1．路由协议概念：

　　路由器必须与相邻路由器互通信息以交换路由信息，更新维护动态路由表使之正确反映网络的拓扑结构变化，并由路由器根据量度标准来决定最佳路径,路由协议是路由器之间进行通信而采用的协议，当网络启用了路由协议，网络便具有了能够自动更新路由表的强大功能。在介绍路由协议之前让我们先了解下述概念：

    （1）自治域(AS,Autonomous System)： 由单个实体管理，具有统一管理机构、统一路由策略的网络。在这里单个实体,通常指单独的因特网服务提供者（ISP，Internet Service Provider）。
    （2）收敛（Convergence）：对于路由协议，网络上的路由器在一条路径不能使用时必须经历决定替代路径的过程，是在最佳路径的判断上所有路由器达到一致的过程。当某个网络事件引起路由可用或不可用时，路由器就发出更新信息。路由更新信息遍及整个网络，引发重新计算最佳路径，最终达到所有路由器一致公认的最佳路径。收敛慢的路由算法会造成路径循环或网络中断。
    （3）路由算法：路由算法在路由协议中处于起着至关重要作用的核心地位，它将收集到的不同信息填入路由表中，并最终决定寻径的结果，将目的网络与下一站的关系告诉路由器。

　　具体在运行过程中，路由器按照某种路由通信协议，查找路由表，路由表中列出整个互联网络中包含的各个节点，以及节点间的路径情况和与它们相联系的传输费用。如果到特定的节点有一条以上路径，则基于预先确定的准则选择最优（最经济）的路径。另外由于各种网络段和其相互连接的情况可能发生变化，因此路由情况的信息需要及时更新，这时由所使用的路由信息协议规定定时更新或者按变化情况更新来完成。网络中的每个路由器按照这一规则动态地更新它所保持的路由表，以便保持有效的路由信息。

　　采用何种算法往往需要综合考虑以下设计目标：

　　①．最优化：指路由算法选择最佳路径的能力。
　　②．简洁性：算法设计简洁，利用最少的软件和开销，提供最有效的功能。
　　③．坚固性：路由算法处于非正常或不可预料的环境时，如硬件故障、负载过高或操作失误时，都能正确运行。由于路由器分布在网络联接点上，所以在它们出故障时会产生严重后果。最好的路由器算法通常能够经受各种变化情况的考验，并在各种网络环境下被证实是可靠的。
　　④．快速收敛：收敛是在最佳路径的判断上所有路由器达到一致的过程。当某个网络事件引起路由可用或不可用时，路由器就发出更新信息。路由更新信息遍及整个网络，引发重新计算最佳路径，最终达到所有路由器一致公认的最佳路径。收敛慢的路由算法会造成路径循环或网络中断。
　　⑤．灵活性：路由算法可以快速、准确地适应各种网络环境。例如，某个网段发生故障，路由算法要能很快发现故障，并为使用该网段的所有路由选择另一条最佳路径。

　　路由算法按照种类可分为以下几种：静态和动态、单路和多路、平等和分级、源路由和透明路由、域内和域间、链路状态和距离向量。下面重点介绍链路状态和距离向量算法。

　　①．距离向量算法：距离向量算法也称为Bellman-Ford算法，以经过的路由数即跳数（hop）大小，确定最佳路径。要求每个路由器周期性发送其路由表全部或部分信息（仅发送到邻近结点上），来维护路由器路由表。

　　②．链路状态算法：链路状态算法也称最短路径算法、接口状态算法，以创建该算法的人来命名，也称为Dijkstra算法，根据路由器接口状态，确定最佳路径。当路由器启动或网络结构发生变化时发送链路状态通告到互联网上所有的结点，一旦路由器收到所有的链路状态通告，每一个路由器将会对区域中的网络拓扑结构有一个完整的观察，以自己为根生成一个树，并且有着到达任一个目的网络或主机的完整道路，一个路由器对拓朴结构的观察将不同于其它的路由器，每个路由器把它自己作为树的根，形成自己的路由表。对于每个路由器，仅发送它的路由表中描述了其自身链路状态的那一部分。

　　从本质上来说，链路状态算法将少量更新信息发送至网络各处，而距离向量算法发送大量更新信息至邻接路由器。由于链路状态算法收敛更快，它在一定程度上比距离向量算法更不易产生路由循环。但另一方面，链路状态算法要求比距离向量算法有更强的CPU能力和更多的内存空间。
但两种算法可以结合使用，互补不足。

　　路由算法使用了许多种不同的度量标准去决定最佳路径。复杂的路由算法往往采用多种度量来选择路由，通过的加权运算，合并为单个的复合度量、填入路由表，作为寻径的标准。通常所使用的度量有：路径长度、可靠性、时延、带宽、负载、最大传输单元和通信成本等。

　　根据是否在一个自治域内部使用，动态路由协议分为内部网关协议（IGP，Internal Gateway Protocol）和外部网关协议（EGP，External Gateway Protocol）。常用路由协议（见表１），下面分别进行简要介绍。

表１

　　2．内部网关协议（IGP，Internal Gateway Protocol）：

　　通常只能自治域内部采用的路由选择协议称为内部网关协议，常用的有路由信息协议（RIP，Routing Information Protocol）、开放式最短路优先（OSPF，Open Shortest Path First）、内部网关路由协议（IGRP，Interior　Gateway　Ronting　Protocol）、增强内部网关路由协议（EIGRP，Enhanced　Interior　Gateway　Ronting　Protocol）以及中间系统到中间系统路由交换协议（IS-IS，Intermediate System to Intermediate System ）等等。适用于单个ISP（自治系统）的统一路由协议的运行，由一个ISP运营的网络称为一个自治系统。

　　（1）路由信息协议（RIP，Routing Information Protocol）：

　　于1970年，美国Xerox（施乐）公司首先开发出RIP路由协议，它作为NXS（Xerox Networking Services）协议族的一部分，为Xerox网络系统的Xerox parc通用协议而设计的，是一个用于网关（路由器）和主机间交换路由信息的距离向量协议。RIP应用了基于Bellham-Ford（距离向量）算法，首先被4BSD UNIX上的Berkeley分布路由软件广泛使用，应用TCP/IP协议用RIP给本地网络上的机器提供路径选择和可达信息，后来用RIP提供广域网的路由信息，一直是一种被广泛应用于同构网络的内部网关协议（IGP）。支持最大跳数为15。在1988年被标准化在RFC1058中，是应用较早、使用较普遍、最简单的的内部网关协议，适用于小型同构网络，是典型的距离向量(distance-vector)协议。

　　RIP用更新（UNPDATES）和请求（REOUESTS）两种分组传输路由信息。更新信息用于广播路由表，其中每一项由两部分组成：局域网上能达到的IP地址和与该网络的距离。请求信息用于寻找网络上能发出RIP报文的其他设备。

　　RIP 使用UDP作为它的传输协议，端口是520。通过广播报文来交换路由信息，主要传递路由信息（路由表）来广播路由。每隔30秒，广播一次路由表，维护相邻路由器的关系，同时根据收到的路由表计算自己的路由表。在每30秒发送一次路由信息更新时。RIP提供跳跃计数(hop count)作为尺度来衡量路由距离，跳跃计数是一个包到达目标所必须经过的路由器的数目。使用距离来决定最佳路径，如通过路由跳数来衡量。到这个路由器具有最低跳数的路径是被选中的路径。如果首选的路径不能正常工作，那么具有较高跳数的路径被作为备份。除到达目的地的最佳路径外，任何其它信息均予以丢弃。同时路由器也把所收集的路由信息用RIP协议通知相邻的其它路由器。这样，正确的路由信息逐渐扩散到了全网。

　　其优点是：它简单、可靠，便于配置，障碍修复非常容易。

　　其缺点是：
　　①．没有子网地址的概念，无法区分子网号；RIP协议的原始版本不能应用可变长子网屏蔽（VLSM，Variable Length Subnet Masks），因此不能分割地址空间以最大效率地应用有限的IP地址。
　　②．路由度量忽略了吞吐率、往返时间、可靠性、实际距离、通信延迟、网络速度及带宽等一些应该考虑的因素或性能。如果到相同目标有二个不等速或不同带宽的路由器，但跳跃计数相同，则RIP认为两个路由是等距离的。RIP协议的另一个基本问题是，当选择路径时它忽略了连接速度问题。例如，如果一条由所有快速以太网连接组成的路径比包含一个10Mbps以太网连接的路径远一个跳数，具有较慢10Mbps以太网连接的路径将被选定作为最佳路径。
　　③．支持网络大小有限，只适用于小型网络。RIP最多支持的跳数为15，即在源和目的网间所要经过的最多路由器的数目为15，跳数16表示不可达。假定如果从网络的一个终端到另一个终端的路由跳超过15个，那么就认为一定牵涉到了循环。因此当一个路径达到16跳，将被认为是达不到的。对于规模较大的网络，或具有多余路径的网络，应该考虑使用其它路由协议。
　　④．而且RIP每隔30秒一次的路由信息广播也是造成网络的广播风暴的重要原因之一。

　　于1993年，RIP2是在RFC1388中对RIP定义进行完善扩充而产生的第二版本，它支持IPv6（Internet Protocol Version 6）规范的128位地址；通过引入子网屏蔽与每一路由广播信息一起使用实现了对可变长子网掩码（VLSM，Variable Length Subnet Masks）的支持；除广播外还增加了多播功能，可以减少不收听报文的主机负载；提供简单的鉴别机制以及路由汇总功能。

　　RIP2没有能弥补该协议的主要缺陷：收敛慢。

　　在有多重路径到相同目标的网络中，RIP确定使用一条可选择的路径将花费许多时间。在RIP协议认识到路径不能达到前，它被设为等待，直到它已错过6次更新，总共180秒时间。然后，在使用新路径更新路由表前，它等待另一个可行路径的下一个信息的到来。这意味着在备份路径被使用前至少经过了3分钟，这对于多数应用程序超时是相当长的时间。

　　（2）内部网关路由协议（IGRP，Interior　Gateway　Ronting　Protocol）：

　　于1986年，美国著名路由器生产公司Cisco（思科）公司开发了内部网关路由选择协议（IGRP），它是Cisco专有的距离向量路由选择协议，严格地讲，它以距离向量路由传输机制为根本，并对此进行加强，是一种动态距离向量路由协议，致力于解决RIP协议的不足。

　　IGRP即不使用TCP，也不使用UDP作为它的传输协议，在IP首部的协议（Protocol）字段，有其单独的值9。采用周期性广播路由表的方式维护路由信息，它每90秒发送一次路由更新广播，在3个更新周期内(即270秒)，没有从路由中的第一个路由器接收到更新，则宣布路由不可访问。在7个更新周期即630秒后，Cisco IOS 软件从路由表中清除路由。

　　其优点是：
　　①．扩大了网络应用的规模。虽然RIP在小型同构网络上工作得相当好，但它的跳数小（16）的特点严重限制了网络的大小，IGRP通过使网络跳数增加到255跳,能够满足较大网络规模的应用。
　　②．提高了在复杂网络环境下路由选择的弹性。使用组合用户配置尺度，包括网络延迟、带宽、链路可靠性和负载4种度量。避免了并且单一的度量（跳数）不能给复杂网络提供有弹性的路由选择。
　　③．减少了因网络上的不一致带来的路由选择环路的可能性。RIP路由协议存在环路问题，路由器不知道网络的全局情况，必须依靠相邻路由器来获取网络的可达信息。由于路由选择更新信息在网络上传播慢，距离向量路由选择协议有一个收敛慢问题，这个问题有时将导致不一致性产主。IGRP使用水平分割、破坏逆转更新、保持计数器和触发更新机制有效控制了路由选择环路的产生。

　　其缺点是：不支持可变长子网掩码（VLSM），在网络拓扑结构发生变化时，需要大量的CPU、存储器和带宽资源。

　　（3）增强内部网关路由协议（EIGRP，Enhanced　Interior　Gateway　Ronting　Protocol）：

　　于1994年，Cisco（思科）公司随IOS 9.21发布了加强型内部网关路由协议（EIGRP），它是一个先进的距离向量路由协议，采用散播更新算法（DUAL，Diffusing Update ALgorithm）和链路状态路由协议相结合的方式，致力于解决传统的距离向量和链路状态协议的局限，虽属于距离向量协议的范围，同时也拥有链路状态协议的许多特征。支持最大跳数为224。

　　传统的距离向量协议如RIP向所有连接的邻居转发路由更新，这些邻居再依次更新它的邻居。这种路由信息的逐跳式传播产主了较大的收敛次数和循环的拓扑问题。链路状态协议（如OSPF）对传统的距离向量协议进行了替代。链路状态协议的问题是它通过重复覆盖整个区域中的拓扑信息来解决传统的距离向量协议的收敛问题。在大型网络中这种重复很不理想而且对CPU的利用率有很大的影响（因为需要运行SPF计算数目）。

　　EIGRP即不使用TCP，也不使用UDP作为它的传输协议，在IP首部的协议（Protocol）字段，有其单独的值88。与OSPF协议一样，EIGRP路由器寻找它们的邻接路由器并交换“hello”数据包。EIGRP协议每隔5秒传送“hello”数据包（或者在低速NBMA网络中每60秒发送一次）。如果失败3次，邻接路由器则被认为是宕机状态，替代的路径将被使用。Hello包使得路由器动态地快速地发现邻居的消失。如果在保持计数器超期之前还没有从它邻居路由器处收到Hello包，那么这个邻居就被宣布取消。此时邻居邻接被删除，并且所有与那个邻屠相连的路径被取消。

　　拓扑表包括路由器和它邻居到达目的端的度量。散射更新算法（DUAL）使用拓扑表来寻找到达每个目的端的最低度量非环道路。这个具有最小成本道路的下跳路由器被指定为后继，并且它是路由表中下一跳IP地址。DUAL算法也会去寻找一个可行性后继（或者下一个最优路径），它被存储在拓扑数据库中。

　　如果路由器失去了它的后继，并且有一个可利用的可行性后继就不须要重新计算。路由器就使可行性后继成为后继，并向路由表中加入一条新路径，使自己处于被动状态。如果没有可利用的可行性后继，则路由器进入目的端网络的主动状态，同时需要重新计算路径。

　　当路由器处于主动状态，路由器向所有EIGRP接口发出查询包（除了后继驻留的接口），并询问邻居是否有一条到所给目的端的路径。邻居回答，并向发送者通知它们有或没有一条到达目的端的路径。一旦收到所有的回答，路由器就会计算一条新的后继。如收到查询包的邻居利用发送者去到达目的端网络（作为它的后继），这个邻居就会查询它所有的邻居来寻找一条到达目的端的路径。被查询的邻居经过同样的过程，来生成一个向下的涉及整个网络的查询来寻找一条到达目的端的道路。只要EIGRP有一个可行性后继，就不需要重计算。这条情况使路由器不必使用CPU时钟，还能加速收敛。不受拓扑变化影响的路由器不需重新计算。

　　其优点是：
　　①．迅速广播链路状态的变化。当本地路由器的链路状态发生变化，在新信息基础上它将重新计算拓扑结构表。OSPF协议此时将立即向网络中的每个路由器广播链路状态的变化，而EIGRP协议将仅仅涉及到被这些变化直接影响的路由器。这使带宽和CPU资源的利用效率更高。同时，由于EIGRP协议使用了不到50%的带宽，使得在低带宽WAN链路上具有很大优势。
　　②．链路状态度量更完善。EIGRP度量值是一个32位数，使用链路的带宽、延迟、可靠性、存放、跳数和最大传输单元（MTU，Maximum Transmission Unit）共6种不同特征以及可配置的K值来计算，提供有弹性较大的路由选择。
　　③．支持多种网络协议，减少了因网络上的不一致带来的路由选择环路的可能性。EIGRP协议支持Novell/IPX、Apple Talk和IP环境。如果网络正在运行的是IGRP协议，那么转换到EIGRP协议比转换到OSPF协议要容易的多。

　　其缺点是：没有标准化。同样也存在收敛慢的问题。

　　（4）中间系统到中间系统路由交换协议（IS-IS，Intermediate System to Intermediate System ）：

　　ISO IS-IS协议是OSI的标准内部网关协议（IGP），它是链路状态路由协议，严格地讲是一个分级的链接状态路由协议。采用DECnet PhaseV路由算法。使用Hello协议寻找毗邻节点，使用一个传播协议发送链接信息，类似OSPF协议。

　　IS-IS协议把网络进行分级管理，把任何没有路由功能的网络节点称为终端系统（ES）；而路由器定义为中间系统（IS）。ES和IS之间采用ES-IS（ISO9542）协议，允许ES和IS之间相互发现。IS和IS之间采用IS-IS协议，IS-IS提供IS之间的路由。结合起来形成OSI协议的基础。

　　由中间系统（路由器）连接起来的一系列终端系统叫区域，它处于最低一级。将多个区域互联起来称为路由域。每个路由域是一个独立的管理区域，与AS类似。分两级路由：区域内的站点路由（第一级）和区域间的区域路由（第二级）。也就是说，第一级路由器形成第一级区域，而第二级路由器在第一级区域之间形成一个路由域内部的路由骨干。第一级路由器只需要具有如何到达最近的第二级路由器的信息，就可以进行区域间的通信。

　　在IS-IS路由中，每个ES都位于一个指定的区域内，ES通过接听IS hello包，获得最近的路由器（IS）的信息。当一个ES需要向另一个ES发送数据时，它首先将包发送给网络中与它直接相连的一个路由器。然后路由器确定包的目的地址，使用最佳路径路由此包。如果目的ES在同一子网上，或是在相同区域中的另外一个子网上，那么本地路由器将相应地转发包。如果目的ES位于另一个区域中，那么第一级路由器将把包转发给最近的第二级路由器。在通过了连续的第二级路由器之后，该包将到达目的区域中的第二级路由器。在目的区域中，路由器通过最佳路径传送包，直到包到达目的ES为止。

　　路径的长度等于链路的合计值，链路可以具有的最大值为64，路径的最大值为1024。IS-IS使用一个缺省度量值，该度量值可以是任意的，另外还指定三种其他的可选度量值：延时代价、花费代价（通信费用）和错误代价（差错率）。

　　其优点是：
　　①．ES-IS可以支持三种不同类型的子网：点到点子网（如HDLC）、广播子网（如以太网）和普通拓扑结构子网（如X.25）。
　　②．IS-IS可以在不同的子网上操作，包括广播型的LAN、WAN和点到点链路
　　③．链路状态度量较完善。

　　其缺点是：
　　①．IS-IS使用一个小的度量值（6比特），严重限制了能与它进行转换的信息。
　　②．链接状态只有8比特长，路由器通告的记录限制为256个。
　　③．IS-IS受OSI约束，使得与OSPF相比发展比较缓慢。

　　（5）开放式最短路优先路由信息协议（OSPF，Open Shortest Path First）：

　　于1988年，网间工程任务组织（IETF，Internet Engineering Task Framework）成立了内部网关协议工作组，专门设计用于因特网的基于最短路径优先（SPF）算法的IGP。在此前多项研究结果的基础上开发出开放式最短路优先路由信息协议（OSPF），诸如1978年Bolt、Beranek、Newman(BBN)为ARPANET开发的SPF算法，1988年Dr.Radia Perlman对路由信息容错性广播的研究成果等等。

　　开放式最短路径优先协议（OSPF）是一种链路状态路由选择协议，链路是路由器接口的另一称法，因此也称为接口状态路由协议。采用Dijkstra算法，路由选择的变化基于网络中路由器物理连接的状态与速度，并且变化被立即广播到网络中的每一个路由器。它被用于单个自治系统来分发路由选择信息。

　　作为链接状态路由协议，OSPF与RIP和IGRP这些距离向量路由协议是不同的。使用距离向量算法的路由器的工作模式是在路由更新信息中把路由表全部或部分发送给其相邻的路由器。

　　而OSPF用链路状态算法来计算在每个区域中到所有目的的最短路径时，只有当一个路由器第一次被激活或者任一个路由变化发生，这个配备给OSPF的路由器使用OSPF的“hello协议”来发现与它连接的邻节点，将链路状态通告（LSA，Link State Advertisement）扩散到同一级区域内所有路由器，这些LSA包含这个路由器的接口的状态（包括与上、下、IP地址、网络类型筹）和路由器和它邻居间的联系，从这些LSA的收集中形成了链路状态数据库，在这个区域中的所有路由器都有一个特定的数据库,它由每个接口、对应邻节点和接口速度组成，被用来描述这个区域的拓扑结构。这个路由器于是就运行Diskjtra算法，这个算法根据到达这个网络的费用计算规则,利用链路状态数据库在该区域中形成以自己为根到所有目的的最短路径优先树（SPF树），从这个最短路径优先树（SPF树）中形成了IP路由表。如果网络中发主的任何改变都将会被链路状态包扩散出去，直到网络中的每个路由器收到了所有其它路由器的LSA，同时使路由器利用这些新信息，重新计算最短路径优先树（SPF树），形成新路由表。

　　OSPF是一种相对复杂的路由协议。

　　OSPF即不使用TCP，也不使用UDP作为它的传输协议，直接使用IP，在IP首部的协议（Protocol）字段，有其单独的值89。它通过传递链路状态来得到网络信息，LSA每30分钟被交换一次，除非网络拓扑结构有变化。例如，如果接口变化，信息立刻通过网络广播；如果有多余路径，收敛将重新计算SPF树。计算SPF树所需的时间取决于网络规模的大小。因为这些计算，路由器运行OSPF需要占用更多CPU资源。

　　于1991年，在RFC1247中对第2版OSPF进行了描述，即OSPF2，也是第一次被标准化。

　　其优点是：
　　①．首先该协议是开放的，即其规范是公开的。OSPF协议是"开放式最短路优先"的缩写。"开放"是针对当时某些厂家的"私有"路由协议而言，而正是因为协议开放性，才使得OSPF具有强大的生命力和广泛的用途。
　　②．OSPF能服务于大型、异构网络。为了较大型网络，并弥补OSPF协议大量占用CPU和内存资源的缺陷，将网络分成独立的层次域，称为区域（Area），每个路由器仅与它们自己区域内的其它路由器交换LSA，降低网络中的交通数量。在一个区域中的路由器都有一个特定的拓扑数据库，就像同区域中的其它路由器一样。一个多区域中的路由器有着不同的拓扑数据库，用于不同的区域，它们都与路由器相连。那些所有的接口都在同一个区域中的路由器称为内部路由器（IR，Interior Router），连接于同一自治系统中的路由器称为区域边界路由器（ABR，Area Border Router），另一种路由器充当网关的作用，从一个AS到另一个AS重分配路由信息，称为自治系统边界路由器（ASBR，Autonomous System Border Router）。相应地即有两种类型的路由选择方式：当源和目的地在同一区时，采用区内路由选择；当源和目的地在不同区时，则采用区间路由选择。这就大大减少了网络开销，并增加了网络的稳定性。当一个区内的路由器出了故障时并不影响自治域内其它区路由器的正常工作，这也给网络的管理、维护带来方便。
　　③．OSPF可以对每个IP服务类型计算各自的路由集。实现对于任何目的，可以有多个路由表表项，每个表项对应着一个IP服务类型。
　　④．给每个接口指派一个无维数的费用，可以通过吞吐率、往返时间、可靠性或其他性能来进行指派。可以给每个IP服务类型指派一个单独的费用。
　　⑤．当对同一个目的地址存在着多个相同费用的路由时， 可以平均分配流量。实现流量平衡。
　　⑥．OSPF支持子网，子网掩码与每个通告路由相连。允许将一个任何类型的IP地址分割成多个不同大小的子网（称之为变长度子网）。到一个主机的路由是通过全1子网掩码进行通告，默认路由是以IP地址为0.0.0.0网络掩码为全0进行通告的。
　　⑦．路由器之间的点对点链路不需要每端都有一个IP地址，实现无编号网络。节省IP地址资源。
　　⑧．采用一种简单鉴别机制。可以采用类似于RIP2机制的方法指定一个明文口令。
　　⑨．OSPF采用多播，而不是广播形式，以减少不参与OSPF的系统负载。

　　（6）其它内部网关协议：

　　除了上述经常使用的路由协议外，在工作中我们还会遇到其它一些路由协议：

　　AppleTalk路由表维护协议（RTMP）、Banyan VINES路由表协议（RIP）是基于IP版的RIP的变种。

　　ICMP路由器发现协议（IRDP，ICMP Router Discovery Protocol）是Internet控制消息协议（ICMP，Internet Control Message Protocol）的一个扩展，它使得主机能够动态地发现缺省网关路由器的IP地址。在一个多路由器的环境下，IRDP还使得主机能够检测和纠正由于网关故障产生的错误。IRDP在RFCI256中定义，它为主机提供自动配置路由器地址的功能，与动态主机配置协议（DHCP）类似。IRDP独立于任何其他的路由协议，它包括路由器发起的广播消息（路由器通告）和主机发起的查询消息（路由器寻找）。由于当存在多条路径时IRDP并不能提供理想的选择，如果主机选择了一个不好的通向特定目的地的第一跳路由器，那么被选择的设备将发送回一个ICMP重定向报文，指明一条更好的路径。

　　网关发现协议（GDP，Gateway Discovery Protocol）是由Cisco公司开发的一套协议，它是更标准化的、更严格的ICMP路由器发现协议（IRDP，ICMP Router  Discovery Protocol，IRDP）的前导协议，与IRDP不同，GDP是基于UDP协议的，使用的缺省端口值为1997。GDP使得主机能够动态地监测与其直接相连的网络上的路由器的到来。一个给定的网络中可能有多个路由器，主机选择其中的一个或多个来传输流量。主机可以通过发现路由器不能定期进行通告来发现路由器故障，并做相应的补偿。

　　3．外部网关协议（EGP，External Gateway Protocol）：

　　外部网关协议主要用于多个自治域之间的路由选择，常用的边界网关协议（BGP ，Border Gateway Protocol，）、域间路由协议（IDRP，Internal Domain Routing Protocol）等是自治系统间的路由协议，是一种外部网关协议。

　　一般说来，整个互联网并不适合运行单一的路由协议，因为各ISP有自己的利益，不愿意提供自身网络详细的路由信息。为了保证各ISP利益，标准化组织制定了ISP间的路由协议BGP。

　　（1）外部网关协议（EGP，External Gateway Protocol）：

　　外部网关协议（EGP）是专门为ARPANET（Advanced Research Propject Agency Network）开发的协议，是一个动态路由协议，也是第一个外部网关协议（EGP），它在Internet上得到了广泛使用。

　　EGP即不使用TCP，也不使用UDP作为它的传输协议，在IP首部的协议（Protocol）字段，有其单独的值8。运行EGP的路由器建立一系列的邻接关系，所有邻站都是一些EGP路由器，它们之间共享网络可达信息，但并不表示它们在地理位置上也是邻接的。EGP路由器轮询邻站，以确定它们是否还在工作。发送更新报文，其中包括自治系统中可达的网络信息。EGP更新报文的内容是网络可达信息，指明通过一定的路由器可以到达哪个网络。

　　EGP协议设计十分简单。它没有使用度量值，无法进行智能化的路由选择。随着Internet的发展和成熟，EGP已经被Internet所淘汰。取而代之的是边界网关协议（BGP）和域间路由协议（IDRP）。

　　（2）边界网关协议（BGP，Border Gateway Protocol）：

　　于1987年，取代ARPANET所使用的EGP协议，出现了EGP协议。内部网关协议（IGP）需要全局的信息计算路由表，诸如象RIP/RIP2、OSPF、IS-IS或IGRP/EIGRP等，都有一定的协定，只适合于那些只有单个管理员负责网络管理和运行的地方；否则，将会出现配置错误导致网络性能降低或是运行不稳定的情况。对于由许多管理员共同分担责任的网络，如Internet网络，就要考虑使用外部网关协议（EGP），BGP是为TCP／IP互联网设计的外部网关协议，用于多个自治域之间。它既不是基于纯粹的链路状态算法，也不是基于纯粹的距离向量算法。

　　BGP使用TCP作为它的传输协议，端口是179。通过定期发送keepalive报文给其邻接站点，检测TCP连接对端的链路状况，时间间隔建议值为30秒。BGP更新信息包括网络号／自治域路径的成对信息。自治域路径包括到达某个特定网络须经过的自治域串，采用16bit数字表示自治域标识，这些更新信息通过TCP传送出去，以保证传输的可靠性。BGP通过ISP边界的路由器加上一定的策略，选择过滤路由，把RIP、OSPF、BGP等的路由发送到对方。它的主要功能是与其它自治域的BGP交换网络可达信息。各个自治域可以运行不同的内部网关协议。

　　于1993年，在[RFC1467]中定义了第4版的BGP协议，在最新的BGP4中，可以将相似路由合并为一条路由。

　　其优点是：
　　①．扩大了网络规模。如果网络是只有一个路由器的小型网络，完全可以通过静态路由手动地更新路由表，不需要使用路由协议；而当网络中仅有一个ISP，它具有多个路由器时，就要使用内部网关协议（IGP）；只有当网络中包含多个ISP及其众多路由器时，将有必要让它们去共享信息，使用外部网关协议（EGP）。BGP协议的出现，引起了互联网的重大变革，它把众多ISP有机的连接起来，真正成为全球范围内的网络。
　　②．有丰富的路由策略，允许使用基于策略的路由选择。处理各ISP之间的路由传递时，网络管理员可以通过配置文件制订与政治、经济或安全因素有关的策略，在存在的多个可选路径中选择路由，并控制信息的重新发送，而策略本身并不是协议的组成部分。
　　③．应用范围广泛。尽管BGP协议是被设计用于自治系统间的（EBGP），但BGP协议也常在AS内部使用（IBGP），以在对其他自治系统运行EBGP的边界路由器间传递信息。

　　其缺点是：协议配置复杂。BGP一般运行在相对核心的地位，如果出现错误，可能造成很大的损失。网络管理员需要对用户需求、网络现状和BGP协议非常熟悉，还需要非常谨慎小心。

　　（3）域间路由协议（IDRP，Internal Domain Routing Protocol）：

　　域间路由协议（IDRP，Internal Domain Routing Protocol）是一个为了使用OSI地址而不是IP地址，而进行修改的BGP版本。

　　对于“Ping of Death”攻击，可以采取两种方法进行防范：第一种方法是在路由器上对ICMP数据包进行带宽限制，将ICMP占用的带宽控制在一定的范围内，这样即使有ICMP攻击，它所占用的带宽也是非常有限的，对整个网络的影响非常少；第二种方法就是在主机上设置ICMP数据包的处理规则，最好是设定拒绝所有的ICMP数据包。

　　设置ICMP数据包处理规则的方法也有两种，一种是在操作系统上设置包过滤，另一种是在主机上安装防火墙。具体设置如下：

　　1．在Windows 2000 Server中设置ICMP过滤

　　Windows 2000 Server提供了“路由与远程访问”服务，但是默认情况下是没有启动的，因此首先要启动它：点击“管理工具”中的“路由与远程访问”，启动设置向导。在其中选择“手动配置服务器”项，点击[下一步]按钮。稍等片刻后，系统会提示“路由和远程访问服务现在已被安装。要开始服务吗？”，点击[是]按钮启动服务。

　　服务启动后，在计算机名称的分支下会出现一个“IP路由选择”，点击它展开分支，再点击“常规”，会在右边出现服务器中的网络连接（即网卡）。用鼠标右键点击你要配置的网络连接，在弹出的菜单中点击“属性”，会弹出一个网络连接属性的窗口，如图1所示。

　　图1

　　图1中有两个按钮，一个是“输入筛选器”（指对此服务器接受的数据包进行筛选），另一个是“输出筛选器”（指对此服务器发送的数据包进行筛选），这里应该点击[输入筛选器] 按钮，会弹出一个“添加筛选器”窗口，再点击[添加]按钮，表示要增加一个筛选条件。

　　在“协议”右边的下拉列表中选择“ICMP”，在随后出现的“ICMP类型”和“ICMP编码”中均输入“255”，代表所有的ICMP类型及其编码。ICMP有许多不同的类型（Ping就是一种类型），每种类型也有许多不同的状态，用不同的“编码”来表示。因为其类型和编码很复杂，这里不再叙述。

　　点击[确定]按钮返回“输入筛选器”窗口，此时会发现“筛选器”列表中多了一项内容（如图2所示）。点击[确定]按钮返回“本地连接”窗口，再点击[确定]按钮，此时筛选器就生效了，从其他计算机上Ping这台主机就不会成功了。

　　图2

　　2． 用防火墙设置ICMP过滤

　　现在许多防火墙在默认情况下都启用了ICMP过滤的功能。如果没有启用，只要选中“防御ICMP攻击”、“防止别人用ping命令探测”就可以了，如图3所示。

　　图3

　　通过以上讲解，你现在知道ICMP的重要性了吧？赶紧给你的服务器设置ICMP过滤吧。

报错:
连接失败
SQL State:'01000'
SQL Server 错误：10061
[Microsoft][ODBC SQL Server Driver][TCP/IP Sockets] ConnectionOpen (conect()).
连接失败
SQLState:'08001'
SQL Server 错误：17
[Microsoft][ODBC SQL Server Driver][TCP/IP Sockets] SQL Server 不存在或访问被拒绝

运行svrnetcn,发现命名管道总在tcp/ip的前面,原以为是不是因为命名管道的级别高,删命名管道,还是不通,估计不是这个问题.听说如果服务器使用的是2000,就可以.使用2003就不行.所以如果这时真的话,我认为最大的可能性应该在系统的设置上.
于是,我查看日志.获得以下信息:
您运行的 Microsoft SQL Server 2000 版本或 Microsoft SQL Server 2000 Desktop Engine (也称为 MSDE) 和 Microsoft Windows Server 2003 家族使用时存在已知的 安全弱点。为了减少计算机被某些病毒的攻击，Microsoft SQL Server 2000，MSDE 或 两者的 TCP/IP 和 UDP 网络端口被禁用。要启用这些端口，您必须从 http://www.microsoft.com/sql/downloads/default.asp 或  http://www.microsoft.com/china/sql/downloads/default.asp 安装一个修补程序， 或 Microsoft SQL Server 2000 或 MSDE 的最新服务包。

看来是2003独有的问题了。为了安全考虑的。试想现在有些黑客入侵，就使用1433端口。2003先禁掉它，使有道理的。OK，想通了。就动手了。安装过程中别忘了钩上“对所有数据库启用跨数据库的所有权连接”，当然这个是微软不推荐的。因为存在安全隐患阿。好。打了补丁重启，完事。可以连接了。

　　其实在我的操作系统中也内置了一些非常有用的软件网络测试工具，如果能使用得当，并掌握一定的测试技巧一般来说是完全可以满足一般需求的，有的甚至被黑客作为黑客工具哩！这些工具虽然不能秒之为专业的黑客工具，修正有许多黑客工具软件也是基于这些内置的网络测试软件而编制、改写的。下面就这几个工具结合实例作一简介，希望对那些还未掌握这几种工具的朋友有一些帮助！

　　一、Ping

　　相信玩过网络的人都会对“Ping”这个命令有所了解或耳闻。Ping命令是Windows9X/NT中集成的一个专用于TCP/IP协议的测试工具，ping命令是用于查看网络上的主机是否在工作，它是通过向该主机发送ICMP ECHO_REQUEST包进行测试而达到目的的。一般凡是应用TCP/IP协议的局域或广域网络，不管你是内部只有几台电脑的家庭、办公室局域网，还是校园网、企业网甚至Internet国际互联网络，当客户端与客户端之间无法正常进行访问或者网络工作出现各种不稳定的情况时，建议大家一定要先试试用Ping这个命令来测试一下网络的通信是否正常，多数时候是可以一次奏效的。

　　1．Ping命令的语法格式

　　ping命令看似小小的一个工具，但它带有许多参数，要完全掌握它的使用方法还真不容易，要达到熟练使用则更是难下加难，但不管怎样我们还得来看看它的真面目，首先我们还是从最基本的命令格式入手吧！

ping命令的完整格式如下：

　　ping [-t] [-a] [-n count] [-l length] [-f] [-i ttl] [-v tos] [-r count][-s count] [[-j -Host list] | [-k Host-list]] [-w timeout] destination-list

　　从这个命令式中可以看出它的复杂程度，ping命令本身后面都是它的执行参数，现对其参数作一下详细讲解吧！

　　-t—— 有这个参数时，当你ping一个主机时系统就不停的运行ping这个命令，直到你按下Control-C。

　　-a——解析主机的NETBIOS主机名，如果你想知道你所ping的要机计算机名则要加上这个参数了，一般是在运用ping命令后的第一行就显示出来。

　　-n count——定义用来测试所发出的测试包的个数，缺省值为4。通过这个命令可以自己定义发送的个数，对衡量网络速度很有帮助，比如我想测试发送20个数据包的返回的平均时间为多少，最快时间为多少，最慢时间为多少就可以通过执行带有这个参数的命令获知。

　　-l length——定义所发送缓冲区的数据包的大小，在默认的情况下windows的ping发送的数据包大小为32byt，也可以自己定义，但有一个限制，就是最大只能发送65500byt，超过这个数时，对方就很有可能因接收的数据包太大而死机，所以微软公司为了解决这一安全漏洞于是限制了ping的数据包大小。

　　-f—— 在数据包中发送“不要分段”标志，一般你所发送的数据包都会通过路由分段再发送给对方，加上此参数以后路由就不会再分段处理。

　　-i ttl—— 指定TTL值在对方的系统里停留的时间，此参数同样是帮助你检查网络运转情况的。

　　-v tos—— 将“服务类型”字段设置为 “tos” 指定的值。

　　-r count—— 在“记录路由”字段中记录传出和返回数据包的路由。一般情况下你发送的数据包是通过一个个路由才到达对方的，但到底是经过了哪些路由呢？通过此参数就可以设定你想探测经过的路由的个数，不过限制在了9个，也就是说你只能跟踪到9个路由。

　　-s count——指定“count” 指定的跃点数的时间戳，此参数和-r差不多，只是这个参数不记录数据包返回所经过的路由，最多也只记录4个。

　　-j host-list ——利用“ computer-list” 指定的计算机列表路由数据包。连续计算机可以被中间网关分隔IP 允许的最大数量为 9。

　　-k host-list ——利用 “computer-list” 指定的计算机列表路由数据包。连续计算机不能被中间网关分隔IP 允许的最大数量为 9。

　　-w timeout——指定超时间隔，单位为毫秒。

　　destination-list ——是指要测试的主机名或IP地址

2．Ping命令的应用

　　(1)、测试网络的通畅
　　我们知道可以用ping命令来测试一下网络是否通畅，这在局域网的维护中经常用到，方法很简单，只需要在DOS或Windows的开始菜单下的“运行”子项中用ping命令加上所要测试的目标计算机的IP地址或主机名即可（目标计算机要与你所运行ping命令的计算机在同一网络或通过电话线或其它专线方式已连接成一个网络），其它参数可全不加。如要测试台IP地址为196.168.1.21的工作站与服务器是否已连网成功，就可以在服务器上运行：ping -a 196.`68.123.56 即可，如果工作站上TCP/IP协议工作正常，即会以DOS屏幕方式显示如下所示的信息：

　　Pinging cindy[196.168.1.21] with 32 bytes of data:
　　Reply from 196.168.1.21: bytes=32 time<10ms TTL=254
　　Reply from 196.168.1.21: bytes=32 time<10ms TTL=254
　　Reply from 196.168.1.21: bytes=32 time<10ms TTL=254
　　Reply from 196.168.1.21: bytes=32 time<10ms TTL=254
　　Ping statistics for 196.168.1.21:
　　Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate roundtrip times in milli-seconds:
　　Minimum = 0ms, Maximum = 0ms, Average = 0ms

　　从上面我们就可以看出目标计算机与服务器连接成功，TCP/IP协议工作正常，因为加了“-a”这个参数所以还可以知道IP为196.168.1.21的计算机的NetBIOS名为cindy。

　　如果网络未连成功则显示如下错误信息：

　　Pinging[196.168.1.21 ] with 32 bytes of data
　　Request timed out.
　　Request timed out.
　　Request timed out.
　　Request timed out.
　　Ping statistice for 196.168.1.21:
　　Packets:Sent=4,Received =0,Lost=4(100% loss),
　　Approximate round trip times in milli-seconds
　　Minimum=0ms,Maximum=0ms,Average=0ms

为什么不管网络是否连通在提示信息中都会有重复四次一样的信息呢（如上的“Reply from 196.168.1.21: bytes=32 time<10ms TTL=254 ”和“Request timedout”），那是因为一般系统默认每次用ping测试时是发送四个数据包，这些提示就是告诉你所发送的四个数据包的发送情况。

　　出现以上错误提示的情况时，就要仔细分析一下网络故障出现的原因和可能有问题的网上结点了，一般首先不要急着检查物理线路，先从以下几个方面来着手检查：一是看一下被测试计算机是否已安装了TCP/IP协议；二是检查一下被测试计算机的网卡安装是否正确且是否已经连通；三是看一下被测试计算机的TCP/IP协议是否与网卡有效的绑定（具体方法是通过选择“开始→设置→控制面板→网络”来查看）；四是检查一下Windows NT服务器的网络服务功能是否已启动（可通过选择“开始→设置→控制面板→服务”，在出现的对话框中找到“Server”一项，看“状态”下所显示的是否为“已启动”）。如果通过以上四个步骤的检查还没有发现问题的症结，这时再查物理连接了，我们可以借助查看目标计算机所接HUB或交换机端口的批示灯状态来判断目标计算机现网络的连通情况。

　　(2)、获取计算机的IP地址

　　利用ping这个工具我们可以获取对方计算机的IP地址，特别是在局域网中，我们经常是利用NT或WIN2K的DHCP动态IP地址服务自动为各工作站分配动态IP地址，这时当然我们要知道所要测试的计算机的NETBIOS名，也即我们通常在“网络邻居”中看到的“计算机名”。使用ping命令时我们只要用ping命令加上目标计算机名即可，如果网络连接正常，则会显示所ping的这台机的动态IP地址。其实我们完全可以在互联网使用，以获取对方的动态IP地址，这一点对于黑客来说是比较有用的，当然首先的一点就是你先要知道对方的计算机名。

(3)、上述应用技巧其实重点是Ping 命令在局域网中的应用，其实Ping命令不仅在局域网中广泛使用，在Internet互联网中也经常使用它来探测网络的远程连接情况。平时，当我们遇到以下两种情况时，需要利用Ping工具对网络的连通性进行测试。比如当某一网站的网页无法访问时，可使用Ping命令进行检测。另外，我们在发送E-mail之前也可以先测试一下网络的连通性。许多因特网用户在发送E-mail后经常收到诸如“Returned mail:User unknown”的信息，这说明您的邮件未发送到目的地。为了避免此类事件再次发生，所以建议大家在发送E-mail 之前先养成Ping对方邮件服务器地址的习惯。例如，当您给163网站邮件用户发邮件时，可先键入“ping 163.com”（其实163.com就是网易的其中一台服务器名）进行测试，如果返回类似于“Bad IP address163.com”或“Request times out”或“Unknow host 163.com”等的信息，说明对方邮件服务器的主机未打开或网络未连通。这时即使将邮件发出去，对方也无法收到。

　　二、Ipconfig/Winipcfg

　　与Ping 命有所区别，利用Ipconfig和Winipcfg工具可以查看和修改网络中的TCP/IP协议的有关配置，如IP地址、网关、子网掩码等。这两个工具在Windows 95/98中都能使用，功能基本相同，只是Ipconfig 是以 DOS的字符形式显示，而Winipcfg则用图形界面显示，也就是其实两个工具是一个工具，只不过一个是DOS下的版本，另一个为WINDWOS下的版本，但要注意，在Windows NT中只能运行于DOS方式下的Ipconfig工具。

　　1．Ipconfig命令的语法格式

　　Ipconfig[/all][/batch file][/renew all][/release all][/renew n][/releasen]

　　all——显示与TCP/IP协议相关的所有细节信息，其中包括测试的主机名、IP地址、子网掩码、节点类型、是否启用IP路由、网卡的物理地址、默认网关等。

　　Batch file——将测试的结果存入指定的“file“文件名中，以便于逐项查看，如果省略file文件名，则系统会把这测试的结果保存在系统的“winipcfg.out”文件中。

　　renew all——更新全部适配器的通信配置情况，所有测试重新开始。

　　release all——释放全部适配器的通信配置情况，

　　renew n——更新第n号适配器的通信配置情况，所有测试重新开始。

　　release n——释放第n号适配器的通信配置情况，

2．Winipcfg命令

　　Winipcfg工具的功能与Ipconfig基本相同，只是Winipcfg是以图形界面的方式显示，如图1所示。在操作上更加方便，同时能够以WINDOWS的32位图形界面方式显示。当用户需要查看任何一台机器上TCP/IP协议的配置情况时，只需在Windows 95/98上选择“开始→运行”，在出现的对话框中输入命令“winipcfg”，将出现测试结果。单击“详细信息”按钮，在随后出现的对话框中可以查看和改变TCP/IP的有关配置参灵敏，当一台机器上安装有多个网卡时，可以查找到每个网卡的物理地址和有关协议的绑定情况，这在某些时候对我们是特别有用的。如果要获取更多的信息，可单击图中的“详细信息”按钮，在出现的对话框中可以相看到比较全面的信息。

　　3、ipconfig/winipcfg的应用

　　上面我讲了一下这两姊妹TCP/IP测试工具的一些用法，下面我就来谈她们的一些用途。

　　(1)、查找目标主机的IP地址及其它有关TCP/IP协议的信息，方法如下：按「开始」菜单执行「运行」菜单项，输入 winipcfg，就会出现一个 IP 组态窗口，这里会显示有关于你目前网络 IP 的一些详细设置数据。或者，你也可以在 MS-DOS 模式下，输入 ipconfig，也是一样可以显示详细的 IP 信息，只不过此画面是在 DOS 下而已。

　　(2)、ipconfig/winipcfg应该说是一款网络侦察的利器，尤其当用户的网络中设置的是DHCP（动态IP地址配置协议）时，利用Ipconfig/winipcfg可以让用户很方便地了解到所用IPconfig/winipcfg机的IP地址的实际配置情况。因为它有一个“/all”这个参数，所以它可侦查到本机上所有网络适配的IP地址分配情况，比ping命令更为详细。如果我们在机房winda客户端上运行“Ipconfig/all/batch winda.txt”后，打开winda.txt文件，将显示如下所示的内容，非常详细地显示了所有与TCP/IP协议有关的配置情况 。当然与ping相比也有它的不足之处就是它只能在本机上测试，不能运用网络功能来测试。

三、Netstat

　　与上述几个网络检测软件类似，Netstat命令也是可以运行于Windows 95/98/NT的DOS提示符下的工具，利用该工具可以显示有关统计信息和当前TCP/IP网络连接的情
　　，用户或网络管理人员可以得到非常详尽的统计结果。当网络中没有安装特殊的网管软件，但要对整个网络的使用状况作个详细地了解时，就是Netstat大显身手的时候了。

　　它可以用来获得你的系统网络连接的信息（使用的端口和在使用的协议等），收到和发出的数据，被连接的远程系统的端口等。

　　1、Netstat命令的语法格式

　　Nbtstat 格式：netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]

　　参数解释如下：

　　-a——用来显示在本地机上的外部连接，它也显示我们远程所连接的系统，本地和远程系统连接时使用和开放的端口，以及本地和远程系统连接的状态。这个参数通常用于获得你的本地系统开放的端口，用它您可以自己检查你的系统上有没有被安装木马，如果您在你的机器上运行Netstat的話，如发現诸如：Port 12345(TCP) Netbus、Port31337(UDP) Back Orifice之类的信息，则你的机器上就很有可能感染了木马。

　　-n——这个参数基本上是-a参数的数字形式，它是用数字的形式显示以上信息，这个参数通常用于检查自己的IP时使用，也有些人使用他是因为更喜欢用数字的形式來显示主机名。

　　-e——显示静态太网统计，该参数可以与 -s 选项结合使用。

　　-p protocol——用来显示特定的协议配置信息，它的格式为：Netstat -p ***，***可以是UDP、IP、ICMP或TCP，如要显示机器上的TCP协议配置情况则我们可以用：Netstat -p tcp。

　　-s——显示机器的缺省情况下每个协议的配置统计，缺省情况下包括TCP、IP、UDP、ICMP等协议。
　　-r——用来显示路由分配表。

　　interval——每隔“interval”秒重复显示所选协议的配置情况，直到按“CTRL+C”中断。

2、netstat的应用

　　从以上各参数的功能我们可以看出netstat工具至少有以下向方面的应用：

　　(1)、显示本地或与之相连的远程机器的连接状态，包括TCP、IP、UDP、ICMP协议的使用情况，了解本地机开放的端口情况；

　　(2)、检查网络接口是否已正确安装，如果在用netstat这个命令后仍不能显示某些网络接口的信息，则说明这个网络接口没有正确连接，需要重新查找原因。

　　(3)、通过加入“-r”参数查询与本机相连的路由器地址分配情况；

　　(4)、还可以检查一些常见的木马等黑客程序，因为任何黑客程序都需要通过打开一个端口来达到与其服务器进行通信的目的，不过这首先要使你的这台机连入互联网才行，不然这些端口是不可能打开的，而且这些黑客程序也不会起到入侵的本来目的。

　　四、nbtstat

　　NBTSTAT命令:用于查看当前基于NETBIOS的TCP/IP连接状态，通过该工具你可以获得远程或本地机器的组名和机器名 。虽然用户使用ipconfig/winipcfg工具可以准确地得到主机的网卡地址，但对于一个已建成的比较大型的局域网，要去每台机器上进行这样的操作就显得过于费事了。网管人员通过在自己上网的机器上使用DOS命令nbtstat，可以获取另一台上网主机的网卡地址。

我们还是先来看看它的语法格式吧：

　　NBTSTAT [ [-a RemoteName] [-A IP address] [-c] [-n] [-r] [-R] [-RR] [-s][-S] [interval] ]

　　参数说明：

　　-a Remotename——说明使用远程计算机的名称列出其名称表，此参数可以通过远程计算机的NetBios名来查看他的当前状态。

　　-A IP address——说明使用远程计算机的 IP 地址并列出名称表，这个和-a不同的是就是这个只能使用IP，其实-a就包括了-A的功能了。

　　-c——列出远程计算机的NetBIOS 名称的缓存和每个名称的 IP 地址 这个参数就是用来列出在你的NetBIOS里缓存的你连接过的计算机的IP。

　　-n——列出本地机的 NetBIOS 名称，此参数与上面所介绍的一个工具软件“netstat”中加“ -a”参数功能类似，只是这个是检查本地的，如果把netstat -a后面的IP换为自己的就和nbtstat -n的效果是一样的了。

　　-r——列出 Windows 网络名称解析的名称解析统计。在配置使用 WINS 的Windows 2000 计算机上，此选项返回要通过广播或 WINS 来解析和注册的名称数。

　　-R——清除 NetBIOS 名称缓存中的所有名称后，重新装入 Lmhosts 文件，这个参数就是清除nbtstat -c所能看见的缓存里的IP。

　　-S—— 在客户端和服务器会话表中只显示远程计算机的IP地址。

　　-s—— 显示客户端和服务器会话，并将远程计算机 IP 地址转换成NETBIOS名称。此参数和-S差不多，只是这个会把对方的NetBIOS名给解析出来。

　　-RR——释放在 WINS 服务器上注册的 NetBIOS 名称，然后刷新它们的注册。

　　interval——每隔interval 秒重新显示所选的统计，直到按“ CTRL+C”键停止重新显示统计。如果省略该参数，nbtstat 将打印一次当前的配置信息。此参数和netstat的一样，nbtstat中的“interval”参数是配合-s和-S一起使用的。

　　好了，关于nbtstat的应用就不多讲了，相信看了它的一些参数功能也就明白了它的功能了，只是要特别注意这个工具中的一些参数是区分大、小写的，使用时要特别留心！另外在系统中还人置有许多这方面的工具，如ARP命令是用于显示并修改Internet到以太网的地址转换表；nslookup命令的功能是查询一台机器的IP地址和其对应的域名，它通常需要一台域名服务器来提供域名服务，如果用户已经设置好域名服务器，就可以用这个命令查看不同主机的IP地址对应的域名……在此就不多讲了，另外还要说明的一点就是不同的系统中的相应命令参数设置可能有不同之处，但大体功能是一致的，希望大家在应用时稍加注意，本文所列的这些工具软件参数用法全是针对Win9xWinMe，在NT和UNIX、LINUX系统中有一些不同之处。

1） 公认端口（Well Known Ports）：从0到1023，它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯。

2） 注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。

3） 动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。

  本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。记住：并不存在所谓ICMP端口。如果你对解读ICMP数据感兴趣，请参看本文的其它部分。

  0通常用于分析*作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试 图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描：使用IP地址为 0.0.0.0，设置ACK位并在以太网层广播。

  1 tcpmux 这显示有人在寻找SGIIrix机器。Irix是实现tcpmux的主要提供者，缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户，如lp,guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux 并利用这些帐户。

  7Echo你能看到许多人们搜索Fraggle放大器时，发送到x.x.x.0和x.x.x.255的信息。常见的一种DoS攻击是echo循环（echo-loop），攻击者伪造从一个机器发送到另一个UDP数据包，而两个机器分别以它们最快的方式回应这些数据包。（参见Chargen） 另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做Resonate Global Dispatch”，它与DNS的这一端口连接以确定最近的路由。Harvest/squid cache将从3130端口发送UDPecho：“如果将cache的source_ping on选项打开，它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。

  11 sysstat这是一种UNIX服务，它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全，如暴露已知某些弱点或帐户的程序。这与UNIX系统中“ps”命令的结果相似再说一遍：ICMP没有端口，ICMP port 11通常是ICMPtype=1119 chargen 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时，会发送含有垃圾字符的数据流知道连接关闭。Hacker利用IP欺骗可以发动DoS攻击伪造两 个chargen服务器之间的UDP由于服务器企图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。

  21 ftp最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。这些服务器带有可读写的目录。Hackers或tackers利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。

  22 sshPcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式，许多使用RSAREF库的版本有不少漏洞。（建议在其它端口运行ssh）还应该注意的是ssh工具包带有一个称为ake-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。UDP（而不是TCP）与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632 （十六进制的0x1600）位交换后是0x0016（使进制的22）。

  23 Telnet入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的*作系统。此外使用其它技术，入侵者会找到密码。

  25 smtp攻击者（spammer）寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭，他们需要拨号连接到高带宽的e-mail服务器上，将简单的信息传递到不同的地址。SMTP服务器（尤其是sendmail）是进入系统的最常用方法之一，因为它们必须完整的暴露于Internet且邮件的路由是复杂的（暴露+复杂=弱点）。

  53 DNSHacker或crackers可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其它通讯。因此防火墙常常过滤或记录53端口。 需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种方法穿透防火墙。

  67和68 Bootp和DHCPUDP上的Bootp/DHCP：通过DSL和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”（man-in-middle）攻击。客户端向68端口（bootps）广播请求配置，服务器向67端口（bootpc）广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。

  69 TFTP(UDP) 许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件，如密码文件。它们也可用于向系统写入文件。

  79 finger Hacker用于获得用户信息，查询*作系统，探测已知的缓冲区溢出错误，回应从自己机器到其它机器finger扫描。

  98 linuxconf 这个程序提供linuxboxen的简单管理。通过整合的HTTP服务器在98端口提供基于Web界面的服务。它已发现有许多安全问题。一些版本setuidroot，信任局域网，在/tmp下建立Internet可访问的文件，LANG环境变量有缓冲区溢出。 此外因为它包含整合的服务器，许多典型的HTTP漏洞可能存在（缓冲区溢出，历遍目录等）

  109 POP2并不象POP3那样有名，但许多服务器同时提供两种服务（向后兼容）。在同一个服务器上POP3的漏洞在POP2中同样存在。

  110 POP3用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个（这意味着Hacker可以在真正登陆前进入系统）。成功登陆后还有其它缓冲区溢出错误。

  111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。常 见RPC服务有：pc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供 服务的特定端口测试漏洞。记住一定要记录线路中的daemon, IDS, 或sniffer，你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。

  113 Ident auth .这是一个许多机器上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多机器的信息（会被Hacker利用）。但是它可作为许多服务的记录器，尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，你将会看到许多这个端口的连接请求。记住，如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回T，着将回停止这一缓慢的连接。

  119 NNTP news新闻组传输协议，承载USENET通讯。当你链接到诸如：news:p.security.firewalls/. 的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送spam。

  135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end- point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用 机器上的end-point mapper注册它们的位置。远端客户连接到机器时，它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如：这个机器上运 行Exchange Server吗？是什么版本？ 这个端口除了被用来查询服务（如使用epdump）还可以被用于直接攻击。有一些DoS攻击直接针对这个端口。

  137 NetBIOS name service nbtstat (UDP)这是防火墙管理员最常见的信息，请仔细阅读文章后面的NetBIOS一节 139 NetBIOS　File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。 大量针对这一端口始于1999，后来逐渐变少。2000年又有回升。一些VBS（IE5 VisualBasicScripting）开始将它们自己拷贝到这个端口，试图在这个端口繁殖。

  143 IMAP和上面POP3的安全问题一样，许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。记住：一种Linux蠕虫（admw0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP后，这些漏洞变得流行起来。Morris蠕虫以后这还是第一次广泛传播的蠕虫。这一端口还被用于IMAP2，但并不流行。 已有一些报道发现有些0到143端口的攻击源于脚本。

  161 SNMP(UDP)入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中，通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。 SNMP包可能会被错误的指向你的网络。Windows机器常会因为错误配置将HP JetDirect rmote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名，你会看见这种包在子网内广播（cable modem, DSL）查询sysName和其它信息。

  162 SNMP trap 可能是由于错误配置。

  177 xdmcp 许多Hacker通过它访问X-Windows控制台，它同时需要打开6000端口。

  513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供了很有趣的信息。

  553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN，你将会看到这个端口的广播。CORBA是一种面向对象的RPC（remote procedure call）系统。Hacker会利用这些信息进入系统。

  600 Pcserver backdoor 请查看1524端口一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal.

  635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的，但基于TCP 的mountd有所增加（mountd同时运行于两个端口）。记住，mountd可运行于任何端口（到底在哪个端口，需要在端口111做portmap查询），只是Linux默认为635端口，就象NFS通常运行于2049端口1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络，它们请求*作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点，你可以重启机器，打开Telnet，再打开一个窗口运行“natstat -a”，你将会看到Telnet被分配1024端口。请求的程序越多，动态端口也越多。*作系统分配的端口将逐渐变大。再来一遍，当你浏览Web页时用“netstat”查看，每个Web页需要一个新端口。

1080 SOCKS 这一协议以管道方式穿过防火墙，允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置，它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于Internet上的计算机，从而掩饰他们对你的直接攻击。WinGate是一种常见的Windows个人防火墙，常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。

  1114 SQL 系统本身很少扫描这个端口，但常常是sscan脚本的一部分。

  1524 ingreslock后门 许多攻击脚本将安装一个后门Sh*ll 于这个端口（尤其是那些针对Sun系统中Sendmail和RPC服务漏洞的脚本，如statd,ttdbserver和cmsd）。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图，很可能是上述原因。你可以试试Telnet到你的机器上的这个端口，看看它是否会给你一个Sh*ll 。连接到600/pcserver也存在这个问题。

  2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口，可以闭开portmapper直接测试这个端口。

  3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口：
000/8001/8080/8888。扫描这一端口的另一原因是：用户正在进入聊天室。其它用户（或服务器本身）也会检验这个端口以确定用户的机器是否支持代理。

  5632 pcAnywere你会看到很多这个端口的扫描，这依赖于你所在的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能得代理（译者：指agent而不是proxy）。Hacker/cracker也会寻找开放这种服务的机器，所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫描。

  6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器，而被控机器挂断时你将会看到这种情况。因此当另一人以此IP拨入时，他们将会看到持续的，在这个端口的连接企图。（译者：即看到防火墙报告这一端口的连接企图时，并不表示你已被Sub-7控制。）

  6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置13223 PowWow PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户，从另一个聊天者手中“继承”了IP地址这种情况就会发生：好象很多不同的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四个字节。

  17027 Conducent这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。 Conducent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验：阻断这一外向连接不会有任何问题，但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载： 机器会不断试图解析DNS名─ads.conducent.com，即IP地址216.33.210.40 ；
216.33.199.77 ；216.33.199.80 ；216.33.199.81；216.33.210.41。（译者：不知NetAnts使用的Radiate是否也有这种现象）

  30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。

  31337 Back Orifice “eliteHacker中31337读做“elite”/ei’li:t/（译者：法语，译为中坚力量，精华。即 3=E, 1=L, 7=T）。因此许多后门程序运行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少，其它的 木马程序越来越流行。

  31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马（RAT,Remote Access Trojan）。这种木马包含内置的31790端口扫描器，因此任何31789端口到317890端口的连 接意味着已经有这种入侵。（31789端口是控制连接，317890端口是文件传输连接）

  32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说：早期版本的Solaris（2.5.1之前）将 portmapper置于这一范围内，即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。 扫描这一范围内的端口不是为了寻找portmapper，就是为了寻找可被攻击的已知的RPC服务。
33434~33600 traceroute 如果你看到这一端口范围内的UDP数据包（且只在此范围之内）则可能是由于traceroute。

  41508 Inoculan早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。参见
http://www.circlemud.org/~jelson/software/udpsend.html
http://www.ccd.bnl.gov/nss/tips/inoculan/index.html

  端口1~1024是保留端口，所以它们几乎不会是源端口。但有一些例外，例如来自NAT机器的连接。 常看见紧接着1024的端口，它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。

Server Client 服务描述
1-5/tcp 动态 FTP 1-5端口意味着sscan脚本
20/tcp 动态 FTP FTP服务器传送文件的端口
53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连接。
123 动态 S/NTP 简单网络时间协议（S/NTP）服务器运行的端口。它们也会发送到这个端口的广播。
27910~27961/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。
61000以上 动态 FTP 61000以上的端口可能来自Linux NAT服务器

常用端口对照
端口：0
服务：Reserved
说明：通常用于分析*作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描，使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。

端口：1
服务：tcpmux
说明：这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者，默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户，如：IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。

端口：7
服务：Echo
说明：能看到许多人搜索Fraggle放大器时，发送到X.X.X.0和X.X.X.255的信息。

端口：19
服务：Character Generator
说明：这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。

端口：21
服务：FTP
说明：FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。

端口：22
服务：Ssh
说明：PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用RSAREF库的版本就会有不少的漏洞存在。

端口：23
服务：Telnet
说明：远程登录，入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的*作系统。还有使用其他技术，入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。

端口：25
服务：SMTP
说明：SMTP服务器所开放的端口，用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。

端口：31
服务：MSG Authentication
说明：木马Master Paradise、Hackers Paradise开放此端口。

端口：42
服务：WINS Replication
说明：WINS复制

端口：53
服务：Domain Name Server（DNS）
说明：DNS服务器所开放的端口，入侵者可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其他的通信。因此防火墙常常过滤或记录此端口。

端口：67
服务：Bootstrap Protocol Server
说明：通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们，分配一个地址把自己作为局部路由器而发起大量中间人（man-in-middle）攻击。客户端向68端口广播请求配置，服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。

端口：69
服务：Trival File Transfer
说明：许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。

端口：79
服务：Finger Server
说明：入侵者用于获得用户信息，查询*作系统，探测已知的缓冲区溢出错误，回应从自己机器到其他机器Finger扫描。

端口：80
服务：HTTP
说明：用于网页浏览。木马Executor开放此端口。

端口：99
服务：Metagram Relay
说明：后门程序ncx99开放此端口。

端口：102
服务：Message transfer agent(MTA)-X.400 over TCP/IP
说明：消息传输代理。

端口：109
服务：Post Office Protocol -Version3
说明：POP3服务器开放此端口，用于接收邮件，客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。

端口：110
服务：SUN公司的RPC服务所有端口
说明：常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等

端口：113
服务：Authentication Service
说明：这是一个许多计算机上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器，尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，将会看到许多这个端口的连接请求。记住，如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。

端口：119
服务：Network News Transfer Protocol
说明：NEWS新闻组传输协议，承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制，只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送SPAM。

端口：135
服务：Location Service
说明：Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时，它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗？什么版本？还有些DOS攻击直接针对这个端口。

端口：137、138、139
服务：NETBIOS Name Service
说明：其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。

端口：143
服务：Interim Mail Access Protocol v2
说明：和POP3的安全问题一样，许多IMAP服务器存在有缓冲区溢出漏洞。记住：一种LINUX蠕虫（admv0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后，这些漏洞变的很流行。这一端口还被用于IMAP2，但并不流行。

端口：161
服务：SNMP
说明：SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中，通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。

端口：177
服务：X Display Manager Control Protocol
说明：许多入侵者通过它访问X-windows*作台，它同时需要打开6000端口。

端口：389
服务：LDAP、ILS
说明：轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。

端口：443
服务：Https
说明：网页浏览端口，能提供加密和通过安全端口传输的另一种HTTP。

端口：456
服务：[NULL]
说明：木马HACKERS PARADISE开放此端口。

端口：513
服务：Login,remote login
说明：是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。

端口：544
服务：[NULL]
说明：kerberos kshell

端口：548
服务：Macintosh,File Services(AFP/IP)
说明：Macintosh,文件服务。

端口：553
服务：CORBA IIOP （UDP）
说明：使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。

端口：555
服务：DSF
说明：木马PhAse1.0、Stealth Spy、IniKiller开放此端口。

端口：568
服务：Membership DPA
说明：成员资格 DPA。

端口：569
服务：Membership MSN
说明：成员资格 MSN。

端口：635
服务：mountd
说明：Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的，但是基于TCP的mountd有所增加（mountd同时运行于两个端口）。记住mountd可运行于任何端口（到底是哪个端口，需要在端口111做portmap查询），只是Linux默认端口是635，就像NFS通常运行于2049端口。

端口：636
服务：LDAP
说明：SSL（Secure Sockets layer）

端口：666
服务：Doom Id Software
说明：木马Attack FTP、Satanz Backdoor开放此端口

端口：993
服务：IMAP
说明：SSL（Secure Sockets layer）

端口：1001、1011
服务：[NULL]
说明：木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。

端口：1024
服务：Reserved
说明：它是动态端口的开始，许多程序并不在乎用哪个端口连接网络，它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器，打开Telnet，再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。

端口：1025、1033
服务：1025：network blackjack 1033：[NULL]
说明：木马netspy开放这2个端口。

端口：1080
服务：SOCKS
说明：这一协议以通道方式穿过防火墙，允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置，它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误，在加入IRC聊天室时常会看到这种情况。
端口：1170
服务：[NULL]
说明：木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。

端口：1234、1243、6711、6776
服务：[NULL]
说明：木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。

端口：1245
服务：[NULL]
说明：木马Vodoo开放此端口。

端口：1433
服务：SQL
说明：Microsoft的SQL服务开放的端口。

端口：1492
服务：stone-design-1
说明：木马FTP99CMP开放此端口。

端口：1500
服务：RPC client fixed port session queries
说明：RPC客户固定端口会话查询

端口：1503
服务：NetMeeting T.120
说明：NetMeeting T.120

端口：1524
服务：ingress
说明：许多攻击脚本将安装一个后门SHELL于这个端口，尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图，很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口，看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。

端口：1600
服务：issd
说明：木马Shivka-Burka开放此端口。

端口：1720
服务：NetMeeting
说明：NetMeeting H.233 call Setup。

端口：1731
服务：NetMeeting Audio Call Control
说明：NetMeeting音频调用控制。

端口：1807
服务：[NULL]
说明：木马SpySender开放此端口。

端口：1981
服务：[NULL]
说明：木马ShockRave开放此端口。

端口：1999
服务：cisco identification port
说明：木马BackDoor开放此端口。

端口：2000
服务：[NULL]
说明：木马GirlFriend 1.3、Millenium 1.0开放此端口。

端口：2001
服务：[NULL]
说明：木马Millenium 1.0、Trojan Cow开放此端口。

端口：2023
服务：xinuexpansion 4
说明：木马Pass Ripper开放此端口。

端口：2049
服务：NFS
说明：NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。

端口：2115
服务：[NULL]
说明：木马Bugs开放此端口。

端口：2140、3150
服务：[NULL]
说明：木马Deep Throat 1.0/3.0开放此端口。

端口：2500
服务：RPC client using a fixed port session replication
说明：应用固定端口会话复制的RPC客户

端口：2583
服务：[NULL]
说明：木马Wincrash 2.0开放此端口。

端口：2801
服务：[NULL]
说明：木马Phineas Phucker开放此端口。

端口：3024、4092
服务：[NULL]
说明：木马WinCrash开放此端口。

端口：3128
服务：squid
说明：这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。

端口：3129
服务：[NULL]
说明：木马Master Paradise开放此端口。

端口：3150
服务：[NULL]
说明：木马The Invasor开放此端口。

端口：3210、4321
服务：[NULL]
说明：木马SchoolBus开放此端口

端口：3333
服务：dec-notes
说明：木马Prosiak开放此端口

端口：3389
服务：超级终端
说明：WINDOWS 2000终端开放此端口。

端口：3700
服务：[NULL]
说明：木马Portal of Doom开放此端口

端口：3996、4060
服务：[NULL]
说明：木马RemoteAnything开放此端口

端口：4000
服务：QQ客户端
说明：腾讯QQ客户端开放此端口。

端口：4092
服务：[NULL]
说明：木马WinCrash开放此端口。

端口：4590
服务：[NULL]
说明：木马ICQTrojan开放此端口。

端口：5000、5001、5321、50505
服务：[NULL]
说明：木马blazer5开放5000端口。木马Sockets de Troie开放5000、5001、5321、50505端口。

端口：5400、5401、5402
服务：[NULL]
说明：木马Blade Runner开放此端口。

端口：5550
服务：[NULL]
说明：木马xtcp开放此端口。

端口：5569
服务：[NULL]
说明：木马Robo-Hack开放此端口。

端口：5632
服务：pcAnywere
说明：有时会看到很多这个端口的扫描，这依赖于用户所在的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能的代理（这里的代理是指agent而不是proxy）。入侵者也会寻找开放这种服务的计算机。，所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口22的UDP数据包。

端口：5742
服务：[NULL]
说明：木马WinCrash1.03开放此端口。

端口：6267
服务：[NULL]
说明：木马广外女生开放此端口。

端口：6400
服务：[NULL]
说明：木马The tHing开放此端口。

端口：6670、6671
服务：[NULL]
说明：木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。

端口：6883
服务：[NULL]
说明：木马DeltaSource开放此端口。

端口：6969
服务：[NULL]
说明：木马Gatecrasher、Priority开放此端口。

端口：6970
服务：RealAudio
说明：RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。

端口：7000
服务：[NULL]
说明：木马Remote Grab开放此端口。

端口：7300、7301、7306、7307、7308
服务：[NULL]
说明：木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口。

端口：7323
服务：[NULL]
说明：Sygate服务器端。

端口：7626
服务：[NULL]
说明：木马Giscier开放此端口。

端口：7789
服务：[NULL]
说明：木马ICKiller开放此端口。

端口：8000
服务：OICQ
说明：腾讯QQ服务器端开放此端口。

端口：8010
服务：Wingate
说明：Wingate代理开放此端口。

端口：8080
服务：代理端口
说明：WWW代理开放此端口。

端口：9400、9401、9402
服务：[NULL]
说明：木马Incommand 1.0开放此端口。

端口：9872、9873、9874、9875、10067、10167
服务：[NULL]
说明：木马Portal of Doom开放此端口。

端口：9989
服务：[NULL]
说明：木马iNi-Killer开放此端口。

端口：11000
服务：[NULL]
说明：木马SennaSpy开放此端口。

端口：11223
服务：[NULL]
说明：木马Progenic trojan开放此端口。

端口：12076、61466
服务：[NULL]
说明：木马Telecommando开放此端口。

端口：12223
服务：[NULL]
说明：木马Hack'99 KeyLogger开放此端口。

端口：12345、12346
服务：[NULL]
说明：木马NetBus1.60/1.70、GabanBus开放此端口。

端口：12361
服务：[NULL]
说明：木马Whack-a-mole开放此端口。

端口：13223
服务：PowWow
说明：PowWow是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个TCP端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了IP地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用OPNG作为其连接请求的前4个字节。

端口：16969
服务：[NULL]
说明：木马Priority开放此端口。

端口：17027
服务：Conducent
说明：这是一个外向连接。这是由于公司内部有人安装了带有Conducent"adbot"的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。

端口：19191
服务：[NULL]
说明：木马蓝色火焰开放此端口。

端口：20000、20001
服务：[NULL]
说明：木马Millennium开放此端口。

端口：20034
服务：[NULL]
说明：木马NetBus Pro开放此端口。

端口：21554
服务：[NULL]
说明：木马GirlFriend开放此端口。

端口：22222
服务：[NULL]
说明：木马Prosiak开放此端口。

端口：23456
服务：[NULL]
说明：木马Evil FTP、Ugly FTP开放此端口。

端口：26274、47262
服务：[NULL]
说明：木马Delta开放此端口。

端口：27374
服务：[NULL]
说明：木马Subseven 2.1开放此端口。

端口：30100
服务：[NULL]
说明：木马NetSphere开放此端口。

端口：30303
服务：[NULL]
说明：木马Socket23开放此端口。

端口：30999
服务：[NULL]
说明：木马Kuang开放此端口。

端口：31337、31338
服务：[NULL]
说明：木马BO(Back Orifice)开放此端口。另外木马DeepBO也开放31338端口。

端口：31339
服务：[NULL]
说明：木马NetSpy DK开放此端口。

端口：31666
服务：[NULL]
说明：木马BOWhack开放此端口。

端口：33333
服务：[NULL]
说明：木马Prosiak开放此端口。

端口：34324
服务：[NULL]
说明：木马Tiny Telnet Server、BigGluck、TN开放此端口。

端口：40412
服务：[NULL]
说明：木马The Spy开放此端口。

端口：40421、40422、40423、40426、
服务：[NULL]
说明：木马Masters Paradise开放此端口。

端口：43210、54321
服务：[NULL]
说明：木马SchoolBus 1.0/2.0开放此端口。

端口：44445
服务：[NULL]
说明：木马Happypig开放此端口。

端口：50766
服务：[NULL]
说明：木马Fore开放此端口。

端口：53001
服务：[NULL]
说明：木马Remote Windows Shutdown开放此端口。

端口：65000
服务：[NULL]
说明：木马Devil 1.03开放此端口。

端口：88
说明：Kerberos krb5。另外TCP的88端口也是这个用途。

端口：137
说明：SQL Named Pipes encryption over other protocols name lookup(其他协议名称查找上的SQL命名管道加密技术)和SQL RPC encryption over other protocols name lookup(其他协议名称查找上的SQL RPC加密技术)和Wins NetBT name service(WINS NetBT名称服务)和Wins Proxy都用这个端口。

端口：161
说明：Simple Network Management Protocol(SMTP)（简单网络管理协议）。

端口：162
说明：SNMP Trap（SNMP陷阱）

端口：445
说明：Common Internet File System(CIFS)（公共Internet文件系统）

端口：464
说明：Kerberos kpasswd(v5)。另外TCP的464端口也是这个用途。

端口：500
说明：Internet Key Exchange(IKE)（Internet密钥交换）

端口：1645、1812
说明：Remot Authentication Dial-In User Service(RADIUS)authentication(Routing and Remote Access)(远程认证拨号用户服务)

端口：1646、1813
说明：RADIUS accounting(Routing and Remote Access)(RADIUS记帐（路由和远程访问）)

端口：1701
说明：Layer Two Tunneling Protocol(L2TP)(第2层隧道协议)

端口：1801、3527
说明：Microsoft Message Queue Server(Microsoft消息队列服务器)。还有TCP的135、1801、2101、2103、2105也是同样的用途。

端口：2504
说明：Network Load Balancing(网络平衡负荷)

　　XP默认情况下不开启guest账户，因此些为了其他人能浏览你的计算机，请启用guest账户。同时，为了安全请为guest设置密码或相应的权限。当然，也可以为每一台机器设置一个用户名和密码以便计算机之间的互相访问。

　　2.检查是否拒绝Guest用户从网络访问本机

　　当你开启了guest账户却还是根本不能访问时，请检查设置是否为拒绝guest从网络访问计算机，因为XP默认是不允许guest从网络登录的，所以即使开了guest也一样不能访问。在开启了系统Guest用户的情况下解除对Guest账号的限制，点击“开始→运行”，在“运行”对话框中输入“GPEDIT.MSC”，打开组策略编辑器，依次选择“计算机配置→Windows设置→安全设置→本地策略→用户权利指派”，双击“拒绝从网络访问这台计算机”策略，删除里面的“GUEST”账号。这样其他用户就能够用Guest账号通过网络访问使用Windows XP系统的计算机了。

　　3.改网络访问模式

　　XP默认是把从网络登录的所有用户都按来宾账户处理的，因此即使管理员从网络登录也只具有来宾的权限，若遇到不能访问的情况，请尝试更改网络的访问模式。打开组策略编辑器，依次选择“计算机配置→Windows设置→安全设置→本地策略→安全选项”，双击“网络访问：本地账号的共享和安全模式”策略，将默认设置“仅来宾—本地用户以来宾身份验证”，更改为“经典：本地用户以自己的身份验证”。

　　这样即使不开启guest，你也可以通过输入本地的账户和密码来登录你要访问的计算机，本地的账户和密码为你要访问的计算机内已经的账户和密码。若访问网络时需要账户和密码，可以通过输入你要访问的计算机内已经的账户和密码来登录。

　　若不对访问模式进行更改，也许你连输入用户名和密码都办不到，\\computername\guest为灰色不可用。即使密码为空，在不开启guest的情况下，你也不可能点确定登录。改成经典模式，最低限度可以达到像2000里没有开启guest账户情况时一样，可以输入用户名和密码来登录你要进入的计算机。也许你还会遇到一种特殊的情况，请看接下来的。

　　4.一个值得注意的问题

　　我们可能还会遇到另外一个问题，即当用户的口令为空时，即使你做了上述的所有的更改还是不能进行登录，访问还是会被拒绝。这是因为，在系统“安全选项”中有“账户：使用空白密码的本地账户只允许进行控制台登录”策略默认是启用的，根据Windows XP安全策略中拒绝优先的原则，密码为空的用户通过网络访问使用Windows XP的计算机时便会被禁止。我们只要将这个策略停用即可解决问题。在安全选项中，找到“使用空白密码的本地账户只允许进行控制台登录”项，停用就可以，否则即使开了guest并改成经典模式还是不能登录。经过以上的更改基本就可以访问了，你可以尝试选择一种适合你的方法。下面在再补充点其它可能会遇到的问题。

　　5.网络邻居不能看到计算机

　　可能经常不能在网络邻居中看到你要访问的计算机，除非你知道计算机的名字或者IP地址，通过搜索或者直接输入\\computername或\\IP。请按下面的操作解决：启动“计算机浏览器”服务。“计算机浏览器服务”在网络上维护一个计算机更新列表，并将此列表提供给指定为浏览器的计算机。如果停止了此服务，则既不更新也不维护该列表。

　　137/UDP--NetBIOS名称服务器，网络基本输入/输出系统(NetBIOS)名称服务器(NBNS)协议是TCP/IP上的NetBIOS(NetBT)协议族的一部分，它在基于NetBIOS名称访问的网络上提供主机名和地址映射方法。

　　138/UDP--NetBIOS数据报，NetBIOS数据报是TCP/IP上的NetBIOS(NetBT)协议族的一部分，它用于网络登录和浏览。

　　139/TCP--NetBIOS会话服务，NetBIOS会话服务是TCP/IP上的NetBIOS(NetBT)协议族的一部分，它用于服务器消息块(SMB)、文件共享和打印。请设置防火墙开启相应的端口。一般只要在防火墙中允许文件夹和打印机共享服务就可以了。

　　6.关于共享模式

　　对共享XP默认只给予来宾权限或选择允许用户更改“我的文件”。Windows 2000操作系统中用户在设置文件夹的共享属性时操作非常简便，只需用鼠标右击该文件夹并选择属性，就可以看到共享设置标签。而在Windows XP系统设置文件夹共享时则比较复杂，用户无法通过上述操作看到共享设置标签。具体的修改方法如下：打开“我的电脑”中的“工具”，选择“文件夹属性”，调出“查看”标签，在“高级设置”部分滚动至最底部将“简单文件共享(推荐)”前面的选择取消，另外如果选项栏里还有“Mickey Mouse”项也将其选择取消。这样修改后用户就可以象使用Windows 2000一样对文件夹属性进行方便修改了。

　　7.关于用网络邻居访问不响应或者反应慢的问题

　　在WinXP和Win2000中浏览网上邻居时系统默认会延迟30秒，Windows将使用这段时间去搜寻远程计算机是否有指定的计划任务（甚至有可能到Internet中搜寻）。如果搜寻时网络时没有反应便会陷入无限制的等待，那么10多分钟的延迟甚至报错就不足为奇了。下面是具体的解决方法。

　　A.关掉WinXP的计划任务服务（Task Scheduler）

　　可以到“控制面板/管理工具/服务”中打开“Task Scheduler”的属性对话框，单击“停止”按钮停止该项服务，再将启动类型设为“手动”，这样下次启动时便不