COMANDOS IP BSICOS NO WINDOWS

ATENO! Esta dica foi elaborada pela Equipe InformtiKa, e est sendo oferecida GRA-
TUITAMENTE! No se trata de apostila de curso, ou coisa semelhante, mas de uma mera gen-
tileza, uma cortesia que oferecemos aos nossos colegas de profisso, e aos usurios de infor-
mtica em toda a parte!... Estamos dividindo com voc um pouco do nosso conhecimento, e se
gostar, indique o nosso website e visite-o mais vezes!

E caso voc acredite que possa colaborar, compartilhando algum conhecimento prtico, visite a
nossa pgina web, na parte de dicas (www.informatika.inf.br/dicas.htm), e informe-se sobre
como participar! Colabore!

Agradecemos seu interesse! www.informatika.inf.br.

Apresentamos aqui alguns comandos bsicos para profissionais de redes de computadores. No

inserimos todos, mas apenas aqueles mais utilizados. So comandos que permitem obter acesso a
algumas informaes e recursos tanto no computador local, quanto na rede. Para tirar melhor
proveito desta dica altamente recomendvel que o leitor possua conhecimentos mnimos sobre o
funcionamento do Protocolo TCP/IP.

Lembretes importantes: todos os comandos aqui mostrados devero ser digitados no prompt de
comando (ou prompt do MS-DOS) do Windows. Tambm necessrio que o Protocolo TCP/IP
esteja instalado no sistema operacional.

TRACERT
O Tracert, ou Traar Rota, um utilitrio de redes do Windows que vem junto com o pacote do
Winsock. muito comum, quando se possui um Firewall ou anti-trojan instalado, receber mensa-
gens como (exemplo): tentativa de invaso pela porta xxxx do IP nmero
xxx.xxx.xxx.xxx e no saber qual atitude tomar. O Tracert permite que voc saiba de
qual provedor est vindo a tentativa de invaso, e, assim, possa tomar alguma providncia.

Para isso, digite o seguinte comando na janela do MS-DOS: tracert [IP do atacante no formato
XXX.XXX.XXX.XXX ] (ou nome do host do atacante) e espere que a rota seja totalmente traada.

Ex.: tracert 127.0.0.1 (onde 127.0.0.1 a sua prpria placa da rede)

A resposta dever ser:

Rastreando a rota para localhost [127.0.0.1]

com no mximo 30 saltos:

1 <10ms 1ms <10ms localhost [127.0.0.1]

rastreamento concludo.

LED Informtica Ltda.

e-Mail: negocios@informatika.inf.br - Website: www.informatika.inf.br
O utilitrio de traar rota do Windows serve para determinar a localizao de um IP desconhecido
ou a localizao de uma mquina ou host, cujo IP desconhecido, mas seu nome no.

Ex.: Traar uma rota de sua mquina at um site qualquer. O IP, neste caso, desconhecido, mas
o nome do host no. Ento para descobrir a localizao exata de um determinado site, bastaria
digitar o comando:

tracert www.site-que-deseja-descobrir.com.br

O IP que aparece entre colchetes o IP do host procurado (veja o crculo vermelho menor, na
ilustrao abaixo). Neste caso, o IP entre colchetes, da ultima linha do rastreamento, corresponde
a um dos servidores do site-que-deseja-descobrir onde as pginas esto hospedadas.

Da mesma forma que localizamos o servidor do site desejado, podemos localizar o servidor do
provedor de acesso a Internet do invasor. Normalmente as ltimas linhas contero o provvel no-
me do provedor de acesso do invasor (veja o crculo vermelho maior, sobre a ilustrao acima).
Sabendo o local de onde partiu o ataque, pode-se enviar um e-mail ao provedor passando-lhe o
nmero do IP e o mtodo de invaso tentado. Alguns provedores de acesso respondem ao e-mail
prometendo tomar uma atitude a respeito. Uma das formas de se saber se o nome que voc en-
controu o nome de um provedor de acesso digitando o endereo:

www.nomedoprovedor.com.br

Por exemplo, se o nome que apareceu foi servidor_01.provedor-dos-invasores.com.br, ento o

nome que voc deve tentar www.provedor-dos-invasores.com.br . Depois de ter obtido a loca-
lizao do ataque (o provedor do atacante), o que voc dever fazer entrar no site do provedor
(www.provedor-dos-invasores.com.br) e procurar o e-mail do responsvel pelo provedor e recla-
mar. Geralmente o e-mail :

webmaster@provedor-dos-invasores.com.br

ou

abuse@provedor-dos-invasores.com.br

Ou ainda, procure "contatos" na pgina.

LED Informtica Ltda.

e-Mail: negocios@informatika.inf.br - Website: www.informatika.inf.br
Algumas vezes o comando do tracert no consegue chegar ao destino devido distncia do
mesmo; portanto, caso queira saber como configurar melhor o tracert, ou como sua sintaxe de
funcionamento, digite (no prompt do DOS):

tracert /?

OBSERVAO 1: Caso voc tenha digitado o endereo e apareceu como resposta somente duas
ou trs rotas, isto significa que o provvel atacante est conectado no mesmo provedor em que
voc est conectado.

OBSERVAO 2: Caso queira apenas descobrir o IP do invasor, uma outra soluo rpida e sim-
ples digitar o seguinte comando:

ping www.site-que-deseja-descobrir.com.br

Veremos mais sobre o comando ping adiante, nesta mesma dica.

LED Informtica Ltda.

e-Mail: negocios@informatika.inf.br - Website: www.informatika.inf.br
NETSTAT
O Netstat uma ferramenta de redes Windows que lhe informa qual a situao atual de sua cone-
xo. Digite netstat. Como resposta dever aparecer uma tabela contendo todas as conexes entre
voc, as pginas da Internet, etc; mas a maior utilidade do Netstat a deteco manual de prov-
veis trojans. Para se detectar um Trojan utilizando o Netstat voc dever, dentro da janela do MS-
DOS do Windows, digitar:

netstat -an | find "porta"

(onde porta o nmero da porta a ser pesquisada)

O utilitrio ir procurar na tabela de conexo, todos os endereos que esto utilizando aquela porta
naquele momento. Ex.: para saber se existe algum servidor do Net Bus 1.x instalado e em funcio-
namento em sua mquina, digite:

netstat -an | find "1234"

Repare que foi inserida apenas a numerao 1234. Isso porque o Netstat far uma busca por to-
das as portas cuja numerao segue o 4. Por exemplo, as portas 12345 e 12346. No caso, essas
so as portas que o Trojan Net Bus 1.x usa para fazer a conexo do invasor ao seu micro. Se ao
digitar o comando nada acontecer, est tudo bem! No h nenhum endereo usando aquela porta.
Mas caso a resposta seja

"TCP xxx.xxx.xxx.xxx:12345 yyy.yyy.yyy.yyy:porta LISTENING"

isto significa que possivelmente existe um Trojan instalado e deve ser removido imediatamente (os
dois IPs devem aparecer). comum, porm, quando existe um anti-trojan instalado no computa-
dor, que apaream as portas de trojans conhecidos em estado LISTENING (escuta). Isto porque
alguns anti-trojans podem abrir as portas que os trojans conhecidos costumam utilizar, para que
possa ser feita a segurana das mesmas. como se tivesse um enorme leo-de-chcara na en-
trada da boate, barrando quem no foi convidado para a festa.

Voc tambm pode fazer essa mesma busca na porta 20034 que usada pelo Net Bus 2.0.

Outro exemplo: descobrir se existe um servidor do SubSeven 2 instalado e funcionando em seu

computador:

netstat -an | find "27374"

OBSERVAO: As portas devem estar entre aspas duplas para o comando funcionar.

LED Informtica Ltda.

e-Mail: negocios@informatika.inf.br - Website: www.informatika.inf.br
NBTSTAT
Exibe as estatsticas de protocolo NetBIOS sobre TCP/IP (NetBT), as tabelas de nomes NetBIOS
dos computadores local e remoto e o cache de nomes NetBIOS. Nbtstat permite uma atualizao
do cache de nomes NetBIOS e dos nomes registrados com o servio de cadastramento na Internet
do Windows (WINS).

O NetBIOS (Network Input/Output System) uma interface para programao de aplicaes distri-
budas. Foi desenvolvido inicialmente pela Sytec, em uma implementao residente numa placa
IBM PC Network. Essa interface foi introduzida pela IBM em 1984, e usada pela Microsoft no sis-
tema operacional de rede MS-Net. O NetBIOS no um protocolo e sim uma interface que fornece
s aplicaes de rede um servio de transmisso orientado conexo, um servio de nomes para
identificar seus usurios na rede e, opcionalmente, um servio de transmisso de datagramas no
confivel.

Nomes NetBIOS em redes Microsoft Windows:

O espao de nomes NetBIOS plano e significa que todos os nomes dentro do espao de nomes
no podem ser duplicados. Eles usam at 16 caracteres em seu comprimento. Os recursos so
identificados por nomes que so registrados dinamicamente, quando, os computadores, servios
ou aplicaes entram em ao. Eles podem ser registrados como nico, ou como um grupo. Um
nome NetBIOS usado para localizar um recurso solucionando o seu nome para um endereo IP.

Em redes Microsoft, estaes e servidores permitem especificar os primeiros 15 caracteres de um

nome NetBIOS pelo usurio ou administrador do sistema, mas reserva o dcimo sexto caractere do
nome NetBIOS para indicar um tipo de recurso (00-FF em hexadecimal). Alguns programas popu-
lares de terceiros tambm usam este caractere para identificar e registrar os servios especficos
deles. Um exemplo a seguir, lista nomes de NetBIOS usados atravs de componentes de rede
Microsoft.

Nome nico Servio

computer_name[00h] Servio de estao
computer_name[03h] Servio de mensagem
computer_name[06h] Servio RAS server
computer_name[1Fh] Servio NetDDE
computer_name[20h] Servio de servidor
computer_name[21h] Servio RAS Client
computer_name[BEh] Servio Network Monitor Agent
computer_name[BFh] Servio Network Monitor Application
user_name[03] Servio de mensagem
domain_name[1Dh] Servio de Master browser
domain_name[1Bh] Servio de Domain Master browser

Nome de Grupo Servio

domain_name[00h] Servio Domain name
domain_name[1Ch] Servio Domain controllers
domain_name[1Eh] Servio Browser service elections
\\--__MSBROWSER__[01h] Servio Master browser

Para ver quais nomes um computador registrou, digite o seguinte comando:

LED Informtica Ltda.

e-Mail: negocios@informatika.inf.br - Website: www.informatika.inf.br
 nbtstat n

No Windows 2000 permitido pr-registrar nomes com o servidor de nome depois que o mesmo j
foi iniciado, e, para fazer isto, digite o seguinte comando:

nbtstat RR

Mtodos de Inscrio e Resoluo

A seguir temos alguns mtodos sobre os recursos de nomes NetBIOS em Redes TCP/IP Windows:

1. Inscrio ou pesquisa de estaes

2. Inscrio ou pesquisa de servidores
3. Inscrio ou pesquisa de domnio ou grupo de trabalhos
4. Inscrio ou pesquisa de broadcast de sub-rede IP
5. Pesquisa no arquivo LMHOST esttico
6. Pesquisa no arquivo HOST esttico
7. Pesquisa em servidores de DNS

O Tipo de n, quem define a ordem de inscrio e resoluo de nomes NetBIOS. Os ns so

apoiados em cima das seguintes tcnicas:

N B - usa broadcast para inscrio de nome e resoluo.

N P - usa um servidor de nomes NetBIOS(WINS) para inscrio de nome e resoluo.

N M - usa broadcast para inscrio de nome. Para resoluo de nome, tenta broadcast primeiro,
mas passa a usar o n P se no recebe nenhuma resposta.

N H - usa um servidor de nomes NetBIOS (WINS) para inscrio e resoluo. Porm, se nenhum
servidor de nome pode ser localizado, troca para o n B. Continua pesquisando rede atrs de um
servidor de nome ou da inscrio/resoluo em questo, se neste meio tempo acha um servidor de
nome antes de obter a resposta, passa para o n P.

Com base na determinao dos tipos de n do dispositivo da rede, o entendimento prtico da reso-
luo de nomes NetBIOS segue os seguintes passos:

1. Independente do tipo de n, verificado o contedo do cache no nome NetBIOS local, que

pode ser visualizado com o comando nbtstat -c, caso o nome esteja no cache, a resoluo
estar concluda.

2. Caso o nome no esteja no cache, este passo depender do tipo de n vigente. Para sis-
temas com configuraes H e P, o servidor WINS configurado ser pesquisado. J para os
sistemas com configuraes M e B, ser enviado uma solicitao de resoluo via broad-
cast no segmento local.

3. Caso a pesquisa ao servidor WINS falhe, e o broadcast tambm, o n H enviar um broad-

cast no seguimento local para a resoluo do nome, enquanto o n M tentar algum servi-
dor WINS.

4. Caso cada um dos passos acima falhe para o tipo de n especificado, voc poder ainda
configurar os servidores de WINS para utilizar o DNS ou o LMHosts.

LED Informtica Ltda.

e-Mail: negocios@informatika.inf.br - Website: www.informatika.inf.br
 5. Caso todos os passos acima tenham falhado, voc receber uma mensagem avisando que
o caminho da rede no foi encontrado.

Sesses de NetBIOS so estabelecidas entre dois nomes. Por exemplo, quando uma estao
Windows faz uma conexo para acessar arquivos compartilhado em um servidor que usa NetBIOS
em cima do protocolo TCP/IP, a conexo se processa da seguinte forma:

1. O nome NetBIOS resolve o nome transformando em um endereo de IP.

2. O endereo de IP solucionado por um controle de acesso por meio de endereo.

3. Uma conexo de TCP/IP estabelecida da estao para o servidor, usando, a porta TCP
139.

4. A estao envia um pedido de sesso NetBIOS ao nome de servidor em cima da conexo

de TCP/IP. Se o servidor est escutando naquele nome, responde afirmativamente, e uma
sesso estabelecida.

Quando a sesso de NetBIOS estabelecida, a estao e o servidor negociam qual nvel do pro-
tocolo SMB vo usar. Redes Microsoft usam s uma sesso de NetBIOS a qualquer hora entre a
conexo de dois nomes.

NetBIOS Keep-alives usado para verificar se a sesso que a estao e servidor abriram, podem
ser mantidas. Ento, se a estao est fechando, o servidor limpa a conexo e recursos associa-
dos eventualmente ou vice-versa. NetBIOS Keep-alives controlado pelo parmetro SessionKee-
pAlive do registro do Windows.

Datagramas so enviados de um nome para outro em cima do protocolo UDP, na porta 138. O
servio de datagramas pode enviar uma mensagem a um nome nico ou para um nome de grupo.
Nomes de grupo podem solucionar a uma lista de endereos IPs ou uma difuso. nesse mtodo,
que uma nica mensagem, pode ser enviada a um grupo de trabalho ou Domnio Windows.

Para que haja conexo em um recurso da rede usando um nome NetBIOS, normalmente so usa-
dos um dos comandos abaixo:

1) Net use * \\NomeNetbios\recurso. (existe a necessidade de resoluo dos nomes NetBIOS).

2) Net use * \\EndereoIP\recurso. (com o nmero IP, a necessidade de resoluo de nomes

NetBIOS j no existe mais, embora o mtodo seja o mesmo).

3) Net use * \\FQDN\recurso. (com FQDN "Nome de domnio completamente qualificado", existe a
necessidade do uso de um DNS, no qual, o nome ser resolvido para um endereo IP. O mtodo,
ainda continua sendo o mesmo).

O utilitrio IPCONFIG imprime a configurao TCP/IP relacionada a mquina. Quando se usa o

parmetro /all, o utilitrio produz um relatrio de configurao detalhado para todas as interfaces e
inclui qualquer configurao. Digite o comando abaixo no prompt de comandos:

ipconfig /all
Nota: Esse comando est presente nos Windows 2000, XP e 2003.

LED Informtica Ltda.

e-Mail: negocios@informatika.inf.br - Website: www.informatika.inf.br
ARP
Trata-se de um protocolo que usa broadcast (trfego de difuso) na rede local para resolver um
endereo IP atribudo logicamente em seu hardware ou endereo de camada de controle de aces-
so mdia. Resumindo: uma vez fornecido o endereo IP da mquina de destino, o arp obtm o
endereo fsico da mesma (no caso de redes Ethernet, o endereo fsico o endereo MAC).

O comando arp exibe e modifica as entradas no cache do protocolo de resoluo de endereos,

que contm uma ou mais tabelas que so usadas para armazenar endereos IP e seus endereos
fsicos Ethernet ou Token Ring resolvidos. H uma tabela separada para cada adaptador de rede
Ethernet ou Token Ring instalado no computador. Quando utilizado sem parmetros, o comando
arp exibe informaes de ajuda.

Exemplos:

Para exibir as tabelas do cache arp para todas as interfaces, digite:

arp -a

Para exibir a tabela do cache arp para a interface a que est atribudo o endereo IP 10.1.1.199,
digite:

arp -a -N 10.1.1.199

Para adicionar uma entrada esttica do cache arp que resolva o endereo IP 10.0.0.10 para o en-
dereo fsico 00-E0-00-4F-87-9D, digite:

arp -s 10.0.0.10 00-E0-00-4F-87-9D

Para obter ajuda, digite:

arp /?

LED Informtica Ltda.

e-Mail: negocios@informatika.inf.br - Website: www.informatika.inf.br
IPCONFIG
Este comando exibe todos os valores de configurao de rede TCP/IP e atualiza as configuraes
do protocolo de configurao dinmica de hosts (DHCP) e do sistema de nomes de domnios
(DNS). Quando usado sem parmetros, o ipconfig exibe o endereo IP, a mscara da sub-rede e
o gateway padro para todos os adaptadores.

O comando ipconfig a linha de comando equivalente ao winipcfg, que est disponvel no Win-
dows 95, 98 e ME. Ele muito til em computadores configurados para obter um endereo IP au-
tomaticamente. Isso permite aos usurios determinar quais valores da configurao TCP/IP foram
configurados pelo DHCP, pelo endereamento IP particular automtico (APIPA) ou por uma confi-
gurao alternativa.

Se o nome de adaptador contiver espaos, delimite-o com aspas (isto , "nome do adaptador").
Em nomes de adaptadores, ipconfig d suporte ao uso do caractere curinga asterisco (*) para
especificar adaptadores com nomes contendo uma seqncia de caracteres especificada no incio
ou em qualquer posio. Por exemplo, Local* encontra todos os adaptadores que iniciam com a
seqncia de caracteres Local e *Con* encontra todos os adaptadores que contenham a seqn-
cia Con.

Esse comando s estar disponvel se o Protocolo Internet (TCP/IP) estiver instalado como um
componente nas propriedades de um adaptador de rede em Conexes de Rede.

Exemplos:

Para exibir a configurao TCP/IP bsica de todos os adaptadores, digite:

ipconfig

Para exibir a configurao TCP/IP completa de todos os adaptadores, digite:

ipconfig /all

Para renovar a configurao de um endereo IP atribudo pelo DHCP somente para o adaptador
Conexo local, digite:

ipconfig /renew "Conexo local"

Para liberar o cache do DNS Resolver ao solucionar problemas de nomes DNS, digite:

ipconfig /flushdns

Para exibir a ID de classe DHCP para todos os adaptadores com nomes iniciados com Local, digi-
te:

ipconfig /showclassid Local*

Para definir a ID de classe DHCP para o adaptador Conexo local como TESTE, digite:

ipconfig /setclassid "Conexo local" TESTE

Para obter ajuda, digite:

ipconfig /?

LED Informtica Ltda.

e-Mail: negocios@informatika.inf.br - Website: www.informatika.inf.br
PING
Este comando verifica a conectividade de nvel IP com outro computador TCP/IP atravs do envio
de mensagens de solicitao de eco de protocolo ICMP. A confirmao das mensagens de respos-
ta exibida juntamente com o tempo de ida e volta. Ping o principal comando TCP/IP usado
para resolver problemas de conectividade, acesso e resoluo de nomes. Usado sem parmetros,
ping exibe a ajuda.

As duas sintaxes mais utilizadas, so:

ping endereo_IP - ou - ping www.site-qualquer.com.br

Especifica o destino, que identificado pelo endereo IP ou pelo nome do host.

ping endereo_IP -t
O parmetro -t especifica que o ping continue enviando mensagens de solicitao de eco ao
destino at que seja interrompido. Para interromper e exibir estatsticas, pressione CTRL-BREAK.
Para interromper e sair do ping, pressione CTRL-C.

Para obter ajuda, digite:

ping /?

Equipe InformtiKa.

LED Informtica Ltda.

e-Mail: negocios@informatika.inf.br - Website: www.informatika.inf.br