netstat 介绍
netstat -an及其結(jié)果分析
netstat, 結(jié)果
前言:
這幾天由于病毒的日益流行,許多朋友開始對(duì)防毒和防黑重視起來,裝了不少的
病毒或網(wǎng)絡(luò)防火墻。誠然,通過防火墻我們可以得到許多有關(guān)我們計(jì)算機(jī)的信息,不過
windows自帶的netstat更加小巧玲瓏,可以讓你不費(fèi)吹灰之力就可以對(duì)本機(jī)的開放端口
和連接信息一覽無余。
針對(duì)netstat命令的用法及相關(guān)結(jié)果,個(gè)人搜集了一些文章,加以整理總結(jié),寫了
這篇文章,希望對(duì)同學(xué)們有多幫助。
1.netstat命令用法
關(guān)于該命令的用法你可以很容易的從netstat /?中獲取,這里不再做無意義的復(fù)制
粘貼了,朋友們自己看一下吧。這里重點(diǎn)提一下”-a”和”-n”選項(xiàng)。”-a”選項(xiàng)意在顯示
所有連接,當(dāng)不附加”-n”選項(xiàng)時(shí),它顯示的是本地計(jì)算機(jī)的netbios名字+端口號(hào)。而
加了”-n”選項(xiàng)后,它顯示的是本地IP地址+端口號(hào)。
For example:
[netstat -a]
TCP fdlpw:ftp fdlpw:0 LISTENING
[netstat -an]
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
2.端口的基本知識(shí)
端口基本上可分為三大類:公用端口,注冊(cè)端口和動(dòng)態(tài)/私有端口。
公認(rèn)端口(Well Known Ports):從0到1023,它們緊密綁定于一些服務(wù)。通常這些端
口的通訊明確表明了某種服務(wù)的協(xié)議。例如:80端口實(shí)際上總是HTTP通訊。
注冊(cè)端口(Registered Ports):從1024到49151。它們松散地綁定于一些服務(wù)。也就
是說有許多服務(wù)綁定于這些端口,這些端口同樣用于許多其它目的。例如:許多系統(tǒng)
處理動(dòng)態(tài)端口從1024左右開始。
動(dòng)態(tài)和/或私有端口(Dynamic and/or Private Ports):從49152到65535。理論上,
不應(yīng)為服務(wù)分配這些端口。實(shí)際上,機(jī)器通常從1024起分配動(dòng)態(tài)端口。但也有例外:
SUN的RPC端口從32768開始。
特別的要注意以下幾點(diǎn):
*ICMP沒有端口概念,防火墻中的所謂端口指的是是其type.
ICMP只有兩個(gè)域:即type和code.
*0端口通常用于分析操作系統(tǒng)。這一方法能夠工作是因?yàn)樵谝恍┫到y(tǒng)中“0”是無效
端口,當(dāng)你試圖使用一種通常的閉合端口連接它時(shí)將產(chǎn)生不同的結(jié)果。
*1024 許多人問這個(gè)端口是干什么的。它是動(dòng)態(tài)端口的開始。許多程序并不在乎用哪
個(gè)端口連接網(wǎng)絡(luò),它們請(qǐng)求操作系統(tǒng)為它們分配“下一個(gè)閑置端口”。基于這一點(diǎn)
分配從端口1024開始。這意味著第一個(gè)向系統(tǒng)請(qǐng)求分配動(dòng)態(tài)端口的程序?qū)⒈环峙涠?/p>
口1024。為了驗(yàn)證這一點(diǎn),你可以重啟機(jī)器,打開Telnet,再打開一個(gè)窗口運(yùn)行
“netstat -”,你將會(huì)看到Telnet被分配1024端口。請(qǐng)求的程序越多,動(dòng)態(tài)端口
也越多,操作系統(tǒng)分配的端口將
逐漸變大。再來一遍,當(dāng)你瀏覽Web頁時(shí)用“netstat
查看,每個(gè)Web頁需要一個(gè)新端口。
*一些系統(tǒng)所經(jīng)常用到的公用和動(dòng)態(tài)端口在\system32\drivers\etc目錄下的services
文件中定義,你可以在notepad中打開該文件。
3.netstat結(jié)果信息的結(jié)構(gòu)
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
針對(duì)這個(gè)子項(xiàng):
TCP:所用協(xié)議,傳輸控制協(xié)議。
0.0.0.0:21:0.0.0.0是表示本機(jī)ip,如果是動(dòng)態(tài)端口的話通常用本地ip表示而不是全0
21表示本機(jī)上該服務(wù)分配的端口號(hào)
0.0.0.0:0:表示外部任何主機(jī)的任何端口
LISTENING:表示該服務(wù)處于監(jiān)聽狀態(tài)。
對(duì)于netstat -a的結(jié)果,通常是用服務(wù)名來代替其端口,如:
TCP fdlpw:ftp fdlpw:0 LISTENING
這里fdlpw替代了0.0.0.0,ftp替代了端口21
通常情況下在\system32\etc\services文件中對(duì)相應(yīng)服務(wù)名有相關(guān)說明,下面給出更
詳盡的描述:
# <服務(wù)名> <端口號(hào)>/<協(xié)議> [別名] [#<注釋>]
echo 7/tcp #回應(yīng)
echo 7/udp #回應(yīng)
discard 9/tcp sink null #刪除
discard 9/udp sink null #刪除
systat 11/tcp users #Active users 活動(dòng)用戶
systat 11/tcp users #Active users 活動(dòng)用戶
daytime 13/tcp #時(shí)間
daytime 13/udp #時(shí)間
qotd 17/tcp quote #Quote of the day 日期的引用
qotd 17/udp quote #Quote of the day 日期的引用
chargen 19/tcp ttytst source #Character generator 字符生成
器
chargen 19/udp ttytst source #Character generator 字符生成
器
ftp-data 20/tcp #FTP, data 文件傳輸[默認(rèn)數(shù)據(jù)]
ftp 21/tcp #FTP. control 文件傳輸[控制],
連接對(duì)話
telnet 23/tcp #遠(yuǎn)程登錄
smtp 25/tcp mail #Simple Mail Transfer
Protocol 簡單郵件傳送
time 37/tcp timserver #時(shí)間
time 37/udp timserver #時(shí)間
rlp 39/udp resource #Resource Location Protocol
資源定位協(xié)議
nameserver 42/tcp name #Host Name Server 主機(jī)名服務(wù)
nameserver 42/udp name #Host Name Server 主機(jī)名服務(wù)
nicname 43/tc
p whois #哪個(gè)用戶
domain 53/tcp #Domain Name Server 域名服務(wù)
器
domain 53/udp #Domain Name Server 域名服務(wù)
器
bootps 67/udp dhcps #Bootstrap Protocol Server 動(dòng)
態(tài)主機(jī)配置協(xié)議/遠(yuǎn)程啟動(dòng)協(xié)議
服務(wù)器
bootpc 68/udp dhcpc #Bootstrap Protocol Client 動(dòng)
態(tài)主機(jī)配置協(xié)議/遠(yuǎn)程啟動(dòng)協(xié)議
客戶端
tftp 69/udp #Trivial File Transfer 普通文
件傳輸協(xié)議
gopher 70/tcp #Gopher
finger 79/tcp #Finger
http 80/tcp www www-http #World Wide Web 萬維網(wǎng)超文本
傳輸協(xié)議
kerberos 88/tcp krb5 kerberos-sec #Kerberos
kerberos 88/udp krb5 kerberos-sec #Kerberos
hostname 101/tcp hostnames #NIC Host Name Server NIC主機(jī)
名服務(wù)器
iso-tsap 102/tcp #ISO-TSAP Class 0 IOS傳送
層服務(wù)訪問點(diǎn)
rtelnet 107/tcp #Remote Telnet Service 遠(yuǎn)程
TELlnet服務(wù)
pop2 109/tcp postoffice #Post Office Protocol -
Version 2 郵局協(xié)議版本2
pop3 110/tcp #Post Office Protocol -
Version 3 郵件協(xié)議版本3
sunrpc 111/tcp rpcbind portmap #SUN Remote Procedure Call
SUN遠(yuǎn)程過程調(diào)用
sunrpc 111/udp rpcbind portmap #SUN Remote Procedure Call
SUN遠(yuǎn)程過程調(diào)用
auth 113/tcp ident tap #Identification Protocol 鑒別
服務(wù)協(xié)議
uucp-path 117/tcp #UUCP路徑服務(wù)
nntp 119/tcp usenet #Network News Transfer
Protocol 網(wǎng)絡(luò)新聞組傳送協(xié)議
ntp 123/udp #Network Time Protocol 網(wǎng)絡(luò)時(shí)
間協(xié)議
epmap 135/tcp loc-srv #DCE endpoint resolution 數(shù)據(jù)
通信設(shè)備定位
服務(wù)
epmap 135/udp loc-srv #DCE endpoint resolution 數(shù)據(jù)
通信設(shè)備定位服務(wù)
netbios-ns 137/tcp nbname #NETBIOS Name Service
NetBIOS命名服務(wù)
netbios-ns 137/udp nbname #NETBIOS Name Service
NetBIOS命名服務(wù)
netbios-dgm 138/udp nbdatagram #NETBIOS Datagram Service
NetBIOS數(shù)據(jù)報(bào)服務(wù)
netbios-ssn 139/tcp nbsession #NETBIOS Session Service
NetBIOS會(huì)話服務(wù)
imap 143/tcp imap4 #Internet Message Access
Protocol Internet郵件存取協(xié)
議版本
4pcmail-srv 158/tcp #PCMail Server PC Mail服務(wù)器
snmp 161/udp #SNMP 簡單網(wǎng)絡(luò)管理協(xié)議
snmptrap 162/udp snmp-trap #SNMP trap
print-srv 170/tcp #Network PostScript 網(wǎng)絡(luò)
PostScript
bgp 179/tcp #Border Gateway Protocol 邊際
網(wǎng)關(guān)協(xié)議
irc 194/tcp #Internet Relay Chat
Protocol Internet中繼對(duì)話協(xié)
議
ipx 213/udp #IPX over IP
ldap 389/tcp #Lightweight Directory Access
Protocol 輕量目錄訪問協(xié)議
https 443/tcp MCom #(暫未翻譯)只能理解為:訪問
SSL安全站點(diǎn)使用的協(xié)議
https 443/udp MCom #(暫未翻譯)只能理解為:訪問
SSL安全站點(diǎn)使用的協(xié)議
microsoft-ds 445/tcp #IP 上的服務(wù)器消息塊 (SMB),
即 Microsoft-DS
microsoft-ds 445/udp #IP 上的服務(wù)器消息塊 (SMB),
即 Microsoft-DS
kpasswd 464/tcp # Kerberos (v5)
kpasswd 464/udp # Kerberos (v5)
isakmp 500/udp ike #Internet Key Exchange
Internet密鑰交換
exec 512/tcp #Remote Process Execution 遠(yuǎn)
程過程執(zhí)行
biff 512/udp comsat
#郵件系統(tǒng)使用它通知用戶新郵件的到達(dá);目前僅用于
從同一臺(tái)計(jì)算機(jī)上的進(jìn)程接受信息
login 513/tcp #Remote Login 像telnet一樣進(jìn)
行遠(yuǎn)程登錄
who 513/udp whod #維護(hù)表明哪些用戶登錄到一個(gè)局
域網(wǎng)的計(jì)算機(jī)上和上和計(jì)算機(jī)負(fù)
載平均值的數(shù)據(jù)庫
cmd 514/tcp shell #類似于exec,但可為登錄的服務(wù)
器自動(dòng)執(zhí)行鑒別
syslog 514/udp #(未查閱到資料,暫未翻譯)
printer 515/tcp spooler #假脫機(jī);打印服務(wù)器LPD服務(wù)將監(jiān)
聽TCP的515端口上的進(jìn)入連接
talk 517/udp #類似于tenex鏈接,但它是跨越
計(jì)算機(jī)的。
ntalk 518/udp #(未查閱到資料,暫未翻譯)
efs 520/tcp #Extended File Name Server 擴(kuò)
展文件名服務(wù)
router 520/udp route routed #本地路由進(jìn)程(在站點(diǎn)上);使
用XeroxNS路由信息協(xié)議的變體
timed 525/udp timeserver #(未查閱到資料,暫未翻譯)
tempo 526/tcp newdate #(未查閱到資料,暫未翻譯)
courier 530/tcp rpc #遠(yuǎn)程過程調(diào)用
conference 531/tcp chat #(未查閱到資料,暫未翻譯)
netnews 532/tcp readnews #讀新聞
netwall 533/udp #For emergency broadcasts 用
于緊急事件廣播
uucp 540/tcp uucpd #(未查閱到資料,暫未翻譯)
klogin 543/tcp #Kerberos login
kshell 544/tcp krcmd #Kerberos remote shell
new-rwho 550/udp new-who #(未查閱到資料,暫未翻譯)
remotefs 556/tcp rfs rfs_server #遠(yuǎn)程文件系統(tǒng)服務(wù)器
rmonitor 560/udp rmonitord #(未查閱到資料,暫未翻譯)
monitor 561/udp #(未查閱到資料,暫未翻譯)
ldaps 636/tcp sldap #LDAP over TLS/SSL 輕量目錄訪問協(xié)議穿
過安全套接字層/傳輸層安全
doom 666/tcp #Doom Id Software (未查閱到
資料,暫未翻譯)
doom 666/ud
p #Doom Id Software (未查閱到
資料,暫未翻譯)
kerberos-adm 749/tcp #Kerberos administration
Kerberos管理
kerberos-adm 749/udp #Kerberos administration
Kerberos管理
kerberos-iv 750/udp #Kerberos version IV (未查閱
到資料,暫未翻譯)
kpop 1109/tcp #Kerberos POP Kerberos方式彈
出
phone 1167/udp #Conference calling (未查閱
到資料,暫未翻譯)
ms-sql-s 1433/tcp #Microsoft-SQL-Server 微軟SQl
服務(wù)
ms-sql-s 1433/udp #Microsoft-SQL-Server 微軟SQl
服務(wù)
ms-sql-m 1434/tcp #Microsoft-SQL-Monitor 微軟SQ
服務(wù)監(jiān)視器
ms-sql-m 1434/udp #Microsoft-SQL-Monitor 微軟SQ
服務(wù)監(jiān)視器
wins 1512/tcp #Microsoft Windows Internet
Name Service
#保留給微軟windows的Internet
名字服務(wù)將來使用
wins 1512/udp #Microsoft Windows Internet
Name Service
ingreslock 1524/tcp ingres #(未查閱到資料,暫未翻譯)
l2tp 1701/udp #Layer Two Tunneling
Protocol 第二層隧道協(xié)議
pptp 1723/tcp #Point-to-point tunnelling
protocol 點(diǎn)對(duì)點(diǎn)隧道協(xié)議
radius 1812/udp # RADIUS authentication
protocol (暫未翻譯)
radacct 1813/udp #RADIUS accounting
Protocol (暫未翻譯)
nfsd 2049/udp nfs #NFS server 網(wǎng)絡(luò)文件系統(tǒng)服務(wù)
knetd 2053/tcp #Kerberos de-multiplexor
Kerberos分離器
man 9535/tcp #Remote Man Server 遠(yuǎn)程管理服
務(wù)器
特別的,針對(duì)下面的子項(xiàng):
TCP
fdlpw:epmap MYCHENG:2782 SYN_RECEIVED
它的意思是說:MYCHENG這臺(tái)機(jī)子利用他的2782端口試圖與本機(jī)的epmap服務(wù)連接,
所謂的epmap服務(wù),就是數(shù)據(jù)通訊設(shè)備定位服務(wù),采用tcp/udp 135端口。
4.連接狀態(tài)描述
netstat -an結(jié)果中出現(xiàn)的”LISTENING”,”SYN_RECEIVED”等等都是TCP套接字。
關(guān)于常用的套接字及其含義見下:
狀態(tài) 意義
CLOSED 沒有使用這個(gè)套接字
LISTEN 套接字正在監(jiān)聽入境連接
SYN_SENT 套接字正在試圖主動(dòng)建立連接
SYN_RECEIVED 正在處于連接的初始同步狀態(tài)
ESTABLISHED 連接已建立
CLOSE_WAIT 遠(yuǎn)程套接字已經(jīng)關(guān)閉:正在等待關(guān)閉這個(gè)套接字
FIN_WAIT_1 套接字已關(guān)閉,正在關(guān)閉連接
CLOSING 套接字已關(guān)閉,遠(yuǎn)程套接字正在關(guān)閉,暫時(shí)掛起關(guān)閉確認(rèn)
LAST_ACK 遠(yuǎn)程套接字已,正在等待本地套接字的關(guān)閉確認(rèn)
FIN_WAIT_2 套接字已關(guān)閉,正在等待遠(yuǎn)程套接字關(guān)閉
TIME_WAIT 這個(gè)套接字已經(jīng)關(guān)閉,正在等待遠(yuǎn)程套接字的關(guān)閉傳送
5.TCP連接的建立過程
現(xiàn)今很多Internt的服務(wù)都是建立在TCP連接上面的,包括Telnet ,WWW, Email。當(dāng)
一臺(tái)機(jī)器(我們稱它為客戶端)企圖跟一個(gè)臺(tái)提供服務(wù)的機(jī)器(我們稱它為服務(wù)端)建
立TCP連接時(shí),它們必須先按次序交換通訊好幾次,這樣TCP連接才能建立起來。
開始客戶端會(huì)發(fā)送一個(gè)帶SYN標(biāo)記的包到服務(wù)端;
服務(wù)端收到這樣帶SYN標(biāo)記的包后,會(huì)發(fā)送一個(gè)帶SYN-ACK標(biāo)記的包到客戶端作為確
認(rèn);當(dāng)客戶端收到服務(wù)端帶SYN-ACK標(biāo)記的包后 ,會(huì)向服務(wù)端發(fā)送一個(gè)帶ACK標(biāo)記的包。
完成了這幾個(gè)步驟,它們的TCP連接就建立起來了,可以進(jìn)行數(shù)據(jù)通訊。
客戶端 服務(wù)端
SYN →
← SYN-ACK
ACK →
*特別的,當(dāng)你的netstat -an結(jié)果中有多個(gè)狀態(tài)為SYN_RECEIVED時(shí),表示你可能中
了SYN flood攻擊
6.本機(jī)中的實(shí)例分析
Proto Local Address Foreign Address State
TCP fdlpw:ftp fdlpw:0 LISTENING
ftp服務(wù),采用21端口,處于監(jiān)聽狀態(tài)
TCP fdlpw:telnet fdlpw:0 LISTENING
telnet服務(wù),采用23端口,處于監(jiān)聽狀態(tài)(開代理了)
TCP fdlpw:smtp fdlpw:0 LISTENING
smtp服務(wù),采用25端口,處于監(jiān)聽狀態(tài)(開代理了)
TCP fdlpw:http fdlpw:0 LISTENING
http服務(wù),采用80端口,處于監(jiān)聽狀態(tài)(開web服務(wù))
TCP fdlpw:pop3 fdlpw:0 LISTENING
pop3服務(wù),采用110端口,監(jiān)聽狀態(tài)(開代理了)
TCP fdlpw:nntp fdlpw:0 LISTENING
nntp服務(wù),即網(wǎng)絡(luò)新聞傳輸服務(wù),監(jiān)聽狀態(tài)
TCP fdlpw:epmap fdlpw:0 LISTENING
epmap服務(wù),數(shù)據(jù)通信設(shè)備定位服務(wù)(135端口),監(jiān)聽狀態(tài)
TCP fdlpw:microsoft-ds fdlpw:0 LISTENING
SMB服務(wù),445端口,Server Message Block
TCP fdlpw:808 fdlpw:0 LISTENING
代理服務(wù),web代理,808端口
TCP fdlpw:1025 fdlpw:0 LISTENING
TCP fdlpw:1026 fdlpw:0 LISTENING
TCP fdlpw:1030 fdlpw:0 LISTENING
臨時(shí)服務(wù),采用動(dòng)態(tài)端口
TCP fdlpw:1080 fdlpw:0 LISTENING
socks代理服務(wù)
TCP fdlpw:2121 fdlpw:0 LISTENING
ftp代理服務(wù)
TCP fdlpw:3389 fdlpw:0 LISTENING
終端服務(wù),3389端口
TCP fdlpw:8000 fdlpw:0 LISTENING
本人的另一個(gè)web服務(wù)
TCP fdlpw:epmap MYCHENG:2782 SYN_RECEIVED
135端口上的數(shù)據(jù)設(shè)備定位服務(wù),連接建立狀態(tài)
TCP fdlpw:netbios-ssn fdlpw:0 LISTENING
139端口上的netbios會(huì)話服務(wù),監(jiān)聽狀態(tài)
TCP fdlpw:2213 202.120.225.9:telnet ESTABLISHED
TCP fdlpw:2217 10.73.225.9:telnet ESTABLISHED
TCP fdlpw:2220 10.11.3.123:1080 ESTABLISHED
TCP fdlpw:2222 10.11.3.123:1080 ESTABLISHED
TCP fdlpw:2495 202.120.225.9:telnet ESTABLISHED
TCP fdlpw:3199 10.85.31.164:10200 ESTABLISHED
TCP fdlpw:3206 10.85.31.164:10701 ESTABLISHED
本機(jī)的幾個(gè)應(yīng)用程序建立的進(jìn)程,采用動(dòng)態(tài)端口
TCP fdlpw:3527 p8.www.dcn.yahoo.com:http SYN_SENT
IE瀏覽進(jìn)程
TCP fdlpw:8000 www.fudan.edu.cn:53622 TIME_WAIT
TCP fdlpw:8000 www.fudan.edu.cn:54011 TIME_WAIT
UDP fdlpw:microsoft-ds *:*
UDP fdlpw:isakmp *:*
UDP fdlpw:1027 *:*
UDP fdlpw:2219 *:*
UDP fdlpw:2221 *:*
UDP fdlpw:3456 *:*
UDP fdlpw:4500 *:*
UDP fdlpw:49503 *:*
UDP fdlpw:ntp *:*
UDP fdlpw:netbios-ns *:*
UDP fdlpw:netbios-dgm *:*
UDP fdlpw:ntp *:*
UDP fdlpw:1039 *:*
UDP fdlpw:2230 *:*
UDP fdlpw:3456 *:*
轉(zhuǎn)載來源:https://blog.csdn.net/niceworkgogogo/article/details/72121460
總結(jié)
以上是生活随笔為你收集整理的netstat 介绍的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: linux查找文件新添加,Linux:查
- 下一篇: dw边框弧度设置_如何给你微信推文增加阴