netstat -an及其結(jié)果分析

netstat, 結(jié)果

前言：

這幾天由于病毒的日益流行，許多朋友開始對防毒和防黑重視起來，裝了不少的

病毒或網(wǎng)絡防火墻。誠然，通過防火墻我們可以得到許多有關(guān)我們計算機的信息，不過

windows自帶的netstat更加小巧玲瓏，可以讓你不費吹灰之力就可以對本機的開放端口

和連接信息一覽無余。

針對netstat命令的用法及相關(guān)結(jié)果，個人搜集了一些文章，加以整理總結(jié)，寫了

這篇文章，希望對同學們有多幫助。

1.netstat命令用法

關(guān)于該命令的用法你可以很容易的從netstat /?中獲取，這里不再做無意義的復制

粘貼了，朋友們自己看一下吧。這里重點提一下”-a”和”-n”選項?！?a”選項意在顯示

所有連接，當不附加”-n”選項時，它顯示的是本地計算機的netbios名字+端口號。而

加了”-n”選項后，它顯示的是本地IP地址+端口號。

For example:

[netstat -a]

TCP fdlpw:ftp fdlpw:0 LISTENING

[netstat -an]

TCP 0.0.0.0:21 0.0.0.0:0 LISTENING

2.端口的基本知識

端口基本上可分為三大類：公用端口，注冊端口和動態(tài)/私有端口。

公認端口（Well Known Ports）：從0到1023，它們緊密綁定于一些服務。通常這些端

口的通訊明確表明了某種服務的協(xié)議。例如：80端口實際上總是HTTP通訊。

注冊端口（Registered Ports）：從1024到49151。它們松散地綁定于一些服務。也就

是說有許多服務綁定于這些端口，這些端口同樣用于許多其它目的。例如：許多系統(tǒng)

處理動態(tài)端口從1024左右開始。

動態(tài)和/或私有端口（Dynamic and/or Private Ports）：從49152到65535。理論上，

不應為服務分配這些端口。實際上，機器通常從1024起分配動態(tài)端口。但也有例外：

SUN的RPC端口從32768開始。

特別的要注意以下幾點：

＊ICMP沒有端口概念，防火墻中的所謂端口指的是是其type.

ICMP只有兩個域：即type和code.

＊0端口通常用于分析操作系統(tǒng)。這一方法能夠工作是因為在一些系統(tǒng)中“0”是無效

　　端口，當你試圖使用一種通常的閉合端口連接它時將產(chǎn)生不同的結(jié)果。

　＊1024 許多人問這個端口是干什么的。它是動態(tài)端口的開始。許多程序并不在乎用哪

　　個端口連接網(wǎng)絡，它們請求操作系統(tǒng)為它們分配“下一個閑置端口”?；谶@一點

　　分配從端口1024開始。這意味著第一個向系統(tǒng)請求分配動態(tài)端口的程序?qū)⒈环峙涠?/p>

口1024。為了驗證這一點，你可以重啟機器，打開Telnet，再打開一個窗口運行

“netstat -”,你將會看到Telnet被分配1024端口。請求的程序越多，動態(tài)端口

也越多,操作系統(tǒng)分配的端口將

逐漸變大。再來一遍，當你瀏覽Web頁時用“netstat

查看，每個Web頁需要一個新端口。

＊一些系統(tǒng)所經(jīng)常用到的公用和動態(tài)端口在\system32\drivers\etc目錄下的services

文件中定義，你可以在notepad中打開該文件。

３.netstat結(jié)果信息的結(jié)構(gòu)

　

　TCP 0.0.0.0:21 0.0.0.0:0 LISTENING

　針對這個子項：

　TCP:所用協(xié)議，傳輸控制協(xié)議。

　0.0.0.0:21:0.0.0.0是表示本機ip,如果是動態(tài)端口的話通常用本地ip表示而不是全０

　　　　　 21表示本機上該服務分配的端口號

　0.0.0.0:0:表示外部任何主機的任何端口

　LISTENING:表示該服務處于監(jiān)聽狀態(tài)。

　對于netstat -a的結(jié)果，通常是用服務名來代替其端口，如：

　TCP fdlpw:ftp fdlpw:0 LISTENING

　這里fdlpw替代了0.0.0.0,ftp替代了端口21

通常情況下在\system32\etc\services文件中對相應服務名有相關(guān)說明，下面給出更

　詳盡的描述：

# <服務名> <端口號>/<協(xié)議> [別名] [#<注釋>]

echo 7/tcp #回應

echo 7/udp #回應

discard 9/tcp sink null #刪除

discard 9/udp sink null #刪除

systat 11/tcp users #Active users 活動用戶

systat 11/tcp users #Active users 活動用戶

daytime 13/tcp #時間

daytime 13/udp #時間

qotd 17/tcp quote #Quote of the day 日期的引用

qotd 17/udp quote #Quote of the day 日期的引用

chargen 19/tcp ttytst source #Character generator 字符生成

器

chargen 19/udp ttytst source #Character generator 字符生成

器

ftp-data 20/tcp #FTP, data 文件傳輸[默認數(shù)據(jù)]

ftp 21/tcp #FTP. control 文件傳輸[控制],

連接對話

telnet 23/tcp #遠程登錄

smtp 25/tcp mail #Simple Mail Transfer

Protocol 簡單郵件傳送

time 37/tcp timserver #時間

time 37/udp timserver #時間

rlp 39/udp resource #Resource Location Protocol

資源定位協(xié)議

nameserver 42/tcp name #Host Name Server 主機名服務

nameserver 42/udp name #Host Name Server 主機名服務

nicname 43/tc

p whois #哪個用戶

domain 53/tcp #Domain Name Server 域名服務

器

domain 53/udp #Domain Name Server 域名服務

器

bootps 67/udp dhcps #Bootstrap Protocol Server 動

態(tài)主機配置協(xié)議/遠程啟動協(xié)議

服務器

bootpc 68/udp dhcpc #Bootstrap Protocol Client 動

態(tài)主機配置協(xié)議/遠程啟動協(xié)議

客戶端

tftp 69/udp #Trivial File Transfer 普通文

件傳輸協(xié)議

gopher 70/tcp #Gopher

finger 79/tcp #Finger

http 80/tcp www www-http #World Wide Web 萬維網(wǎng)超文本

傳輸協(xié)議

kerberos 88/tcp krb5 kerberos-sec #Kerberos

kerberos 88/udp krb5 kerberos-sec #Kerberos

hostname 101/tcp hostnames #NIC Host Name Server NIC主機

名服務器

iso-tsap 102/tcp #ISO-TSAP Class 0 IOS傳送

層服務訪問點

rtelnet 107/tcp #Remote Telnet Service 遠程

TELlnet服務

pop2 109/tcp postoffice #Post Office Protocol -

Version 2 郵局協(xié)議版本2

pop3 110/tcp #Post Office Protocol -

Version 3 郵件協(xié)議版本3

sunrpc 111/tcp rpcbind portmap #SUN Remote Procedure Call

SUN遠程過程調(diào)用

sunrpc 111/udp rpcbind portmap #SUN Remote Procedure Call

SUN遠程過程調(diào)用

auth 113/tcp ident tap #Identification Protocol 鑒別

服務協(xié)議

uucp-path 117/tcp #UUCP路徑服務

nntp 119/tcp usenet #Network News Transfer

Protocol 網(wǎng)絡新聞組傳送協(xié)議

ntp 123/udp #Network Time Protocol 網(wǎng)絡時

間協(xié)議

epmap 135/tcp loc-srv #DCE endpoint resolution 數(shù)據(jù)

通信設備定位

服務

epmap 135/udp loc-srv #DCE endpoint resolution 數(shù)據(jù)

通信設備定位服務

netbios-ns 137/tcp nbname #NETBIOS Name Service

NetBIOS命名服務

netbios-ns 137/udp nbname #NETBIOS Name Service

NetBIOS命名服務

netbios-dgm 138/udp nbdatagram #NETBIOS Datagram Service

NetBIOS數(shù)據(jù)報服務

netbios-ssn 139/tcp nbsession #NETBIOS Session Service

NetBIOS會話服務

imap 143/tcp imap4 #Internet Message Access

Protocol Internet郵件存取協(xié)

議版本

4pcmail-srv 158/tcp #PCMail Server PC Mail服務器

snmp 161/udp #SNMP 簡單網(wǎng)絡管理協(xié)議

snmptrap 162/udp snmp-trap #SNMP trap

print-srv 170/tcp #Network PostScript 網(wǎng)絡

PostScript

bgp 179/tcp #Border Gateway Protocol 邊際

網(wǎng)關(guān)協(xié)議

irc 194/tcp #Internet Relay Chat

Protocol Internet中繼對話協(xié)

議

ipx 213/udp #IPX over IP

ldap 389/tcp #Lightweight Directory Access

Protocol 輕量目錄訪問協(xié)議

https 443/tcp MCom #（暫未翻譯）只能理解為：訪問

SSL安全站點使用的協(xié)議

https 443/udp MCom #（暫未翻譯）只能理解為：訪問

SSL安全站點使用的協(xié)議

microsoft-ds 445/tcp #IP 上的服務器消息塊 (SMB)，

即 Microsoft-DS

microsoft-ds 445/udp #IP 上的服務器消息塊 (SMB)，

即 Microsoft-DS

kpasswd 464/tcp # Kerberos (v5)

kpasswd 464/udp # Kerberos (v5)

isakmp 500/udp ike #Internet Key Exchange

Internet密鑰交換

exec 512/tcp #Remote Process Execution 遠

程過程執(zhí)行

biff 512/udp comsat

#郵件系統(tǒng)使用它通知用戶新郵件的到達；目前僅用于

從同一臺計算機上的進程接受信息

login 513/tcp #Remote Login 像telnet一樣進

行遠程登錄

who 　513/udp whod　 #維護表明哪些用戶登錄到一個局

域網(wǎng)的計算機上和上和計算機負

載平均值的數(shù)據(jù)庫

cmd 514/tcp shell #類似于exec，但可為登錄的服務

器自動執(zhí)行鑒別

syslog 514/udp #（未查閱到資料，暫未翻譯）

printer 515/tcp spooler #假脫機；打印服務器LPD服務將監(jiān)

聽TCP的515端口上的進入連接

talk 517/udp #類似于tenex鏈接，但它是跨越

計算機的。

ntalk 518/udp #（未查閱到資料，暫未翻譯）

efs 520/tcp #Extended File Name Server 擴

展文件名服務

router 520/udp route routed #本地路由進程（在站點上）；使

用XeroxNS路由信息協(xié)議的變體

timed 525/udp timeserver #（未查閱到資料，暫未翻譯）

tempo 526/tcp newdate #（未查閱到資料，暫未翻譯）

courier 530/tcp rpc #遠程過程調(diào)用

conference 531/tcp chat #（未查閱到資料，暫未翻譯）

netnews 532/tcp readnews #讀新聞

netwall 533/udp #For emergency broadcasts 用

于緊急事件廣播

uucp 540/tcp uucpd #（未查閱到資料，暫未翻譯）

klogin 543/tcp #Kerberos login

kshell 544/tcp krcmd #Kerberos remote shell

new-rwho 550/udp new-who #（未查閱到資料，暫未翻譯）

remotefs 556/tcp rfs rfs_server #遠程文件系統(tǒng)服務器

rmonitor 560/udp rmonitord #（未查閱到資料，暫未翻譯）

monitor 561/udp #（未查閱到資料，暫未翻譯）

ldaps 636/tcp sldap #LDAP over TLS/SSL 輕量目錄訪問協(xié)議穿

過安全套接字層/傳輸層安全

doom 666/tcp #Doom Id Software （未查閱到

資料，暫未翻譯）

doom 666/ud

p #Doom Id Software （未查閱到

資料，暫未翻譯）

kerberos-adm 749/tcp #Kerberos administration

Kerberos管理

kerberos-adm 749/udp #Kerberos administration

Kerberos管理

kerberos-iv 750/udp #Kerberos version IV （未查閱

到資料，暫未翻譯）

kpop 1109/tcp #Kerberos POP Kerberos方式彈

出

phone 1167/udp #Conference calling （未查閱

到資料，暫未翻譯）

ms-sql-s 1433/tcp #Microsoft-SQL-Server 微軟SQl

服務

ms-sql-s 1433/udp #Microsoft-SQL-Server 微軟SQl

服務

ms-sql-m 1434/tcp #Microsoft-SQL-Monitor 微軟SQ

服務監(jiān)視器

ms-sql-m 1434/udp #Microsoft-SQL-Monitor 微軟SQ

服務監(jiān)視器

wins 1512/tcp #Microsoft Windows Internet

Name Service

#保留給微軟windows的Internet

名字服務將來使用

wins 1512/udp #Microsoft Windows Internet

Name Service

ingreslock 1524/tcp ingres #（未查閱到資料，暫未翻譯）

l2tp 1701/udp #Layer Two Tunneling

Protocol　第二層隧道協(xié)議

pptp 1723/tcp #Point-to-point tunnelling

protocol 點對點隧道協(xié)議

radius 1812/udp # RADIUS authentication

protocol （暫未翻譯）

radacct 1813/udp #RADIUS accounting

Protocol （暫未翻譯）

nfsd 2049/udp nfs #NFS server　網(wǎng)絡文件系統(tǒng)服務

knetd 2053/tcp #Kerberos de-multiplexor

Kerberos分離器

man 9535/tcp #Remote Man Server 遠程管理服

務器

特別的，針對下面的子項：

TCP

fdlpw:epmap MYCHENG:2782 SYN_RECEIVED

它的意思是說:MYCHENG這臺機子利用他的2782端口試圖與本機的epmap服務連接，

所謂的epmap服務，就是數(shù)據(jù)通訊設備定位服務，采用tcp/udp 135端口。

4.連接狀態(tài)描述

　

　netstat -an結(jié)果中出現(xiàn)的”LISTENING”,”SYN_RECEIVED”等等都是TCP套接字。

　關(guān)于常用的套接字及其含義見下：

　

　　　狀態(tài)　　　　　　　　　　　　　　　　　意義

　　CLOSED 　　　　　　　　　　　　　　　沒有使用這個套接字

　　LISTEN 　　　　　　　　　　　　　　　套接字正在監(jiān)聽入境連接

　　SYN_SENT 　　　　　　　　　　　　　　套接字正在試圖主動建立連接

　　SYN_RECEIVED 　　　　　　　　　　　　正在處于連接的初始同步狀態(tài)

　　ESTABLISHED 　　　　　　　　　　　 連接已建立

CLOSE_WAIT 遠程套接字已經(jīng)關(guān)閉：正在等待關(guān)閉這個套接字

FIN_WAIT_1 套接字已關(guān)閉，正在關(guān)閉連接

CLOSING 套接字已關(guān)閉，遠程套接字正在關(guān)閉，暫時掛起關(guān)閉確認

LAST_ACK 遠程套接字已，正在等待本地套接字的關(guān)閉確認

FIN_WAIT_2 套接字已關(guān)閉，正在等待遠程套接字關(guān)閉

TIME_WAIT 這個套接字已經(jīng)關(guān)閉，正在等待遠程套接字的關(guān)閉傳送

5.TCP連接的建立過程

　

　　現(xiàn)今很多Internt的服務都是建立在TCP連接上面的，包括Telnet ,WWW, Email。當

一臺機器（我們稱它為客戶端）企圖跟一個臺提供服務的機器（我們稱它為服務端）建

立TCP連接時，它們必須先按次序交換通訊好幾次，這樣TCP連接才能建立起來。

開始客戶端會發(fā)送一個帶SYN標記的包到服務端；

服務端收到這樣帶SYN標記的包后，會發(fā)送一個帶SYN-ACK標記的包到客戶端作為確

認；當客戶端收到服務端帶SYN-ACK標記的包后 ，會向服務端發(fā)送一個帶ACK標記的包。

完成了這幾個步驟,它們的TCP連接就建立起來了，可以進行數(shù)據(jù)通訊。

客戶端 服務端

SYN →

← SYN-ACK

ACK →

＊特別的，當你的netstat -an結(jié)果中有多個狀態(tài)為SYN_RECEIVED時，表示你可能中

　　　了SYN flood攻擊

6.本機中的實例分析

　 Proto Local Address Foreign Address State

TCP fdlpw:ftp fdlpw:0 LISTENING

ftp服務，采用２１端口，處于監(jiān)聽狀態(tài)

TCP fdlpw:telnet fdlpw:0 LISTENING

telnet服務，采用23端口，處于監(jiān)聽狀態(tài)(開代理了)

TCP fdlpw:smtp fdlpw:0 LISTENING

smtp服務，采用25端口，處于監(jiān)聽狀態(tài)(開代理了)

TCP fdlpw:http fdlpw:0 LISTENING

http服務，采用80端口，處于監(jiān)聽狀態(tài)(開web服務)

TCP fdlpw:pop3 fdlpw:0 LISTENING

pop3服務，采用110端口，監(jiān)聽狀態(tài)(開代理了)

TCP fdlpw:nntp fdlpw:0 LISTENING

nntp服務，即網(wǎng)絡新聞傳輸服務，監(jiān)聽狀態(tài)

TCP fdlpw:epmap fdlpw:0 LISTENING

epmap服務，數(shù)據(jù)通信設備定位服務(135端口)，監(jiān)聽狀態(tài)

TCP fdlpw:microsoft-ds fdlpw:0 LISTENING

SMB服務，445端口，Server Message Block

TCP fdlpw:808 fdlpw:0 LISTENING

代理服務，web代理，808端口

TCP fdlpw:1025 fdlpw:0 LISTENING

TCP fdlpw:1026 fdlpw:0 LISTENING

TCP fdlpw:1030 fdlpw:0 LISTENING

　臨時服務，采用動態(tài)端口

TCP fdlpw:1080 fdlpw:0 LISTENING

socks代理服務

TCP fdlpw:2121 fdlpw:0 LISTENING

ftp代理服務

TCP fdlpw:3389 fdlpw:0 LISTENING

終端服務，3389端口

TCP fdlpw:8000 fdlpw:0 LISTENING

本人的另一個web服務

TCP fdlpw:epmap MYCHENG:2782 SYN_RECEIVED

135端口上的數(shù)據(jù)設備定位服務,連接建立狀態(tài)

TCP fdlpw:netbios-ssn fdlpw:0 LISTENING

139端口上的netbios會話服務，監(jiān)聽狀態(tài)

TCP fdlpw:2213 202.120.225.9:telnet ESTABLISHED

TCP fdlpw:2217 10.73.225.9:telnet ESTABLISHED

TCP fdlpw:2220 10.11.3.123:1080 ESTABLISHED

TCP fdlpw:2222 10.11.3.123:1080 ESTABLISHED

TCP fdlpw:2495 202.120.225.9:telnet ESTABLISHED

TCP fdlpw:3199 10.85.31.164:10200 ESTABLISHED

TCP fdlpw:3206 10.85.31.164:10701 ESTABLISHED

本機的幾個應用程序建立的進程，采用動態(tài)端口

TCP fdlpw:3527 p8.www.dcn.yahoo.com:http SYN_SENT

IE瀏覽進程

TCP fdlpw:8000 www.fudan.edu.cn:53622 TIME_WAIT

TCP fdlpw:8000 www.fudan.edu.cn:54011 TIME_WAIT

UDP fdlpw:microsoft-ds *:*

UDP fdlpw:isakmp *:*

UDP fdlpw:1027 *:*

UDP fdlpw:2219 *:*

UDP fdlpw:2221 *:*

UDP fdlpw:3456 *:*

UDP fdlpw:4500 *:*

UDP fdlpw:49503 *:*

UDP fdlpw:ntp *:*

UDP fdlpw:netbios-ns *:*

UDP fdlpw:netbios-dgm *:*

UDP fdlpw:ntp *:*

UDP fdlpw:1039 *:*

UDP fdlpw:2230 *:*

UDP fdlpw:3456 *:*

轉(zhuǎn)載來源：https://blog.csdn.net/niceworkgogogo/article/details/72121460

總結(jié)

以上是生活随笔為你收集整理的netstat 介绍的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。