你所有的網路配置都沒有問題，例如，某些子網掩碼錯誤就可能無法用這些方法檢測到。
Ping命令的常用參數選項
ping IP -t--連續對IP地址執行Ping命令，直到被用戶以Ctrl+C中斷。
ping IP -l 2000--指定Ping命令中的數據長度為2000位元組，而不是預設的32位元組。
ping IP -n--執行特定次數的Ping命令。
Netstat ��Netstat用於顯示與IP、TCP、UDP和ICMP協議相關的統計數據，一般用於檢驗本機各埠的網路連接情況。
如果你的計算機有時候接受到的數據報會導致出錯數據刪除或故障，你不必感到奇怪，TCP/IP可以容許這些類型的錯誤，並能夠自動重發數據報。但如果累計的出錯情況數目佔到所接收的IP數據報相當大的百分比，或者它的數目正迅速增加，那麼你就應該使用Netstat查一查為什麼會出現這些情況了。
---------------------
ping的幾個常見用法
用了這么久的ping命令，這是我第一次把相關的經驗總結寫出來，希望大家喜歡。
先來說說ping的工作原理：
ping的過程實際上就是一個發送icmp echo請求的過程，發送該數據包到被ping 的一方，要求對方響應並回答該數據包，對方收到後，當然就老老實實地答復你了，也許大家奇怪，為什麼從ping的結果中會得到ip地址，這是因為，對方做出的icmp響應並不能簡單地用icmp進行封包就進行傳輸，而是要經過ip協議進行封裝並傳輸的，學過tcp/ip的人都知道，在ip協議對數據包進行封裝的時候，會自動將目的地址和源地址寫進包頭，這樣一來，在回應的信息中我們就可以看到對方的ip地址了 。
一個ping的返回結果：
c:\>ping python
pinging python [192.168.0.2] with 32 bytes of data:
reply from 192.168.0.2: bytes=32 time<10ms ttl=255
reply from 192.168.0.2: bytes=32 time<10ms ttl=255
reply from 192.168.0.2: bytes=32 time<10ms ttl=255
reply from 192.168.0.2: bytes=32 time<10ms ttl=255
ping statistics for 192.168.0.2:
packets: sent = 4, received = 4, lost = 0 (0% loss),
approximate round trip times in milli-seconds:
minimum = 0ms, maximum = 0ms, average = 0ms
從上面這個結果中我們除了獲得ip地址，還可以獲得ttl（time to life，生命周期），ttl是每經過一個路由器就會被減一的一個值，通過ttl的值我們可以簡單地判斷對方的操作系統和經過的路由器的個數。
默認情況下ttl=128為windows，而ttl=255為unix
接下來看一下ping的幾個參數（這里針對幾個比較有用的講一講）：
options:
-t 加上該參數，就是不斷地ping對方，直到按ctrl+c結束
-a 這個參數是解析主機名到ip地址，如下例：
c:\>ping -a 192.168.0.2 -n 1
pinging python [192.168.0.2] with 32 bytes of data:
reply from 192.168.0.2: bytes=32 time<10ms ttl=255
ping statistics for 192.168.0.2:
packets: sent = 1, received = 1, lost = 0 (0% loss),
approximate round trip times in milli-seconds:
minimum = 0ms, maximum = 0ms, average = 0ms
注意看這一行「pinging python [192.168.0.2] with 32 bytes of data:」得到主機名python
注意：這個參數只有在區域網內才起作用的
-n count 這個參數可以定製數據echo請求數據包的發送個數，例如上面，我使用-n 1
-l size 該參數定製發送數據包的大小，windows中最大為65500，命令格式：ping ip -l 65500
默認發送的數據包大小為32bytes
-f 在網路上傳輸數據的時候，當數據包的大小超過網路的允許大小的時候，就要進行分段， 然而，該參數的作用就是不允許發送的數據包分段。建議不要使用這個，因為，如果不了 解網路對數據包大小的要求的話，設置該位可能會導致數據無法傳輸，下面兩個結果大家 可以比較一下：
例1：
c:\>ping 192.168.0.1 -l 64 -n 1 -f
pinging 192.168.0.1 with 64 bytes of data:
reply from 192.168.0.1: bytes=64 time<10ms ttl=128
ping statistics for 192.168.0.1:
packets: sent = 1, received = 1, lost = 0 (0% loss),
approximate round trip times in milli-seconds:
minimum = 0ms, maximum = 0ms, average = 0ms
例2：
c:\>ping 192.168.0.1 -l 1500 -n 1 -f
pinging 192.168.0.1 with 1500 bytes of data:
packet needs to be fragmented but df set.（這句話的意思就是，網路要求分段，而該數據中的分段位又被 設置為不允許分段，這就導致數據無法傳送）
ping statistics for 192.168.0.1:
packets: sent = 1, received = 0, lost = 1 (100% loss),
approximate round trip times in milli-seconds:
minimum = 0ms, maximum = 0ms, average = 0ms
大家有興趣可以試試，這樣多試幾次可以試出在你的網路中數據包每段大概被分為多大（不過很辛苦哦）。
-i ttl 這是用來設置生命周期（ttl）的，沒什麼好說的吧，如果不懂的再問吧
-v tos 設置tos（服務類型）的，對此不多闡述，因為關於tos雖然見的不多，但是，其實是有很 多東西值得講的，如果多說就說不完了，而且也不好敘述，所以大家看一下相關書籍了解 一下，關於這方面有不懂的再提問吧。
-r count 這個參數很有意思，有點類似tracert了，作用就是記錄經過的路由器，拿個例子來：
c:\>ping 192.168.0.1 -r 1 -n 1
pinging 192.168.0.1 with 32 bytes of data:
reply from 192.168.0.1: bytes=32 time<10ms ttl=128
route: 192.168.0.1
ping statistics for 192.168.0.1:
packets: sent = 1, received = 1, lost = 0 (0% loss),
approximate round trip times in milli-seconds:
minimum = 0ms, maximum = 0ms, average = 0ms
注意這一行「route: 192.168.0.1」這就是經過的路由器，因為我這里只有兩台計算機，沒有路由器，所以記錄下來的就是默認路由了（也就是被ping主機本身）。大家可以這樣做：ping http://www.sina.com.cn -r 9
會記錄經過的9部路由器的地址哦 ……
注意：-r參數後面的值最小為1，最大為9，也就是說，最多隻能記錄9台（這就不如tracert命令了）。
-w timeout 這個就是用來設置超時的。
c:\>ping 192.168.0.1 -w 1 -n 1
pinging 192.168.0.1 with 32 bytes of data:
reply from 192.168.0.1: bytes=32 time<10ms ttl=128
ping statistics for 192.168.0.1:
packets: sent = 1, received = 1, lost = 0 (0% loss),
approximate round trip times in milli-seconds:
minimum = 0ms, maximum = 0ms, average = 0ms
這個沒有什麼好說的吧，如果感覺線路不怎麼樣，傳輸速度比較慢，那麼，把這個值設置得大一些。
注意：該值後面的timeout的單位是毫秒（ms）

死亡之ping （ping of death）

1. 由於在早期的階段，路由器對包的最大尺寸都有限制，許多操作系統對TCP/IP棧的實現在ICMP包上都是規定64KB，並且在對包的標題頭進行讀取之後，要根據該標題頭里包含的信息來為有效載荷生成緩沖區，當產生畸形的，聲稱自己的尺寸超過ICMP上限的包也就是載入的尺寸超過64K上限時，就會出現內存分配錯誤，導致TCP/IP堆棧崩潰，致使接受方當機。

防範措施：

現在所有的標准TCP/IP實現都已實現對付超大尺寸的包，並且大多數防火牆能夠自動過濾這些攻擊，包括：從windows98之後的windows,NT(service pack 3之後)，linux、Solaris、和Mac OS都具有抵抗一般ping of death攻擊的能力。此外，對防火牆進行配置，阻斷ICMP以及任何未知協議，都能防止此類攻擊。