netstat 介绍
netstat -an及其結果分析
netstat, 結果
前言:
這幾天由于病毒的日益流行,許多朋友開始對防毒和防黑重視起來,裝了不少的
病毒或網絡防火墻。誠然,通過防火墻我們可以得到許多有關我們計算機的信息,不過
windows自帶的netstat更加小巧玲瓏,可以讓你不費吹灰之力就可以對本機的開放端口
和連接信息一覽無余。
針對netstat命令的用法及相關結果,個人搜集了一些文章,加以整理總結,寫了
這篇文章,希望對同學們有多幫助。
1.netstat命令用法
關于該命令的用法你可以很容易的從netstat /?中獲取,這里不再做無意義的復制
粘貼了,朋友們自己看一下吧。這里重點提一下”-a”和”-n”選項。”-a”選項意在顯示
所有連接,當不附加”-n”選項時,它顯示的是本地計算機的netbios名字+端口號。而
加了”-n”選項后,它顯示的是本地IP地址+端口號。
For example:
[netstat -a]
TCP fdlpw:ftp fdlpw:0 LISTENING
[netstat -an]
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
2.端口的基本知識
端口基本上可分為三大類:公用端口,注冊端口和動態/私有端口。
公認端口(Well Known Ports):從0到1023,它們緊密綁定于一些服務。通常這些端
口的通訊明確表明了某種服務的協議。例如:80端口實際上總是HTTP通訊。
注冊端口(Registered Ports):從1024到49151。它們松散地綁定于一些服務。也就
是說有許多服務綁定于這些端口,這些端口同樣用于許多其它目的。例如:許多系統
處理動態端口從1024左右開始。
動態和/或私有端口(Dynamic and/or Private Ports):從49152到65535。理論上,
不應為服務分配這些端口。實際上,機器通常從1024起分配動態端口。但也有例外:
SUN的RPC端口從32768開始。
特別的要注意以下幾點:
*ICMP沒有端口概念,防火墻中的所謂端口指的是是其type.
ICMP只有兩個域:即type和code.
*0端口通常用于分析操作系統。這一方法能夠工作是因為在一些系統中“0”是無效
端口,當你試圖使用一種通常的閉合端口連接它時將產生不同的結果。
*1024 許多人問這個端口是干什么的。它是動態端口的開始。許多程序并不在乎用哪
個端口連接網絡,它們請求操作系統為它們分配“下一個閑置端口”。基于這一點
分配從端口1024開始。這意味著第一個向系統請求分配動態端口的程序將被分配端
口1024。為了驗證這一點,你可以重啟機器,打開Telnet,再打開一個窗口運行
“netstat -”,你將會看到Telnet被分配1024端口。請求的程序越多,動態端口
也越多,操作系統分配的端口將
逐漸變大。再來一遍,當你瀏覽Web頁時用“netstat
查看,每個Web頁需要一個新端口。
*一些系統所經常用到的公用和動態端口在\system32\drivers\etc目錄下的services
文件中定義,你可以在notepad中打開該文件。
3.netstat結果信息的結構
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
針對這個子項:
TCP:所用協議,傳輸控制協議。
0.0.0.0:21:0.0.0.0是表示本機ip,如果是動態端口的話通常用本地ip表示而不是全0
21表示本機上該服務分配的端口號
0.0.0.0:0:表示外部任何主機的任何端口
LISTENING:表示該服務處于監聽狀態。
對于netstat -a的結果,通常是用服務名來代替其端口,如:
TCP fdlpw:ftp fdlpw:0 LISTENING
這里fdlpw替代了0.0.0.0,ftp替代了端口21
通常情況下在\system32\etc\services文件中對相應服務名有相關說明,下面給出更
詳盡的描述:
# <服務名> <端口號>/<協議> [別名] [#<注釋>]
echo 7/tcp #回應
echo 7/udp #回應
discard 9/tcp sink null #刪除
discard 9/udp sink null #刪除
systat 11/tcp users #Active users 活動用戶
systat 11/tcp users #Active users 活動用戶
daytime 13/tcp #時間
daytime 13/udp #時間
qotd 17/tcp quote #Quote of the day 日期的引用
qotd 17/udp quote #Quote of the day 日期的引用
chargen 19/tcp ttytst source #Character generator 字符生成
器
chargen 19/udp ttytst source #Character generator 字符生成
器
ftp-data 20/tcp #FTP, data 文件傳輸[默認數據]
ftp 21/tcp #FTP. control 文件傳輸[控制],
連接對話
telnet 23/tcp #遠程登錄
smtp 25/tcp mail #Simple Mail Transfer
Protocol 簡單郵件傳送
time 37/tcp timserver #時間
time 37/udp timserver #時間
rlp 39/udp resource #Resource Location Protocol
資源定位協議
nameserver 42/tcp name #Host Name Server 主機名服務
nameserver 42/udp name #Host Name Server 主機名服務
nicname 43/tc
p whois #哪個用戶
domain 53/tcp #Domain Name Server 域名服務
器
domain 53/udp #Domain Name Server 域名服務
器
bootps 67/udp dhcps #Bootstrap Protocol Server 動
態主機配置協議/遠程啟動協議
服務器
bootpc 68/udp dhcpc #Bootstrap Protocol Client 動
態主機配置協議/遠程啟動協議
客戶端
tftp 69/udp #Trivial File Transfer 普通文
件傳輸協議
gopher 70/tcp #Gopher
finger 79/tcp #Finger
http 80/tcp www www-http #World Wide Web 萬維網超文本
傳輸協議
kerberos 88/tcp krb5 kerberos-sec #Kerberos
kerberos 88/udp krb5 kerberos-sec #Kerberos
hostname 101/tcp hostnames #NIC Host Name Server NIC主機
名服務器
iso-tsap 102/tcp #ISO-TSAP Class 0 IOS傳送
層服務訪問點
rtelnet 107/tcp #Remote Telnet Service 遠程
TELlnet服務
pop2 109/tcp postoffice #Post Office Protocol -
Version 2 郵局協議版本2
pop3 110/tcp #Post Office Protocol -
Version 3 郵件協議版本3
sunrpc 111/tcp rpcbind portmap #SUN Remote Procedure Call
SUN遠程過程調用
sunrpc 111/udp rpcbind portmap #SUN Remote Procedure Call
SUN遠程過程調用
auth 113/tcp ident tap #Identification Protocol 鑒別
服務協議
uucp-path 117/tcp #UUCP路徑服務
nntp 119/tcp usenet #Network News Transfer
Protocol 網絡新聞組傳送協議
ntp 123/udp #Network Time Protocol 網絡時
間協議
epmap 135/tcp loc-srv #DCE endpoint resolution 數據
通信設備定位
服務
epmap 135/udp loc-srv #DCE endpoint resolution 數據
通信設備定位服務
netbios-ns 137/tcp nbname #NETBIOS Name Service
NetBIOS命名服務
netbios-ns 137/udp nbname #NETBIOS Name Service
NetBIOS命名服務
netbios-dgm 138/udp nbdatagram #NETBIOS Datagram Service
NetBIOS數據報服務
netbios-ssn 139/tcp nbsession #NETBIOS Session Service
NetBIOS會話服務
imap 143/tcp imap4 #Internet Message Access
Protocol Internet郵件存取協
議版本
4pcmail-srv 158/tcp #PCMail Server PC Mail服務器
snmp 161/udp #SNMP 簡單網絡管理協議
snmptrap 162/udp snmp-trap #SNMP trap
print-srv 170/tcp #Network PostScript 網絡
PostScript
bgp 179/tcp #Border Gateway Protocol 邊際
網關協議
irc 194/tcp #Internet Relay Chat
Protocol Internet中繼對話協
議
ipx 213/udp #IPX over IP
ldap 389/tcp #Lightweight Directory Access
Protocol 輕量目錄訪問協議
https 443/tcp MCom #(暫未翻譯)只能理解為:訪問
SSL安全站點使用的協議
https 443/udp MCom #(暫未翻譯)只能理解為:訪問
SSL安全站點使用的協議
microsoft-ds 445/tcp #IP 上的服務器消息塊 (SMB),
即 Microsoft-DS
microsoft-ds 445/udp #IP 上的服務器消息塊 (SMB),
即 Microsoft-DS
kpasswd 464/tcp # Kerberos (v5)
kpasswd 464/udp # Kerberos (v5)
isakmp 500/udp ike #Internet Key Exchange
Internet密鑰交換
exec 512/tcp #Remote Process Execution 遠
程過程執行
biff 512/udp comsat
#郵件系統使用它通知用戶新郵件的到達;目前僅用于
從同一臺計算機上的進程接受信息
login 513/tcp #Remote Login 像telnet一樣進
行遠程登錄
who 513/udp whod #維護表明哪些用戶登錄到一個局
域網的計算機上和上和計算機負
載平均值的數據庫
cmd 514/tcp shell #類似于exec,但可為登錄的服務
器自動執行鑒別
syslog 514/udp #(未查閱到資料,暫未翻譯)
printer 515/tcp spooler #假脫機;打印服務器LPD服務將監
聽TCP的515端口上的進入連接
talk 517/udp #類似于tenex鏈接,但它是跨越
計算機的。
ntalk 518/udp #(未查閱到資料,暫未翻譯)
efs 520/tcp #Extended File Name Server 擴
展文件名服務
router 520/udp route routed #本地路由進程(在站點上);使
用XeroxNS路由信息協議的變體
timed 525/udp timeserver #(未查閱到資料,暫未翻譯)
tempo 526/tcp newdate #(未查閱到資料,暫未翻譯)
courier 530/tcp rpc #遠程過程調用
conference 531/tcp chat #(未查閱到資料,暫未翻譯)
netnews 532/tcp readnews #讀新聞
netwall 533/udp #For emergency broadcasts 用
于緊急事件廣播
uucp 540/tcp uucpd #(未查閱到資料,暫未翻譯)
klogin 543/tcp #Kerberos login
kshell 544/tcp krcmd #Kerberos remote shell
new-rwho 550/udp new-who #(未查閱到資料,暫未翻譯)
remotefs 556/tcp rfs rfs_server #遠程文件系統服務器
rmonitor 560/udp rmonitord #(未查閱到資料,暫未翻譯)
monitor 561/udp #(未查閱到資料,暫未翻譯)
ldaps 636/tcp sldap #LDAP over TLS/SSL 輕量目錄訪問協議穿
過安全套接字層/傳輸層安全
doom 666/tcp #Doom Id Software (未查閱到
資料,暫未翻譯)
doom 666/ud
p #Doom Id Software (未查閱到
資料,暫未翻譯)
kerberos-adm 749/tcp #Kerberos administration
Kerberos管理
kerberos-adm 749/udp #Kerberos administration
Kerberos管理
kerberos-iv 750/udp #Kerberos version IV (未查閱
到資料,暫未翻譯)
kpop 1109/tcp #Kerberos POP Kerberos方式彈
出
phone 1167/udp #Conference calling (未查閱
到資料,暫未翻譯)
ms-sql-s 1433/tcp #Microsoft-SQL-Server 微軟SQl
服務
ms-sql-s 1433/udp #Microsoft-SQL-Server 微軟SQl
服務
ms-sql-m 1434/tcp #Microsoft-SQL-Monitor 微軟SQ
服務監視器
ms-sql-m 1434/udp #Microsoft-SQL-Monitor 微軟SQ
服務監視器
wins 1512/tcp #Microsoft Windows Internet
Name Service
#保留給微軟windows的Internet
名字服務將來使用
wins 1512/udp #Microsoft Windows Internet
Name Service
ingreslock 1524/tcp ingres #(未查閱到資料,暫未翻譯)
l2tp 1701/udp #Layer Two Tunneling
Protocol 第二層隧道協議
pptp 1723/tcp #Point-to-point tunnelling
protocol 點對點隧道協議
radius 1812/udp # RADIUS authentication
protocol (暫未翻譯)
radacct 1813/udp #RADIUS accounting
Protocol (暫未翻譯)
nfsd 2049/udp nfs #NFS server 網絡文件系統服務
knetd 2053/tcp #Kerberos de-multiplexor
Kerberos分離器
man 9535/tcp #Remote Man Server 遠程管理服
務器
特別的,針對下面的子項:
TCP
fdlpw:epmap MYCHENG:2782 SYN_RECEIVED
它的意思是說:MYCHENG這臺機子利用他的2782端口試圖與本機的epmap服務連接,
所謂的epmap服務,就是數據通訊設備定位服務,采用tcp/udp 135端口。
4.連接狀態描述
netstat -an結果中出現的”LISTENING”,”SYN_RECEIVED”等等都是TCP套接字。
關于常用的套接字及其含義見下:
狀態 意義
CLOSED 沒有使用這個套接字
LISTEN 套接字正在監聽入境連接
SYN_SENT 套接字正在試圖主動建立連接
SYN_RECEIVED 正在處于連接的初始同步狀態
ESTABLISHED 連接已建立
CLOSE_WAIT 遠程套接字已經關閉:正在等待關閉這個套接字
FIN_WAIT_1 套接字已關閉,正在關閉連接
CLOSING 套接字已關閉,遠程套接字正在關閉,暫時掛起關閉確認
LAST_ACK 遠程套接字已,正在等待本地套接字的關閉確認
FIN_WAIT_2 套接字已關閉,正在等待遠程套接字關閉
TIME_WAIT 這個套接字已經關閉,正在等待遠程套接字的關閉傳送
5.TCP連接的建立過程
現今很多Internt的服務都是建立在TCP連接上面的,包括Telnet ,WWW, Email。當
一臺機器(我們稱它為客戶端)企圖跟一個臺提供服務的機器(我們稱它為服務端)建
立TCP連接時,它們必須先按次序交換通訊好幾次,這樣TCP連接才能建立起來。
開始客戶端會發送一個帶SYN標記的包到服務端;
服務端收到這樣帶SYN標記的包后,會發送一個帶SYN-ACK標記的包到客戶端作為確
認;當客戶端收到服務端帶SYN-ACK標記的包后 ,會向服務端發送一個帶ACK標記的包。
完成了這幾個步驟,它們的TCP連接就建立起來了,可以進行數據通訊。
客戶端 服務端
SYN →
← SYN-ACK
ACK →
*特別的,當你的netstat -an結果中有多個狀態為SYN_RECEIVED時,表示你可能中
了SYN flood攻擊
6.本機中的實例分析
Proto Local Address Foreign Address State
TCP fdlpw:ftp fdlpw:0 LISTENING
ftp服務,采用21端口,處于監聽狀態
TCP fdlpw:telnet fdlpw:0 LISTENING
telnet服務,采用23端口,處于監聽狀態(開代理了)
TCP fdlpw:smtp fdlpw:0 LISTENING
smtp服務,采用25端口,處于監聽狀態(開代理了)
TCP fdlpw:http fdlpw:0 LISTENING
http服務,采用80端口,處于監聽狀態(開web服務)
TCP fdlpw:pop3 fdlpw:0 LISTENING
pop3服務,采用110端口,監聽狀態(開代理了)
TCP fdlpw:nntp fdlpw:0 LISTENING
nntp服務,即網絡新聞傳輸服務,監聽狀態
TCP fdlpw:epmap fdlpw:0 LISTENING
epmap服務,數據通信設備定位服務(135端口),監聽狀態
TCP fdlpw:microsoft-ds fdlpw:0 LISTENING
SMB服務,445端口,Server Message Block
TCP fdlpw:808 fdlpw:0 LISTENING
代理服務,web代理,808端口
TCP fdlpw:1025 fdlpw:0 LISTENING
TCP fdlpw:1026 fdlpw:0 LISTENING
TCP fdlpw:1030 fdlpw:0 LISTENING
臨時服務,采用動態端口
TCP fdlpw:1080 fdlpw:0 LISTENING
socks代理服務
TCP fdlpw:2121 fdlpw:0 LISTENING
ftp代理服務
TCP fdlpw:3389 fdlpw:0 LISTENING
終端服務,3389端口
TCP fdlpw:8000 fdlpw:0 LISTENING
本人的另一個web服務
TCP fdlpw:epmap MYCHENG:2782 SYN_RECEIVED
135端口上的數據設備定位服務,連接建立狀態
TCP fdlpw:netbios-ssn fdlpw:0 LISTENING
139端口上的netbios會話服務,監聽狀態
TCP fdlpw:2213 202.120.225.9:telnet ESTABLISHED
TCP fdlpw:2217 10.73.225.9:telnet ESTABLISHED
TCP fdlpw:2220 10.11.3.123:1080 ESTABLISHED
TCP fdlpw:2222 10.11.3.123:1080 ESTABLISHED
TCP fdlpw:2495 202.120.225.9:telnet ESTABLISHED
TCP fdlpw:3199 10.85.31.164:10200 ESTABLISHED
TCP fdlpw:3206 10.85.31.164:10701 ESTABLISHED
本機的幾個應用程序建立的進程,采用動態端口
TCP fdlpw:3527 p8.www.dcn.yahoo.com:http SYN_SENT
IE瀏覽進程
TCP fdlpw:8000 www.fudan.edu.cn:53622 TIME_WAIT
TCP fdlpw:8000 www.fudan.edu.cn:54011 TIME_WAIT
UDP fdlpw:microsoft-ds *:*
UDP fdlpw:isakmp *:*
UDP fdlpw:1027 *:*
UDP fdlpw:2219 *:*
UDP fdlpw:2221 *:*
UDP fdlpw:3456 *:*
UDP fdlpw:4500 *:*
UDP fdlpw:49503 *:*
UDP fdlpw:ntp *:*
UDP fdlpw:netbios-ns *:*
UDP fdlpw:netbios-dgm *:*
UDP fdlpw:ntp *:*
UDP fdlpw:1039 *:*
UDP fdlpw:2230 *:*
UDP fdlpw:3456 *:*
轉載來源:https://blog.csdn.net/niceworkgogogo/article/details/72121460
總結
以上是生活随笔為你收集整理的netstat 介绍的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: linux查找文件新添加,Linux:查
- 下一篇: dw边框弧度设置_如何给你微信推文增加阴