荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: igmp (igmp), 信区: Security
标 题: 多功能的Netstat命令
发信站: 荔园晨风BBS站 (Wed Jun 27 22:57:29 2001), 转信
朋友们常会问着样的问题,怎样查别人的IP?怎样查自己的IP呢?我系统的哪些段
口是开的?我怎样知道我的系统是否被安装了木马程序?
其实这些问题(还有一些相似的问题)有一个简单的答案:Netstat命令!
Netstat可以在MSDOS命令窗口下打开。
C:\cd windows
C:\windows>
大多数Windows用户的默认目录是Windows目录,如果不是,上面的命令将打开
Windows目录。
好,在我们继续之前,我们要先知道Netstat是到底用来做什么的,它可以用来获
得你的系统网络连接的信息(使用的端口,在使用的协议等 ),收到和发出的数
据,被连接的远程系统的端口,Netstat在内存中读取所有的网络信息。
在Internet RFC标准中,Netstat的定义是:
“Netstat是在内核中访问网络及相关信息的程序,它能提供TCP连接,TCP和UDP监
听,进程内存管理的相关报告”。
现在我们在对Netstat有了一定的了解之后就可以来使用它了,如果你打开了DOS窗
口,你可以用以下命令来获取有关Netstat的帮助信息。
C:\WINDOWS>netstat /?
-a Displays all connections and listening ports. (Server-side
connections are normally not shown).
-e Displays Ethernet statistics. This may be combined with the -s
option.
-n Displays addresses and port numbers in numerical form.
-p proto Shows connections for the protocol specified by proto; proto
may be tcp or udp. If used with the -s option to display per-protocol
statistics, proto may be tcp, udp, or ip.
-r Displays the contents of the routing table.
-s Displays per-protocol statistics. By default, statistics are shown
for TCP, UDP and IP; the -p
option may be used to specify a subset of the default.interval
Redisplays selected statistics, pausing interval seconds between each
display. Press CTRL+C to stop redisplaying statistics. If omitted,
netstat will print the current configuration information once.
以上的信息仅仅是个参考,对于好奇心很强的您来说,是远远不够的。
那好,让我们试试每个命令并查看结果,用来理解当我们执行命令后发生了什么,
显示出的信息是什么意思?
首先,我们使用Netstat的-a参数命令。
-a参数用来显示在本地机器上的外部连接,它也显示我们远程所连接的系统,本地
和远程系统连接时使用的端口,和本地和远程系统连接的状态。(type and state
)
例子:
C:\windows>netstat -a
Active Connections
Proto Local Address Foreign Address State
TCP ankit:1031 dwarfie.box.com:ftp ESTABLISHED
TCP ankit:1036 dwarfie.box.com:ftp-data TIME_WAIT
TCP ankit:1043 banners.egroups.com:80 FIN_WAIT_2
TCP ankit:1045 mail2.mtnl.net.in:pop3 TIME_WAIT
TCP ankit:1052 zztop.box.com:80 ESTABLISHED
TCP ankit:1053 mail2.mtnl.net.in:pop3 TIME_WAIT
UDP ankit:1025 *:*
UDP ankit:nbdatagram *:*
我们有其中一行来讲解:
Proto Local Address Foreign Address State
TCP ankit:1031 dwarfie.box.com:ftp ESTABLISHED
协议(Proto):TCP(是否用详细讲解,请来信)
本地机器名(Local Address):ankit(这个是您在安装系统时自设的,本地打开
并用于连接的端口:1031)
远程机器名(Foreign Address):dwarfie.box.com
远程端口:ftp
状态:ESTABLISHED
-a参数常用于获得你的本地系统开放的端口,用它您可以自己检查你的系统上有没
有被安装木马(要说一下:有很多好程序用来检测木马,但你的目的是想成为
hacker,手工检测要比只按一下“scan”按钮好些----仅个人观点)。如果您
Netstat你自己的话,发现下面的信息:
Port 12345(TCP) Netbus
Port 31337(UDP) Back Orifice
祝贺!您中了最常见的木马(我好想在废话啊~)
如果你需要木马列表的话,去国内的H站找找,我也有的,您要?
*****************************************************************
#一些原理:也许你有这样的问题:“在机器名后的端口号代表什么?
例子:ankit:1052
小于1024的端口通常运行一些网络服务,大于1024的端口用来与远程机器建立连接
,比如,你的浏览器在建立一个与www.163.com的连接,这时你的机器将打开一个
随意的但大于1024的端口用于连接163的服务器
--
小小人物
没有过去,没有将来
只有你与我
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.43.46]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店