/ / Opis komendy NETSTAT (statystyki aktywnych połączeń TCP)

Opis polecenia NETSTAT (statystyki aktywnych połączeń TCP)

Czasami podczas działania dowolnego systemu, czy tonastępnie domowy komputer osobisty lub wydajny serwer obsługujący wiele połączeń, przydatne jest posiadanie narzędzia na wyciągnięcie ręki, zdolnego do wyświetlania danych dotyczących aktywności sieci. Za co może być konieczne? Aby kontrolować ruch, obliczyć aplikacje, które nielegalnie trafiają do sieci lub użytkowników. To właśnie robi narzędzie, które rozważamy.

Co to jest Netstat?

Jest to aplikacja, z którą możeszDowiedz się, co dzieje się w tej chwili w Internecie. Aby rozpocząć, użyj wiersza poleceń. Wykorzystuje również dodatkowe klucze i parametry podczas uruchamiania Netstat.

opis komendy netstat

Należy zauważyć, że powstaje nazwa narzędziadwóch składników - statystyk sieci, czyli statystyk sieci, które w zasadzie są logiczne. Wśród informacji wyświetlanych przez program można wyodrębnić statystyki połączeń TCP, portów i routingu.

Polecenia i klucze

Składnia klawiszy i parametrów polecenia jest dość obszerna. Pozwala to uzyskać statystyki sieciowe na różnych poziomach. Poniżej znajduje się opis polecenia Netstat, jego parametry i klucze:

  • -a - początek z tym parametrem wyświetli wszystkie aktywne połączenia TCP, a także porty TCP i UDP, które są odsłuchiwane przez system;
  • -e - wyświetlanie rozszerzonych statystyk Ethernet, na przykład o przenoszeniu bajtów i pakietów;
  • -n - parametr pozwala pokazać aktywne połączenia TCP z adresami i numerami portów;
  • -o - taki sam jak poprzedni klucz, wyświetla aktywne połączenia TCP, ale kody procesów są dodawane do statystyk, możesz już dokładnie określić, która aplikacja używa połączenia;
  • -p - wyświetla informacje o określonym protokole określonym w parametrze. Wśród wartości mogą być tcp, udp, tcpv6 i udpv6;

netstat linux

  • -s - wyświetla statystyki na protokole, domyślnie wyświetlane będą wszystkie znane typy;
  • -r - ten klucz wyświetla zawartość tabeli routingu IP, parametr jest równoważny użyciu polecenia route;
  • interwał - we wspólnej linii poleceń można użyć wartości przedziału, przez którą będą wyświetlane wybrane statystyki; jeśli zostanie pominięty, informacja zostanie wyświetlona tylko jeden raz;
  • /? - Wyświetla informacje pomocy dla polecenia Netstat.

Używanie Netstat w systemie Windows

Aby wyświetlić wiersz poleceniawszystkie połączenia, umieszczając je na kilku stronach, musisz użyć następującej składni: "-a | więcej ». Jeśli chcesz zapisać wszystkie statystyki do określonego pliku, musisz użyć "-a> C: nazwa pliku". W ten sposób wszystkie zebrane informacje zostaną zapisane w pliku określonym w tej ścieżce.

Rezultatem pracy może być mała tabela zawierająca następujące typy danych:

  • Imię. Jest to nazwa znalezionego aktywnego protokołu.
  • Adres lokalny. Adres IP i port używane przez lokalną usługę do utworzenia połączenia. Wśród wartości można znaleźć 0.0.0.0, co oznacza dowolny dostępny adres lub 127.0.0.1. Oznacza to lokalną pętlę.
  • Adres zewnętrzny. IP i zewnętrzny port serwisowy w sieci, z którą nawiązane jest połączenie.

netstat otwarte porty

  • Stan. Wyświetla bieżący status połączenia. Może przyjmować różne wartości. Na przykład Słuchanie oznacza, że ​​usługa nasłuchuje i oczekuje na połączenie przychodzące. Ustalony oznacza aktywne połączenie.

Netstat uruchomiony z przełącznikami -a i -b pokaże sięwszystkie połączenia sieciowe, a także powiązane programy. Jest to bardzo przydatne, jeśli trzeba obliczyć, który program aktywnie korzysta z ruchu i gdzie dane są wysyłane.

Dodatkowe stany połączeń

Oprócz powyższych stanów związków istnieją dodatkowe:

  • zamknięte - jak sama nazwa wskazuje, połączenie jest zamknięte;
  • syn_sent - aktywna próba nawiązania połączenia;
  • syn_received - pokazuje początkowy etap synchronizacji;
  • close_wait - zdalny serwer jest wyłączony, a połączenie jest zakończone.

Używanie Netstat w systemie Linux

Zastosowanie narzędzia w środowisku Linux w rzeczywistości niewiele różni się od systemu Windows. Są tylko drobne różnice w parametrach zespołu. Opis polecenia Netstat i jego parametrów za pomocą przykładów:

  • Aby wyświetlić wszystkie porty, użyj polecenia "netstat -a".
  • Wszystko to samo, ale tylko typ TCP - "-at".
  • Porty UDP to "-au".
  • Wyświetl otwarte porty w Netstat - "-l". Ich stan będzie odzwierciedlony jako słuchanie.
  • Wyświetl otwarte porty TCP w Netstat - "netstat -lt.
  • Dane wyjściowe identyfikatora procesu i jego nazwy to "netstat -p".
  • Pokaż statystyki dla oddzielnego protokołu sieciowego - "netstat -s".

okna netstat

Czasami, aby uzyskać więcej informacji o dowolnym połączeniu sieciowym, należy połączyć Netstat z niektórymi komendami i narzędziami Linux. Na przykład:

netstat -ap | grep ssh

Ten wiersz wyświetla listę portów,który jest obecnie używany przez narzędzie SSH. Jeśli, wręcz przeciwnie, musisz wiedzieć, jaki proces przyjmuje określony port, możesz użyć następującej składni:

netstat -an | grep `: 80`

Również dla Netstat w Linuksie jest uniwersalnyzestaw kluczy, które od razu pokażą wszystko, czego potrzebujesz. Wygląda to tak: netstat -lnptux. Zestaw danych będzie odzwierciedlał wszystkie otwarte porty, TCP, UDP, UNIX Socket, nazwy procesów i ich identyfikatory.

Kilka przykładów określania ataku DoS lub DDoS

Poniższe polecenie poinformuje, ile połączeń jest aktywnych na każdym adresie IP:

netstat -naltp | grep ESTABLISHED | awk "{wydrukuj 5 USD}" | awk -F: "{print $ 1}" | sort -n | uniq -c

Definiujemy dużą liczbę żądań z tego samego adresu IP:

netstat -na | grep: 80 | sortować

Określ dokładną liczbę żądań odebranych na połączenie:

netstat -np | grep SYN_RECV | wc -l

Podczas przeprowadzania ataku DoS, liczba uzyskana wwynik pracy tego polecenia powinien być dość duży. W każdym razie może zależeć od konkretnego systemu. Oznacza to, że na jednym serwerze może to być jeden, a na innym - inny.

Wniosek

W którym systemie operacyjnym polecenie nie będzie używane, jest niezbędnym narzędziem do skanowania, analizy i debugowania sieci. Jest aktywnie wykorzystywany przez administratorów systemu na całym świecie.

protokół sieciowy

Netstat może być używany, gdy system jest zainfekowanydowolne oprogramowanie wirusowe. Jest w stanie pokazać wszystkie aplikacje o wysokiej aktywności podejrzanego ruchu sieciowego. Pomoże to na wczesnym etapie zidentyfikować szkodliwe oprogramowanie i zneutralizować je lub chronić serwer przed niechcianymi wtargnięciami intruzów.

Wnioski

Artykuł zawiera szczegółowy opis zespołuNetstat i jego parametry i klucze. Pełne wykorzystanie programu jest możliwe po kilku etapach treningu na prawdziwym urządzeniu. Połączenie z innymi zespołami zapewni mu jeszcze większą wydajność. Kompletny zestaw opisów poleceń Netstat można znaleźć w podręczniku na oficjalnej stronie narzędzia. Warto również zauważyć, że gdy jest używane w środowisku Linux, polecenie Netstat jest przestarzałe i zdecydowanie zaleca się użycie SS.

Czytaj więcej: