netstat.docx

1、netstat在命令行界面中, 输入 netstat -an后, 显示的各种state的意义如下:LISTEN：侦听来自远方的TCP端口的连接请求SYN-SENT：再发送连接请求后等待匹配的连接请求SYN-RECEIVED：再收到和发送一个连接请求后等待对方对连接请求的确认ESTABLISHED：代表一个打开的连接FIN-WAIT-1：等待远程TCP连接中断请求，或先前的连接中断请求的确认FIN-WAIT-2：从远程TCP等待连接中断请求CLOSE-WAIT：等待从本地用户发来的连接中断请求CLOSING：等待远程TCP对连接中断的确认LAST-ACK：等待原来的发向远程TCP的连接中断请求的

2、确认TIME-WAIT：等待足够的时间以确保远程TCP接收到连接中断请求的确认CLOSED：没有任何连接状态Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，一般用于检验本机各端口的网络连接情况。如果你的计算机有时候接收到的数据报导致出错数据或故障，你不必感到奇怪，TCP/IP可以容许这些类型的错误，并能够自动重发数据报。但如果累计的出错情况数目占到所接收的IP数据报相当大的百分比，或者它的数目正迅速增加，那么你就应该使用Netstat查一查为什么会出现这些情况了。Netstat详细参数列表（Winxp）C:netstat /?显示协议统计信息和当前TCP/IP网络连接

3、。NETSTAT -a -b -e -n -o -p proto -r -s -v interval-a显示所有连接和监听端口。-b显示包含于创建每个连接或监听端口的可执行组件。在某些情况下已知可执行组件拥有多个独立组件，并且在这些情况下包含于创建连接或监听端口的组件序列被显示。这种情况下，可执行组件名在底部的中，顶部是其调用的组件，等等，直到TCP/IP部分。注意此选项可能需要很长时间，如果没有足够权限可能失败。-e显示以太网统计信息。此选项可以与-s选项组合使用。-n以数字形式显示地址和端口号。-o显示与每个连接相关的所属进程ID。-p proto显示proto指定的协议的连接；proto

4、可以是下列协议之一: TCP、UDP、TCPv6或UDPv6。如果与-s选项一起使用以显示按协议统计信息，proto可以是下列协议之一:IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP或UDPv6。-r显示路由表。-s显示按协议统计信息。默认地，显示IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP和UDPv6的统计信息；-p选项用于指定默认情况的子集。-v与-b选项一起使用时将显示包含于为所有可执行组件创建连接或监听端口的组件。interval重新显示选定统计信息，每次显示之间暂停时间间隔(以秒计)。按CTRL+C停止重新显示统计信息。如果省略，netsta

5、t显示当前配置信息(只显示一次)（Win2000）C:netstat /?Displays protocol statistics and current TCP/IP network connections.NETSTAT -a -e -n -s -p proto -r interval-aDisplays all connections and listening ports.-eDisplays Ethernet statistics. This may be combined with the -soption.-nDisplays addresses and port numbers

6、 in numerical form.-p protoShows connections for the protocol specified by proto; protomay be TCP or UDP.If used with the -s option to displayper-protocol statistics, proto may be TCP, UDP, or IP.-rDisplays the routing table.-sDisplays per-protocol statistics.By default, statistics areshown for TCP,

7、 UDP and IP; the -p option may be used to specifya subset of the default.intervalRedisplays selected statistics, pausing interval secondsbetween each display.Press CTRL+C to stop redisplayingstatistics.If omitted, netstat will print the currentconfiguration information once.Netstat的一些常用选项netstat -s本

8、选项能够按照各个协议分别显示其统计数据。如果你的应用程序（如Web浏览器）运行速度比较慢，或者不能显示Web页之类的数据，那么你就可以用本选项来查看一下所显示的信息。你需要仔细查看统计数据的各行，找到出错的关键字，进而确定问题所在。netstat -e本选项用于显示关于以太网的统计数据。它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。这些统计数据既有发送的数据报数量，也有接收的数据报数量。这个选项可以用来统计一些基本的网络流量。netstat -r本选项可以显示关于路由表的信息，类似于后面所讲使用route print命令时看到的 信息。除了显示有效路由外，还

9、显示当前有效的连接。netstat -a本选项显示一个所有的有效连接信息列表，包括已建立的连接（ESTABLISHED），也包括监听连接请求（LISTENING）的那些连接，断开连接（CLOSE_WAIT）或者处于联机等待状态的（TIME_WAIT）等netstat -n显示所有已建立的有效连接。微软公司故意将这个功能强大的命令隐藏起来是因为它对于普通用户来说有些复杂。我们已经知道：Netstat它可以用来获得你的系统网络连接的信息（使用的端口，在使用的协议等 ），收到和发出的数据，被连接的远程系统的端口，Netstat在内存中读取所有的网络信息。在Internet RFC标准中，Netsta

10、t的定义是：Netstat是在内核中访问网络及相关信息的程序，它能提供TCP连接，TCP和UDP监听，进程内存管理的相关报告。对于好奇心极强的人来说，紧紧有上面的理论是远远不够的，接下来我们来详细的解释一下各个参数的使用，看看执行之后会发生什么，显示的信息又是什么意思，好了，废话不说了，让我们一起来实践一下吧：）C:netstat -aActive ConnectionsProtoLocal AddressForeign AddressStateTCPEagle:ftpEagle:0LISTENINGTCPEagle:telnetEagle:0LISTENINGTCPEagle:smtpEag

11、le:0LISTENINGTCPEagle:httpEagle:0LISTENINGTCPEagle:epmapEagle:0LISTENINGTCPEagle:httpsEagle:0LISTENINGTCPEagle:microsoft-dsEagle:0LISTENINGTCPEagle:1030Eagle:0LISTENINGTCPEagle:6059Eagle:0LISTENINGTCPEagle:8001Eagle:0LISTENINGTCPEagle:8005Eagle:0LISTENINGTCPEagle:8065Eagle:0LISTENINGTCPEagle:microso

12、ft-dslocalhost:1031ESTABLISHEDTCPEagle:1031localhost:microsoft-dsESTABLISHEDTCPEagle:1040Eagle:0LISTENINGTCPEagle:netbios-ssnEagle:0LISTENINGTCPEagle:1213218.85.139.65:9002CLOSE_WAITTCPEagle:2416219.133.63.142:httpsCLOSE_WAITTCPEagle:2443219.133.63.142:httpsCLOSE_WAITTCPEagle:2907192.168.1.101:2774C

13、LOSE_WAITTCPEagle:2916192.168.1.101:telnetESTABLISHEDTCPEagle:2927219.137.227.10:4899TIME_WAITTCPEagle:2928219.137.227.10:4899TIME_WAITTCPEagle:2929219.137.227.10:4899ESTABLISHEDTCPEagle:3455218.85.139.65:9002ESTABLISHEDTCPEagle:netbios-ssnEagle:0LISTENINGUDPEagle:microsoft-ds*:*UDPEagle:1046*:*UDPE

14、agle:1050*:*UDPEagle:1073*:*UDPEagle:1938*:*UDPEagle:2314*:*UDPEagle:2399*:*UDPEagle:2413*:*UDPEagle:2904*:*UDPEagle:2908*:*UDPEagle:3456*:*UDPEagle:4000*:*UDPEagle:4001*:*UDPEagle:6000*:*UDPEagle:6001*:*UDPEagle:6002*:*UDPEagle:6003*:*UDPEagle:6004*:*UDPEagle:6005*:*UDPEagle:6006*:*UDPEagle:6007*:*

15、UDPEagle:6008*:*UDPEagle:6009*:*UDPEagle:6010*:*UDPEagle:6011*:*UDPEagle:1045*:*UDPEagle:1051*:*UDPEagle:netbios-ns*:*UDPEagle:netbios-dgm*:*UDPEagle:netbios-ns*:*UDPEagle:netbios-dgm*:*我们拿其中一行来解释吧：ProtoLocal AddressForeign AddressStateTCPEagle:2929219.137.227.10:4899ESTABLISHED协议（Proto）：TCP，指是传输层通讯

16、协议（什么？不懂？请用baidu搜索TCP，OSI七层和TCP/IP四层可是基础_）本地机器名（LocalAddress）：Eagle，俗称计算机名了，安装系统时设置的，可以在“我的电脑”属性中修改，本地打开并用于连接的端口：2929）远程机器名（ForeignAddress）：219.137.227.10远程端口：4899状态：ESTABLISHED状态列表LISTEN：在监听状态中。ESTABLISHED：已建立联机的联机情况。TIME_WAIT：该联机在目前已经是等待的状态。-a参数常用于获得你的本地系统开放的端口，用它您可以自己检查你的系统上有没有被安装木马（ps：有很多好程序用来检测

17、木马，但你的目的是想成为真正的hacker，手工检测要比只按一下“scan”按钮好些-仅个人观点）。如果您Netstat你自己的话，发现下面的信息：Port 12345(TCP) NetbusPort 31337(UDP) Back Orifice祝贺!您中了最常见的木马（_，上面4899是我连别人的，而且这个radmin是商业软件，目前我最喜欢的远程控制软件）如果你需要木马及其端口列表的话，去国内的H站找找，或者baidu，google吧*#一些原理：也许你有这样的问题：“在机器名后的端口号代表什么？例子：Eagle:2929小于1024的端口通常运行一些网络服务，大于1024的端口用来与远

18、程机器建立连接。*继续我们的探讨，使用-n参数。（Netstat -n)Netstat -n基本上是-a参数的数字形式：C:netstat -nActive ConnectionsProtoLocal AddressForeign AddressStateTCP127.0.0.1:445127.0.0.1:1031ESTABLISHEDTCP127.0.0.1:1031127.0.0.1:445ESTABLISHEDTCP192.168.1.180:1213218.85.139.65:9002CLOSE_WAITTCP192.168.1.180:2416219.133.63.142:443CL

19、OSE_WAITTCP192.168.1.180:2443219.133.63.142:443CLOSE_WAITTCP192.168.1.180:2907192.168.1.101:2774CLOSE_WAITTCP192.168.1.180:2916192.168.1.101:23ESTABLISHEDTCP192.168.1.180:2929219.137.227.10:4899ESTABLISHEDTCP192.168.1.180:3048192.168.1.1:8004SYN_SENTTCP192.168.1.180:3455218.85.139.65:9002ESTABLISHED

20、-a和 n是最常用的两个，据我不完全测试得出以下结果：1. -n显示用数字化主机名，即IP地址，而不是compute_name【eagle】2. -n只显示TCP连接（没有在哪里见过微软的相关文档，有哪个朋友见到的话，记得告诉我喔_）得到IP等于得到一切，它是最容易使机器受到攻击的东东，所以隐藏自己IP，获得别人的IP对hacker来说非常重要，现在隐藏IP技术很流行，但那些隐藏工具或服务真的让你隐身吗？我看不见得，呵呵，代理，跳板不属于今天讨论，一个获取对方IP的简单例子请参考我前面的文章【用DOS命令查QQ好友IP地址】-a和-n是最常用的命令，如果要显示一些协议的更详细信息，就要用-p这

21、个参数了，它其实是-a和-n的一个变种，我们来看一个实例，你就明白了：【netstat -p 其中为TCP或者UDP】C:netstat -p tcpActive ConnectionsProtoLocal AddressForeign AddressStateTCPEagle:microsoft-dslocalhost:1031ESTABLISHEDTCPEagle:1031localhost:microsoft-dsESTABLISHEDTCPEagle:1213218.85.139.65:9002CLOSE_WAITTCPEagle:2416219.133.63.142:httpsCLO

22、SE_WAITTCPEagle:2443219.133.63.142:httpsCLOSE_WAITTCPEagle:2907192.168.1.101:2774CLOSE_WAITTCPEagle:2916192.168.1.101:telnetESTABLISHEDTCPEagle:2929219.137.227.10:4899ESTABLISHEDTCPEagle:3455218.85.139.65:9002ESTABLISHED继续我们的参数讲解-e含义：本选项用于显示关于以太网的统计数据。它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。这些统计数据既有发送的数据报数量，也有接收的数据报数量。这个选项可以用来统计一些基本的网络流量。C:netstat -eInterface StatisticsReceivedSentBytes14309020644998789Unicast packets691805363603Non-unicast packets886526