廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 23259 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
笑笑 會員卡 葫蘆墩家族
個人文章 個人相簿 個人日記 個人地圖
發文大師獎
頭銜:    
風雲人物
級別: 風雲人物 該用戶目前不上站
推文 x137 鮮花 x523
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x1
[資訊教學] 用netstat檢查port有無異常
最近發現自己電腦裡多了很多的 listen port ,很想知道是那些程式在用
所以就上網找了一下,原來 netstat 就可以查出那些程式在用

只要在命令提示字元打上 netstat -ano





想監控特定連線的來源或 Port,在 UNIX 中內建了不少好用的程式,組合各個小工具後更是威力無窮;Windows 在這方面雖然也有相當多類似的程式可安裝,但內建的 Netstat 用起來總是有些缺憾,在 SANS 看到這篇 Fun With Windows Netstat ,提到一些小技巧,用例子講述大家就可明瞭:

netstat –na 1 | find “特定IP”
顯示特定 IP 之連線,每隔一秒更新畫面一次 (適用於像是你已鎖定可疑對象,但不知他何時會連過來)
-a 代表列出所有連線
-n 代表僅列出 IP 及 Port,不解析為 hostname 及 service name,速度會快很多

netstat –nao 1 | find “特定IP”
加上 -o 參數可顯示觸發該連線之 process ID,
欲知 process name 則可以透過內建的 tasklist 這程式

netstat –na 1 | find “4444″ | find “ESTABLISHED”
也可以針對特定 Port,不分對象的進行監控,
再透過 find “ESTABLISHED” 篩選掉僅 LISTENING 的部份



netstat /?

顯示通訊協定統計資料和目前的 TCP/IP 網路連線。

NETSTAT [-a] [-b] [-e] [-f] [-n] [-o] [-p proto] [-r] [-s] [-t] [interval]

 -a      顯示所有連線和聽候連接埠。
 -b      顯示涉及建立每個連線或聽候連接埠的執行檔。在某些情況下,已知執行檔可主控多個獨立元件,在這些情況下,便會顯示涉及建立連線或聽候連接埠的元件順序。如此,執行檔名稱位於底部的 [] 中,上方便是它呼叫的元件等,直到已達 TCP/IP。請注意,此選項相當耗時,而且如果您沒有足夠的權限,便會失敗。
 -e      顯示 Ethernet 統計資料。這可以跟 -s 選項合併使用。
 -f      顯示外部地址的完整格式的網域名稱 (FQDN)。
 -n      以數字格式顯示位址和連接埠號碼。
 -o      顯示與每個連線相關聯的擁有處理程序識別碼。
 -p proto   顯示由 proto 指定的通訊協定連線; proto可能是下列任一個: TCP、UDP、TCPv6 或UDPv6。如果與 -s 選項搭配使用來顯示每個通訊協定的統計資料,proto 可能是下列任一個:
        IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 或 UDPv6。
 -r      顯示路由表。
 -s      顯示每個通訊協定的統計資料。依預設,將會顯示
        IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 和 UDPv6 的統計資料;
        -p 選項可以用來指定預設的子集。
 -t      顯示目前的連線卸載狀態。
 interval   重新顯示選取的統計資料,每次顯示之間的暫停間隔秒數。按 CTRL+C 鍵可以停止重新顯示統計資料。如果省略,netstat 將會列印一次目前的設定資訊。

下面是尋找 28021 與 開啟連線中 為 TCP 協定 計算數量 累記到 1.log
netstat -na | findstr “28021″ | findstr “ESTABLISHED” | find /C “TCP” >> 1.log


netstat參數
-A 顯示任何關聯的協議控制塊的地址。主要用於調試
-a 顯示所有套接字的狀態。在一般情況下不顯示與服務器進程相關聯的套接字
-i 顯示自動配置接口的狀態。那些在系統初始引導后配置的接口狀態不在輸出之列
-m 打印網絡存儲器的使用情況
-n 打印實際地址,而不是對地址的解釋或者顯示主電腦,網絡名之類的符號
-r 打印路由選擇表
-f address -family對於給出名字的地址簇打印統計數字和控制塊資訊。到目前為止,唯一支持的地址簇是inet
-I interface 只打印給出名字的接口狀態
-p protocol-name 只打印給出名字的協議的統計數字和協議控制塊資訊
-s 打印每個協議的統計數字
-t 在輸出顯示中用時間資訊代替隊列長度資訊。

netstat命令的列標題
Name 接口的名字
Mtu 接口的最大傳輸單位
Net/Dest 接口所在的網絡
Address 接口的IP地址
Ipkts 接收到的資料包數目
Ierrs 接收到時已損坏的資料包數目
Opkts 送出的資料包數目
Oeers 送出時已損坏的資料包數目
Collisions 由這個接口所記錄的網絡沖突數目




在 windows 下使用 netstat 指令來查詢已開啟的 listen port (-a), 以及已建立的連線 (active connection) 是十分方便的工具. 不過若是要知道該 connection 或 listen port 是由哪個 process 建立的, 在 netstat 指令下是無法達成的, 必須藉由另一個 sysinternals (被 ms 併入了)的 tcpview 工具.

不過, 現在可以不用這麼麻煩了, netstat 工具已經增加了這個功能, 指令是 (-b), 例如:

netstat -nb

可以找出目前建立 connection 的不解析名稱(即使用ip及port number, -n)的方式, 列出對應的執行檔名稱及 process id (PID), 如此一來, 對於要快速追蹤 active connection 及 listen port 的 process (或執行檔名) 可以更快速的利用指令來取得.

常用的方式如下:

netstat -na

netstat -nab

為什麼使用 -n, 因為可以不用反查 hostname, 直接顯示 ip, 速度較快啦.
另外使用 -b 的功能應該是要在 windows 2003 sp2 及以上, windows xp sp3, windows vista 以上才有.

less..

以下為 netstat 的指令功能列表:

顯示通訊協定統計資料以及目前的 TCP/IP 網路連線。

NETSTAT [-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-t] [-v] [interval]

-a 顯示所有連線以及接聽連接埠。
-b 顯示關於建立各連線或接聽連接埠的可執行檔。某些情況下是知名的可執行主機多重獨立元件,在這些情況下則會顯示關於建立連線或接聽連接埠的元件組合。在此狀況下,可執行檔的名稱顯示於底部的 [] 中,而其呼叫的元件則顯示於頂端,直到取得 TCP/IP 為止。請注意,這個選項可能需要很多時間而且可能會失敗,除非您有足夠的權限。
-e 顯示乙太網路統計資料。這可結合 -s該選項。
-n 以數字形式顯示位址與連接埠號。
-o 顯示與各連線有關之所擁有的處理程序。
-p 通訊協定 顯示由通訊協定所指定的通訊協定連線;通訊協定可能為下列其中一種:TCP、UDP、TCPv6 或 UDPv6。如果使用此 -s選項顯示每一個通訊協定統計資料,則通訊協定可能為下列其中一種:IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 或 UDPv6。
-r 顯示路由表。
-s 顯示每一個通訊協定統計資料。根據預設值,會顯示 IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 和 UDPv6 的統計資料;此 -p 選項可用於指定預設子集。
-t 顯示目前的連線卸載狀態。
-v 與 -b 搭配使用時,將顯示關於建立所有可執行檔之連線或接聽連接埠的元件組合。
間隔 重新顯示已選的統計資料,並在每次顯示的間隔暫停數秒。按下 CTRL+C 以停止顯示統計資料。如果省略此步,則 netstat 將列印目前的組態資訊。



每天大笑三聲,可以讓你更長壽哦...^^
獻花 x0 回到頂端 [樓 主] From:台灣新世紀資通 | Posted:2009-11-10 08:16 |
liujenha 手機
數位造型
個人文章 個人相簿 個人日記 個人地圖
風雲人物
級別: 風雲人物 該用戶目前不上站
推文 x0 鮮花 x4768
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

沒錯netstat是個很好用的小工具


獻花 x0 回到頂端 [1 樓] From:台灣中華電信 | Posted:2009-11-10 08:23 |
joycc
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x0 鮮花 x1785
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

好用的小工具, 可惜不是很會用


獻花 x0 回到頂端 [2 樓] From:台灣中華電信 | Posted:2009-11-10 11:31 |
leochen 會員卡
個人文章 個人相簿 個人日記 個人地圖
社區建設獎
知名人士
級別: 知名人士 該用戶目前不上站
推文 x1606 鮮花 x4745
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

MS 以前賣軟體會附一大堆書,不需要講的也講.
現在只附"廣告",卻連客戶所買的軟體裡有什麼好東西(工具軟體)也都不提! 表情
軟體一灌下去,就是一大堆東西一起灌下去,誰知道裡面有什麼?


獻花 x0 回到頂端 [3 樓] From:歐洲 | Posted:2009-11-10 13:37 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.056641 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言