دستور Netstat :
دستور Netstat فرمان اصلي اين برنامه مي باشد که
با تايپ اين دستور شما متوجه آي پي سيستمها و
پورتهايي که با آنها در ارتباط هستيد مي شويد و
مشاهده ميکنيد که پورتهايي Listening و يا
Established هستند و چه چيزي روي پورتهاي مختلف در
حال شنيده شدن ميباشد که خب اين باعث ميشود اگر
پورتي مخصوص يک تروجن مثل 27374 که پورت اصلي Sub7
هست در سيستم شما باز بود شما متوجه اين پورت باز
بروي سيستمتان بشويد.
اگر در قسمت Foreign Address هم يک آي پي بوسيله
پورتي به سيستم شما وصل بود شما به سرعت متوجه مي
شويد که يک نفر با آن آيپي در سيستم شماست ، پس
اين راهيست که متوجه گرديد سيستمتان آسيب پذير است
يا نه ، براي مثال من با تايپ دستور Netstat در
Ms-Dos پس از اتصال به اينتر نت نتايج زير را
گرفتم :
C:\WINDOWS>netstat
Active Connections
Proto Local Address Foreign Address State
TCP behrooz:1454 cs33.msg.sc5.yahoo.com:5050
ESTABLISHED
TCP behrooz:1488 63.123.44.222:80 ESTABLISHED
TCP behrooz:1491 opi1.vip.sc5.yahoo.com:80
TIME_WAIT
TCP behrooz:1497 64.187.54.23:80 ESTABLISHED
TCP behrooz:1498 64.187.54.23:80 ESTABLISHED
همانطور که ملاحظه ميکنيد اين دستور گاهي اوقات
اسم صاحب سيستم کلاينتي که شما با آن در ارتباط
هستيد را نيز ميدهد و چون اينجا من با کسي در PM
نبودم اسم کسي را نميبينيد ولي اگر کسي با من چت
کند و دستور Netstat را اجرا كند اسم حسين را
ميبيند و متوجه ميشود که اين صاحب آن سيستم
کلاينتي مي باشد که در حال چت كردن با آن است و
همچنين در اين قسمت مشخص است که من با پورت 5050
با ياهو مسنجر ارتباط برقرار کرده ام و نيز نتايجي
که در زير Local Address مشخص است اطلاعاتي درباره
خود من مي باشد :
IP/Hostname:Port open ===> hossein:1488
و نتايجي که در Foreign Address بدست مياد مشخص
ميکند که ما با چه سرور يا کلاينتي در ارتباط
هستيم . که در سطر پنجم مثال بالا يعني
63.123.44.222:80 آيپي سايت ياهو ميباشد و مشخص
ميكند كه من در سايت ياهو بوده و به وسيله پورت 80
که پورت Http ميباشد با اين وب سرور ارتباط برقرار
کرده ام و در قسمت Status هم مشخص ميشود که شما با
چه پورتهايي Established هستيد.
يعني ارتباط برقرار کرده و وصل هستيد و چه
پورتهايي Listening يا منتظر Request و در حال
شنيدن مي باشيد ، بنابراين با دستور Netstat مي
شود يک عمل مانيتورينگ از تمام آيپي ها - پورتها و
ماشينهايي که شما با آنها در ارتباط هستيد گرفت .
دستور Netstat -n :
همانطور که در بالا توضيح دادم مي شود با استفاده
از Netstat آيپي و پورت سيستمي که شما با آن در
ارتباط هستيد را بدست آورد حتي ميشود آيپي کسي كه
دارد با شما از طريقه PM در مسنجر چت ميکند را هم
بدست آورد چون وقتي شما مسنجرها را باز ميکنيد با
يک پورت خاصي شما با مسنجر ارتباط برقرار ميکنيد
که مثلاً شما با پورت 5050 با ياهو مسنجر ارتباط
برقرار ميکنيد .
شما با استفاده از دستور Netstat -n که در MS-DOS
تايپ ميکنيند ميتوانيد آيپي طرف مقابل را بدست
بياوريد.
:
Active Connections
Proto Local Address Foreign Address State
TCP 207.117.93.43:1425 216.136.175.226:5050
TIME_WAIT
TCP 207.117.93.43:1431 64.242.248.15:80
ESTABLISHED
TCP 207.117.93.43:1437 213.102.29.137:5101
ESTABLISHED
همانطور که ملاحظه ميکنيد من در اين لحظه با آيپي
213.102.29.137 در حال چت کردن بودم که اشتراکش هم
از البرز بوده و آي پي خود من هم در قسمت Local
Address مشخص ميشود ، در قسمت Proto نيز پروتکلي
که ما بوسيله آن با يک سيستم ارتباط برقرار کرديم
مشخص ميشود که اينجا از طريقه پروتکل TCPارتباط
برقرار شده است .
دستور Netstat/? :
شايد بهتر بود من اين دستور را قبل از 2 دستور
Netstat و Netstat -n معرفي ميکردم چون اين دستور
راهنما يا Help برنامه Netstat مي باشد که با تايپ
کردن آن شما يک صفحه کامل راجب فرمان Netstat
ميبينين و توضيح مختصري هم در جلوي هر دستور
مشاهده ميکنيد ، شما با تايپ اين دستور به اين
نتايج ميرسيد :
C:\WINDOWS>netstat /?
Displays protocol statistics and current TCP/IP
network connections.
NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r]
[interval]
-a Displays all connections and listening ports.
-e Displays Ethernet statistics. This may be
combined with the -s
option.
-n Displays addresses and port numbers in
numerical form.
-p proto Shows connections for the protocol
specified by proto; proto
may be TCP or UDP. If used with the -s option to
display
per-protocol statistics, proto may be TCP, UDP,
or IP.
-r Displays the routing table.
-s Displays per-protocol statistics. By default,
statistics are
shown for TCP, UDP and IP; the -p option may be
used to specify
a subset of the default.
interval Redisplays selected statistics, pausing
interval seconds
between each display. Press CTRL+C to stop
redisplaying
statistics. If omitted, netstat will print the
current
configuration information once.
البته ابن تمام دستورات Netstat نيست و کلاً Help
کاملي نيست ولي براي کساني که ميخواهن دانش سطحي
از Netstat بدست بياورند مفيد است و ميتوانند از
اين دستور و help آن کمک بگيرند ولي من توضيح
بيشتري راجب هر دستور ميدهم .
دستور Netstat -na :
با تايپ کردن اين دستور در MS-DOS Prompt تمام
پورتهايي که داده ها و بسته ها را ميفرستند مشخص
ميشود ، نشان " na " در تمام دستورات به معني
نمايش همه پورتها و ليست کردن آدرسهاي شبکه و
شماره فرمها در يک قالب عددي مي باشد ، براي مثال
من با تايپ اين فرمان در MS-DOS اين نتايج را
گرفتم :
C:\WINDOWS>netstat -na
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:1954 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1971 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5101 0.0.0.0:0 LISTENING
TCP 64.110.148.59:1954 207.46.106.21:1863
ESTABLISHED
TCP 64.110.148.59:1971 216.136.225.36:5050
ESTABLISHED
TCP 64.110.148.59:2031 63.121.106.74:80
TIME_WAIT
TCP 127.0.0.1:1025 0.0.0.0:0 LISTENING
UDP 0.0.0.0:1958 *:*
UDP 64.110.148.59:9 *:*
UDP 64.110.148.59:137 *:*
UDP 64.110.148.59:138 *:*
UDP 127.0.0.1:1037 *:*
UDP 127.0.0.1:1074 *:*
خب ميبينيد که پورتهاي باز روي سيستم من ليست شده
است. مثل 1854-1971-2031 ...
اين دستور همان دستور Netstat -n مي باشد که هر دو
يک عمل را انجام ميدهند و کارشان اين است که
پورتها را با معادل عدديشان نشان دهند.
مثلاً پورت Netbios را با معادل عدديش يعني 139
نشان ميدهند ، درست مثل دستور Netstat -n که آيپي
ها را با معادل عدديشان نشان ميداد ، اين دستور
پورتها را با معادل عددي نشان ميدهد .
دستور Netstat -a :
اين دستور نيز مثل دستور Netstat -an يا -na عمل
ميکنه فقط فرقش در اينه که اين دستور پورتها را با
معادل اسميشان نشان ميدهد ، براي مثال پورت 139 را
با معادل اسميش يعني Netbios نشان ميدهد و همچنين
مانند دستور Netstat اسم صاحب سيستم را پرينت
ميكند ، مثلاً من با تايپ اين دستور در MS-DOS به
اين نتايج سيدم :
C:\WINDOWS>netstat -a
Active Connections
Proto Local Address Foreign Address State
TCP behrooz:2055 BEHROOZ:0 LISTENING
TCP behrooz:5101 BEHROOZ:0 LISTENING
TCP behrooz:2047 BEHROOZ:0 LISTENING
TCP behrooz:2055 cs43.msg.sc5.yahoo.com:5050
ESTABLISHED
TCP behrooz:nbsession BEHROOZ:0 LISTENING
TCP behrooz:2047 baym-cs21.msgr.hotmail.com:1863
ESTABLISHED
TCP behrooz:1025 BEHROOZ:0 LISTENING
UDP behrooz:2053 *:*
UDP behrooz:discard *:*
UDP behrooz:nbname *:*
UDP behrooz:nbdatagram *:*
UDP behrooz:nfs *:*
UDP behrooz:1037 *:*
اين دستور براي تست کردن نقطه ضعفها و پورتهاي باز
در سيستم هاي خودمان بسيار مفيد ميباشد و اگر
سيستم آلوده به تروجن بود ميشود از اين دستورها و
کلاً برنامه Netstat اين موضوع را فهميد ، پس
آنهايي که سوال ميکنند ما چگونه بفهميم سيستم
خودمان آلوده به تروجن هست يا نه ، استفاده از اين
دستور و کلاً دستورات Netstat ميتواند خيلي به
آنها کمک کند .
خب تا اينجا شد 4 تا دستور ، اين 4 تا دستور تمام
ارتباطهاي شما در شبکه را در MS-DOS نشان ميده ولي
مخصوص پروتکل خاصي نبود ، يعني آي پي و پورتها را
در TCP - UDP , ... نشان ميداد ولي حالا ميخوام يک
دستور ديگه Netstat را به شما معرفي کنم که بايد
خود شما پروتکل را انتخاب کنيد تا ارتباطهاي شما
را در آن پروتکل نشان بدهد .
دستور Netstat -p xxx :
منظور از xxx يعني آن پروتکلي که شما در نظر داريد
که ميتواند TCP و UDP باشد ، من با تايپ اين دستور
در MS-DOS به اين نتيجه رسيدم :
C:\WINDOWS>netstat -p TCP
Active Connections
Proto Local Address Foreign Address State
TCP behrooz:1030 baym-cs12.msgr.hotmail.com:1863
ESTABLISHED
TCP behrooz:1036 cs46.msg.sc5.yahoo.com:5050
TIME_WAIT
TCP behrooz:1059 svcs.microsoft.com:80 TIME_WAIT
TCP behrooz:1060 msntoday.msn.com:80 TIME_WAIT
TCP behrooz:1063 207.46.134.30:80 TIME_WAIT
TCP behrooz:1067 207.46.134.30:80 TIME_WAIT
TCP behrooz:1073
digital-island-bos-37.focaldata.net:80
CLOSE_WAIT
IT
TCP behrooz:1074
digital-island-bos-37.focaldata.net:80
CLOSE_WAIT
IT
TCP behrooz:1077 cs46.msg.sc5.yahoo.com:5050
ESTABLISHED
TCP behrooz:1087 64.124.82.13.akamai.com:80
ESTABLISHED
TCP behrooz:1111 64.124.82.21.akamai.com:80
ESTABLISHED
که همانطور که مشاهده ميکنيد من ارتباطم را در
پروتکل TCP امتحان کردم براي مثال با MSN
Messanger با پورت 1863 و با آدرس
baym-cs12.msgr.hotmail.com ارتباط برقرار کردم و
شما اگر ميخوايند آيپي اين سرور را بفهميد
ميتوانيد از دستور Netstat -n استفاده کنيد و آيپي
که قبل از پورت 1863 در آن دستور مشاهده ميکنيد
آيپي اين سرور است .
دستور Netstat -e :
اين دستور نيز يکي از دستورات Netstat است که
آماري از ارتباطها و بسته ها و شماره هاي ارسال و
ذخيره بسته ها و داده ها را نشان ميدهد ، من با
تايپ دستور Netstat -e در MS-DOS Prompt اين نتايج
را گرفتم :
C:\WINDOWS>netstat -e
Interface Statistics
Received Sent
Bytes 628308 224952
Unicast packets 2288 2218
Non-unicast packets 111 111
Discards 0 0
Errors 0 0
Unknown protocols 74
اين دستور بيشتر براي ويندوزهاي 98 , me و همينطور
مودمهايي که آمار بسته ها را نميدهند خوب
و مفيد است چون در ويندوز 2000 – XP- قسمتي از اين
آمار براحتي در اختيار User قرار ميگيرد ، و شما
ميتونيد با استفاده از اين دستور ترافيک ISP و
شبکه را ببينيد و همينطور برنامه هايي که در حال
دانلود هستسد را چک کنيد و يا اگر بسته اي در
ارسالش مشکلي پيش بياد ميتوانيد در قسمت Errors
مشاهده کنيد ، ...
دستور Netstat -r :
اين دستور توسط کاربران معمولي اينترنت زياد بکار
گرفته نميشود چون درک بعضي از گزينه هاش براي
کاربران عادي دشوار ، بحرحال اين دستور جزييات
دقيقي مثل آدرس Gateway - Interface Metric
-Netmask , ... درباره آدرس آي پي شما در شبکه
ميدهد ، همچنين در ويندوزهاي8 9 - ME کار دستور
Netstat -a را هم انجام ميدهد ، براي هکينگ نيز
اين دستور و کلاً اطلاعات Routing Tables مهم و
مفيد ميباشد ، من با تايپ اين دستور اين نتايج را
گرفتم :
D:\>netstat -r
Route Table
===================================
Interface List
0x1 ........................... MS TCP Loopback
interface
0x2000003 ...00 53 45 00 00 00 ...... WAN
(PPP/SLIP) Interface
===================================
===================================
Active Routes:
Network Destination Netmask Gateway Interface
Metric
0.0.0.0 0.0.0.0 64.110.148.61 64.110.148.61 1
64.110.148.48 255.255.255.255 64.110.148.61
64.110.148.61 1
64.110.148.61 255.255.255.255 127.0.0.1
127.0.0.1 1
64.255.255.255 255.255.255.255 64.110.148.61
64.110.148.61 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
224.0.0.0 224.0.0.0 64.110.148.61 64.110.148.61
1
Default Gateway: 64.110.148.61
================================== |