netstat命令详解.docx
《netstat命令详解.docx》由会员分享,可在线阅读,更多相关《netstat命令详解.docx(10页珍藏版)》请在冰豆网上搜索。
netstat命令详解
netstat命令详解
Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据,一般用于检验本机各端口的网络连接情况。
如果你的计算机有时候接收到的数据报导致出错数据或故障,你不必感到奇怪,TCP/IP可以容许这些类型的错误,并能够自动重发数据报。
但如果累计的出错情况数目占到所接收的IP数据报相当大的百分比,或者它的数目正迅速增加,那么你就应该使用Netstat查一查为什么会出现这些情况了。
Netstat详细参数列表
(Winxp)
C:
\>netstat/?
显示协议统计信息和当前TCP/IP网络连接。
NETSTAT[-a][-b][-e][-n][-o][-pproto][-r][-s][-v][interval]
-a显示所有连接和监听端口。
-b显示包含于创建每个连接或监听端口的可执行组件。
在某些情况下已知可执行组件
拥有多个独立组件,并且在这些情况下包含于创建连接或监听端口的组件序列被显示。
这种情况下,可执行组件名在底部的[]中,顶部是其调用的组件,等等,直到TCP/IP
部分。
注意此选项可能需要很长时间,如果没有足够权限可能失败。
-e显示以太网统计信息。
此选项可以与-s
选项组合使用。
-n以数字形式显示地址和端口号。
-o显示与每个连接相关的所属进程ID。
-pproto显示proto指定的协议的连接;proto可以是
下列协议之一:
TCP、UDP、TCPv6或UDPv6。
如果与-s选项一起使用以显示按协议统计信息,proto可以是下列协议之一:
IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP或UDPv6。
-r显示路由表。
-s显示按协议统计信息。
默认地,显示IP、
IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP和UDPv6的统计信息;
-p选项用于指定默认情况的子集。
-v与-b选项一起使用时将显示包含于
为所有可执行组件创建连接或监听端口的
组件。
interval重新显示选定统计信息,每次显示之间
暂停时间间隔(以秒计)。
按CTRL+C停止重新
显示统计信息。
如果省略,netstat显示当前
配置信息(只显示一次)
(Win2000)
C:
\>netstat/?
DisplaysprotocolstatisticsandcurrentTCP/IPnetworkconnections.
NETSTAT[-a][-e][-n][-s][-pproto][-r][interval]
-aDisplaysallconnectionsandlisteningports.
-eDisplaysEthernetstatistics.Thismaybecombinedwiththe-s
option.
-nDisplaysaddressesandportnumbersinnumericalform.
-pprotoShowsconnectionsfortheprotocolspecifiedbyproto;proto
maybeTCPorUDP.Ifusedwiththe-soptiontodisplay
per-protocolstatistics,protomaybeTCP,UDP,orIP.
-rDisplaystheroutingtable.
-sDisplaysper-protocolstatistics.Bydefault,statisticsare
shownforTCP,UDPandIP;the-poptionmaybeusedtospecify
asubsetofthedefault.
intervalRedisplaysselectedstatistics,pausingintervalseconds
betweeneachdisplay.PressCTRL+Ctostopredisplaying
statistics.Ifomitted,netstatwillprintthecurrent
configurationinformationonce.
Netstat的一些常用选项
netstat-s——本选项能够按照各个协议分别显示其统计数据。
如果你的应用程序(如Web浏览器)运行速度比较慢,或者不能显示Web页之类的数据,那么你就可以用本选项来查看一下所显示的信息。
你需要仔细查看统计数据的各行,找到出错的关键字,进而确定问题所在。
netstat-e——本选项用于显示关于以太网的统计数据。
它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。
这些统计数据既有发送的数据报数量,也有接收的数据报数量。
这个选项可以用来统计一些基本的网络流量。
netstat-r——本选项可以显示关于路由表的信息,类似于后面所讲使用routeprint命令时看到的信息。
除了显示有效路由外,还显示当前有效的连接。
netstat-a——本选项显示一个所有的有效连接信息列表,包括已建立的连接(ESTABLISHED),也包括监听连接请求(LISTENING)的那些连接,断开连接(CLOSE_WAIT)或者处于联机等待状态的(TIME_WAIT)等
netstat-n——显示所有已建立的有效连接。
接下来我们来看一下,微软是怎么说的?
微软公司故意将这个功能强大的命令隐藏起来是因为它对于普通用户来说有些复杂。
我们已经知道:
Netstat它可以用来获得你的系统网络连接的信息(使用的端口,在使用的协议等),收到和发出的数据,被连接的远程系统的端口,Netstat在内存中读取所有的网络信息。
在InternetRFC标准中,Netstat的定义是:
Netstat是在内核中访问网络及相关信息的程序,它能提供TCP连接,TCP和UDP监听,进程内存管理的相关报告。
对于好奇心极强的人来说,紧紧有上面的理论是远远不够的,接下来我们来详细的解释一下各个参数的使用,看看执行之后会发生什么,显示的信息又是什么意思,好了,废话不说了,让我们一起来实践一下吧:
)
C:
\>netstat-a
ActiveConnections
ProtoLocalAddress ForeignAddress State
TCP Eagle:
ftp Eagle:
0 LISTENING
TCP Eagle:
telnet Eagle:
0 LISTENING
TCP Eagle:
smtp Eagle:
0 LISTENING
TCP Eagle:
http Eagle:
0 LISTENING
TCP Eagle:
epmap Eagle:
0 LISTENING
TCP Eagle:
https Eagle:
0 LISTENING
TCP Eagle:
microsoft-ds Eagle:
0 LISTENING
TCP Eagle:
1030 Eagle:
0 LISTENING
TCP Eagle:
6059 Eagle:
0 LISTENING
TCP Eagle:
8001 Eagle:
0 LISTENING
TCP Eagle:
8005 Eagle:
0 LISTENING
TCP Eagle:
8065 Eagle:
0 LISTENING
TCP Eagle:
microsoft-ds localhost:
1031 ESTABLISHED
TCP Eagle:
1031 localhost:
microsoft-dsESTABLISHED
TCP Eagle:
1040 Eagle:
0 LISTENING
TCP Eagle:
netbios-ssn Eagle:
0 LISTENING
TCP Eagle:
1213 218.85.139.65:
9002 CLOSE_WAIT
TCP Eagle:
2416 219.133.63.142:
https CLOSE_WAIT
TCP Eagle:
2443 219.133.63.142:
https CLOSE_WAIT
TCP Eagle:
2907 192.168.1.101:
2774 CLOSE_WAIT
TCP Eagle:
2916 192.168.1.101:
telnet ESTABLISHED
TCP Eagle:
2927 219.137.227.10:
4899 TIME_WAIT
TCP Eagle:
2928 219.137.227.10:
4899 TIME_WAIT
TCP Eagle:
2929 219.137.227.10:
4899 ESTABLISHED
TCP Eagle:
3455 218.85.139.65:
9002 ESTABLISHED
TCP Eagle:
netbios-ssn Eagle:
0 LISTENING
UDP Eagle:
microsoft-ds *:
*
UDP Eagle:
1046 *:
*
UDP Eagle:
1050 *:
*
UDP Eagle:
1073 *:
*
UDP Eagle:
1938 *:
*
UDP Eagle:
2314 *:
*
UDP Eagle:
2399 *:
*
UDP Eagle:
2413 *:
*
UDP Eagle:
2904 *:
*
UDP Eagle:
2908 *:
*
UDP Eagle:
3456 *:
*
UDP Eagle:
4000 *:
*
UDP Eagle:
4001 *:
*
UDP Eagle:
6000 *:
*
UDP Eagle:
6001 *:
*
UDP Eagle:
6002 *:
*
UDP Eagle:
6003 *:
*
UDP Eagle:
6004 *:
*
UDP Eagle:
6005 *:
*
UDP Eagle:
6006 *:
*
UDP Eagle:
6007 *:
*
UDP Eagle:
6008 *:
*
UDP Eagle:
6009 *:
*
UDP Eagle:
6010 *:
*
UDP Eagle:
6011 *:
*
UDP Eagle:
1045 *:
*
UDP Eagle:
1051 *:
*
UDP Eagle:
netbios-ns *:
*
UDP Eagle:
netbios-dgm *:
*
UDP Eagle:
netbios-ns *:
*
UDP Eagle:
netbios-dgm *:
*
我们拿其中一行来解释吧:
ProtoLocalAddress ForeignAddress State
TCP Eagle:
2929 219.137.227.10:
4899 ESTABLISHED
协议(Proto):
TCP,指是传输层通讯协议(什么?
不懂?
请用baidu搜索"TCP",OSI七层和TCP/IP四层可是基础^_^)
本地机器名(Local Address):
Eagle,俗称计算机名了,安装系统时设置的,可以在“我的电脑”属性中修改,本地打开并用于连接的端口:
2929)
远程机器名(Foreign Address):
219.137.227.10
远程端口:
4899
状态:
ESTABLISHED
状态列表
LISTEN :
在监听状态中。
ESTABLISHED:
已建立联机的联机情况。
TIME_WAIT:
该联机在目前已经是等待的状态。
-a参数常用于获得你的本地系统开放的端口,用它您可以自己检查你的系统上有没有被安装木马(ps:
有很多好程序用来检测木马,但你的目的是想成为真正的hacker,手工检测要比只按一下“scan”按钮好些----仅个人观点)。
如果您Netstat你自己的话,发现下面的信息:
Port12345(TCP)Netbus
Port31337(UDP)BackOrifice
祝贺!
您中了最常见的木马(^_^,上面4899是我连别人的,而且这个radmin是商业软件,目前我最喜欢的远程控制软件)
如果你需要木马及其端口列表的话,去国内的H站找找,或者baidu,google吧
*****************************************************************
#一些原理:
也许你有这样的问题:
“在机器名后的端口号代表什么?
例子:
Eagle:
2929
小于1024的端口通常运行一些网络服务,大于1024的端口用来与远程机器建立连接。
*****************************************************************
继续我们的探讨,使用-n参数。
(Netstat-n)
Netstat-n基本上是-a参数的数字形式:
C:
\>netstat-n
ActiveConnections
ProtoLocalAddress ForeignAddress State
TCP 127.0.0.1:
445 127.0.0.1:
1031 ESTABLISHED
TCP 127.0.0.1:
1031 127.0.0.1:
445 ESTABLISHED
TCP 192.168.1.180:
1213 218.85.139.65:
9002 CLOSE_WAIT
TCP 192.168.1.180:
2416 219.133.63.142:
443 CLOSE_WAIT
TCP 192.168.1.180:
2443 219.133.63.142:
443 CLOSE_WAIT
TCP 192.168.1.180:
2907 192.168.1.101:
2774 CLOSE_WAIT
TCP 192.168.1.180:
2916 192.168.1.101:
23 ESTABLISHED
TCP 192.168.1.180:
2929 219.137.227.10:
4899 ESTABLISHED
TCP 192.168.1.180:
3048 192.168.1.1:
8004 SYN_SENT
TCP 192.168.1.180:
3455 218.85.139.65:
9002 ESTABLISHED
-a和-n是最常用的两个,据我不完全测试得出以下结果:
1.-n显示用数字化主机名,即IP地址,而不是compute_name【eagle】
2.-n只显示TCP连接(没有在哪里见过微软的相关文档,有哪个朋友见到的话,记得告诉我喔^_^)
得到IP等于得到一切,它是最容易使机器受到攻击的东东,所以隐藏自己IP,获得别人的IP对hacker来说非常重要,现在隐藏IP技术很流行,但那些隐藏工具或服务真的让你隐身吗?
我看不见得,呵呵,代理,跳板不属于今天讨论,一个获取对方IP的简单例子请参考我前面的文章【用DOS命令查QQ好友IP地址】
-a和-n是最常用的命令,如果要显示一些协议的更详细信息,就要用-p这个参数了,它其实是-a和-n的一个变种,我们来看一个实例,你就明白了:
【netstat-p@@@其中@@@为TCP或者UDP】
C:
\>netstat-ptcp
ActiveConnections
ProtoLocalAddress ForeignAddress State
TCP Eagle:
microsoft-ds localhost:
1031 ESTABLISHED
TCP Eagle:
1031 localhost:
microsoft-dsESTABLISHED
TCP Eagle:
1213 218.85.139.65:
9002 CLOSE_WAIT
TCP Eagle:
2416 219.133.63.142:
https CLOSE_WAIT
TCP Eagle:
2443 219.133.63.142:
https CLOSE_WAIT
TCP Eagle:
2907 192.168.1.101:
2774 CLOSE_WAIT
TCP Eagle:
2916 192.168.1.101:
telnet ESTABLISHED
TCP Eagle:
2929 219.137.227.10:
4899 ESTABLISHED
TCP Eagle:
3455 218.85.139.65:
9002 ESTABLISHED
继续我们的参数讲解-e
含义:
本选项用于显示关于以太网的统计数据。
它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。
这些统计数据既有发送的数据报数量,也有接收的数据报数量。
这个选项可以用来统计一些基本的网络流量。
C:
\>netstat-e
InterfaceStatistics
Received Sent
Bytes 143090206 44998789
Unicastpackets 691805 363603
Non-unicastpackets 886526 2386
Discards 0 0
Errors 0 0
Unknownprotocols 4449
若接收错和发送错接近为零或全为零,网络的接口无问题。
但当这两个字段有100个以上的出错分组时就可以认为是高出错率了。
高的发送错表示本地网络饱和或在主机与网络之间有不良的物理连接; 高的接收错表示整体网络饱和、本地主机过载或物理连接有问题,可以用Ping命令统计误码率,进一步确定故障的程度。
netstat-e和ping结合使用能解决一大部分网络故障。
接下来我们开始讲解两个比较复杂的参数-r和-s,也正因为如此,笔者把他放到最后讲解,这里面可能会涉及到其他方面的知识,以后在我的博客中将会继续写出来,呵呵,最近比较忙
-r是用来显示路由表信息,我们来看例子:
C:
\>netstat-r
RouteTable(路由表)
===========================================================================
InterfaceList(网络接口列表)
0x1...........................MSTCPLoopbackinterface
0x10003...000cf1027681......Intel(R)PRO/WirelessLAN21003BMiniPCI
dapter
0x10004...00023f0005cb......RealtekRTL8139/810xFamilyFastEthernet
C
===========================================================================
===========================================================================
ActiveRoutes:
(动态路由)
NetworkDestination Netmask Gateway InterfaceMetric
0.0.0.0
升级会员 