Trạng thái cổng được thiết lập. Mẹo sử dụng Netstat dành cho quản trị viên Windows Server. Một số ví dụ để xác định cuộc tấn công DoS hoặc DDoS

Hiển thị các kết nối TCP đang hoạt động, các cổng mà máy tính đang nghe, số liệu thống kê Ethernet, bảng định tuyến IP, số liệu thống kê IPv4 (đối với giao thức IP, ICMP, TCP và UDP) và số liệu thống kê IPv6 (đối với IPv6, ICMPv6, TCP qua IPv6 và UDP qua IPv6 giao thức). Lệnh chạy không có tham số nbtstat hiển thị các kết nối TCP.

Cú pháp

netstat [-Một] [-e] [-N] [-o] [-P giao thức] [-r] [-S] [khoảng thời gian]

Tùy chọn

-a Liệt kê tất cả các kết nối TCP đang hoạt động và các cổng TCP và UDP mà máy tính đang nghe. -e In số liệu thống kê Ethernet, chẳng hạn như số byte và gói được gửi và nhận. Tham số này có thể được kết hợp với phím -S. -n Liệt kê các kết nối TCP đang hoạt động, hiển thị địa chỉ và số cổng ở định dạng số mà không cần cố gắng phân giải tên. -o Liệt kê các kết nối TCP đang hoạt động và bao gồm ID tiến trình (PID) cho mỗi kết nối. Mã quy trình cho phép bạn tìm ứng dụng trên tab Quy trình Trình quản lý tác vụ Windows. Tham số này có thể được kết hợp với các phím -Một, -N Và -P. -P giao thức Liệt kê các kết nối cho giao thức được chỉ định bởi tham số giao thức. Trong trường hợp này tham số giao thức có thể nhận các giá trị tcp, udp, tcpv6 hoặc udpv6. Nếu tham số này được sử dụng với phím -Sđể hiển thị số liệu thống kê giao thức, tham số giao thức có thể quan trọng tcp, udp, icmp, ip, tcpv6, udpv6, icmpv6 hoặc ipv6. -s Hiển thị số liệu thống kê giao thức. Theo mặc định, số liệu thống kê được hiển thị cho các giao thức TCP, UDP, ICMP và IP. Nếu IPv6 được cài đặt cho Windows XP, số liệu thống kê sẽ được hiển thị cho TCP qua IPv6, UDP qua IPv6, ICMPv6 và IPv6. Tham số -P có thể được sử dụng để chỉ định một bộ giao thức. -r Hiển thị nội dung của bảng định tuyến IP. Lệnh này tương đương với lệnh in lộ trình. khoảng thời gian Làm mới dữ liệu đã chọn theo khoảng thời gian được xác định bởi tham số khoảng thời gian(trong vài giây). Nhấn CTRL+C sẽ dừng cập nhật. Nếu tham số này bị bỏ qua, netstat chỉ hiển thị dữ liệu đã chọn một lần. /? Hiển thị trợ giúp trên dòng lệnh.

Ghi chú

• Các tùy chọn được sử dụng với lệnh này phải được đặt trước dấu gạch nối ( - ), thay vì gạch chéo ( / ).
• Đội Netstat hiển thị số liệu thống kê cho các đối tượng sau.
  • Giao thức

    Tên giao thức (TCP hoặc UDP).

  • Địa chỉ địa phương

    Địa chỉ IP của máy tính cục bộ và số cổng được sử dụng. Tên máy tính cục bộ tương ứng với địa chỉ IP và tên cổng chỉ được hiển thị nếu tham số không được chỉ định -N. Nếu cổng không được chỉ định, dấu hoa thị (*) sẽ được hiển thị thay vì số cổng.

  • Địa chỉ bên ngoài

    Địa chỉ IP và số cổng của máy tính từ xa được kết nối với ổ cắm này. Tên tương ứng với địa chỉ IP và cổng chỉ được hiển thị nếu tham số không được chỉ định -N. Nếu cổng không được chỉ định, dấu hoa thị (*) sẽ được hiển thị thay vì số cổng.

  • (Tình trạng)

    Cho biết trạng thái kết nối TCP. Những giá trị khả thi:

  Để biết thêm thông tin về trạng thái kết nối TCP, hãy xem RFC 793.

• Lệnh này chỉ khả dụng nếu thành phần trong thuộc tính bộ điều hợp mạng trong đối tượng Network Connections được đặt thành Giao thức Internet (TCP/IP).

Ví dụ

Để hiển thị số liệu thống kê và thống kê Ethernet cho tất cả các giao thức, hãy nhập lệnh sau:

Để chỉ hiển thị số liệu thống kê cho giao thức TCP và UDP, hãy nhập lệnh sau:

netstat -s -p tcp udp

Để hiển thị các kết nối TCP đang hoạt động và mã xử lý cứ sau 5 giây, hãy nhập lệnh sau:

Để liệt kê các kết nối TCP đang hoạt động và mỗi ID xử lý bằng định dạng số, hãy nhập lệnh sau:

Đối với các câu hỏi, thảo luận, nhận xét, đề xuất, v.v., bạn có thể sử dụng phần diễn đàn của trang này (yêu cầu đăng ký).

    Nhóm NETSTATđược thiết kế để lấy thông tin về trạng thái kết nối mạng và các cổng TCP và UDP đang lắng nghe trên máy tính này, cũng như để hiển thị dữ liệu thống kê trên các giao thức và giao diện mạng.

Định dạng dòng lệnh:

NETSTAT [-a] [-b] [-e] [-f] [-n] [-o] [-p giao thức] [-r] [-s] [-t] [khoảng]

Tùy chọn dòng lệnh:

-Một- Hiển thị tất cả các kết nối và cổng chờ.
-b- Hiển thị file thực thi liên quan đến việc tạo từng kết nối, hoặc cổng nghe. Đôi khi các tệp thực thi đã biết chứa nhiều thành phần độc lập. Sau đó, trình tự các thành phần liên quan đến việc tạo kết nối hoặc cổng chờ sẽ được hiển thị. Trong trường hợp này, tên của tệp thực thi nằm ở dưới cùng trong ngoặc, ở trên cùng là thành phần mà nó gọi, v.v. cho đến khi đạt được TCP/IP. Xin lưu ý rằng phương pháp này có thể tốn thời gian và cần có đủ quyền.
-e- Hiển thị số liệu thống kê Ethernet. Có thể được sử dụng kết hợp với tùy chọn -s.
-f- Hiển thị Tên miền đủ điều kiện (FQDN) cho các địa chỉ bên ngoài.
-N- Hiển thị địa chỉ và số cổng ở định dạng số.
-o- Hiển thị mã tiến trình (ID) của từng kết nối.
-p giao thức- Hiển thị các kết nối cho giao thức được chỉ định bởi tham số này. Các giá trị hợp lệ là TCP, UDP, TCPv6 hoặc UDPv6. Được sử dụng cùng với tham số -s để hiển thị số liệu thống kê giao thức. Các giá trị hợp lệ là IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP hoặc UDPv6.
-r- Hiển thị nội dung của bảng định tuyến.
-S- Hiển thị số liệu thống kê giao thức. Theo mặc định, số liệu thống kê được hiển thị cho các giao thức IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP và UDPv6. Tùy chọn -p cho phép bạn chỉ định một tập hợp con của đầu ra.
-t- Hiển thị kết nối hiện tại ở trạng thái chuyển tải từ bộ xử lý sang adapter mạng trong quá trình truyền dữ liệu (“giảm tải”).
-v- Thông tin chi tiết đầu ra, nếu có thể.
khoảng thời gian- Đầu ra lặp lại của dữ liệu thống kê ở một khoảng thời gian xác định tính bằng giây. Để ngừng xuất dữ liệu, nhấn CTRL+C. Nếu tham số không được chỉ định, thông tin về cấu hình hiện tại sẽ được hiển thị một lần.

Trong thực tế, tiện ích netstat.exe thuận tiện để sử dụng trong chuỗi với các lệnh xuất trang ( hơn), chuyển hướng đầu ra tiêu chuẩn sang một tệp ( > ) và tìm kiếm văn bản trong kết quả đầu ra ( tìm thấy).

netstat -a | hơn- hiển thị tất cả các kết nối ở chế độ hiển thị từng trang.

netstat -a -n| hơn- giống như trong ví dụ trước, nhưng với số cổng và địa chỉ IP được hiển thị ở định dạng số. Không giống như ví dụ trước, lệnh netstat với tham số -t hoạt động nhanh hơn nhiều.

netstat -a -f | hơn- giống như trong ví dụ trước, nhưng hiển thị tên DNS đầy đủ của các nút tham gia kết nối.

netstat -a > C:\netstatall.txt- hiển thị tất cả các kết nối và ghi kết quả vào file C:\netstatall.txt.

netstat -a | tìm /I "LẮNG NGHE"- hiển thị tất cả các kết nối có trạng thái LISTENING, tức là hiển thị danh sách các giao diện mạng và cổng đang lắng nghe các kết nối đến (cổng “nghe”). Chìa khóa /TÔI trong một nhóm tìm thấy cho biết khi tìm kiếm văn bản không cần tính đến trường hợp ký tự.

netstat -a | tìm /I "nghe" > C:\listening.txt- hiển thị tất cả các kết nối có trạng thái LISTENING và ghi kết quả vào file C:\listening.txt.

Ví dụ về thông tin hiển thị:

Kết nối đang hoạt động

Tên- tên của giao thức.

Địa chỉ địa phương- địa chỉ IP cục bộ tham gia kết nối hoặc liên kết với dịch vụ chờ kết nối đến (nghe cổng). Nếu 0.0.0.0 được hiển thị dưới dạng địa chỉ thì điều này có nghĩa là “bất kỳ địa chỉ nào”, tức là tất cả các địa chỉ IP hiện có trên một máy tính nhất định đều có thể được sử dụng trong kết nối. Địa chỉ 127.0.0.1 là giao diện loopback được sử dụng làm phương tiện giao thức IP để liên lạc giữa các tiến trình mà không thực sự truyền dữ liệu.

Địa chỉ bên ngoàiĐịa chỉ IP bên ngoài liên quan đến việc tạo kết nối.

Tình trạng- tình trạng kết nối. Tình trạng Nghe cho biết thanh trạng thái hiển thị thông tin về dịch vụ mạng đang chờ kết nối đến bằng giao thức thích hợp tới địa chỉ và cổng được hiển thị trong cột "Địa chỉ cục bộ". Tình trạng THÀNH LẬP cho biết một kết nối đang hoạt động. Trong cột "Trạng thái" dành cho các kết nối qua giao thức TCP, giai đoạn hiện tại của phiên TCP có thể được hiển thị, được xác định bằng cách xử lý các giá trị cờ trong tiêu đề gói TCP (Syn, Ask, Fin ...). Các trạng thái có thể:

CLOSE_WAIT- chờ kết nối đóng.
ĐÓNG CỬA- kết nối bị đóng.
THÀNH LẬP- kết nối được thiết lập.
NGHE- kết nối được mong đợi (cổng nghe)
THỜI GIAN CHỜ ĐỢI- vượt quá thời gian đáp ứng.

Tên của mô-đun phần mềm liên quan đến kết nối này sẽ được hiển thị nếu tham số được chỉ định -b trên dòng lệnh khi chạy netstat.exe.

netstat -a -b- lấy danh sách tất cả các kết nối mạng và các chương trình liên quan.

TCP 192.168.0.3:3389 89.22.52.11:5779 ĐƯỢC THÀNH LẬP
mật mãSvc

Ví dụ này hiển thị thông tin về kết nối mà các thành phần phần mềm tham gia vào việc tạo. mật mãSvc Và svchost.exe.

netstat -ab- các tham số dòng lệnh có thể được kết hợp. Tham số -ab tương đương -a -b

netstat -e- nhận dữ liệu thống kê để trao đổi qua giao thức Ethernet. Hiển thị tổng giá trị của byte đã nhận và đã nhận cho tất cả các bộ điều hợp mạng Ethernet.

Thống kê giao diện

netstat -e -v- ngoài số liệu thống kê tóm tắt, thông tin về trao đổi dữ liệu qua các giao diện mạng riêng lẻ sẽ được hiển thị.

netstat -e -s- ngoài số liệu thống kê Ethernet, số liệu thống kê cho các giao thức IP, ICMP, TCP, UDP được hiển thị

Thống kê giao diện

Thống kê IPv4

Gói đã nhận Đã nhận được lỗi tiêu đề Lỗi nhận được trong địa chỉ Datagram đã gửi Gói đã nhận bị rớt Yêu cầu rút tiền Các tuyến đường bị loại bỏ Gói đầu ra bị loại bỏ Yêu cầu lắp ráp Xây dựng thành công Xây dựng thất bại Các mảnh đã được tạo

= 10877781 = 0 = 27307 = 0 = 0 = 448 = 11384479 = 11919871 = 0 = 1517 = 6 = 0 = 0 = 0 = 5918 = 0 = 11836

Thống kê IPv6

Gói đã nhận Đã nhận được lỗi tiêu đề Lỗi nhận được trong địa chỉ Datagram đã gửi Đã nhận được giao thức không xác định Gói đã nhận bị rớt Đã nhận được gói hàng đã giao Yêu cầu rút tiền Các tuyến đường bị loại bỏ Gói đầu ra bị loại bỏ Gói đầu ra không có tuyến đường Yêu cầu lắp ráp Xây dựng thành công Xây dựng thất bại Datagram đã được phân mảnh thành công Lỗi phân mảnh datagram Các mảnh đã được tạo

= 0 = 0 = 0 = 0 = 0 = 0 = 391 = 921 = 0 = 0 = 14 = 0 = 0 = 0 = 0 = 0 = 0

Thống kê ICMPv4

Thống kê ICMPv6

Thống kê TCP cho IPv4

Thống kê TCP cho IPv6

Thống kê UDP cho IPv4

Thống kê UDP cho IPv6

netstat -s -p icmp- chỉ lấy số liệu thống kê qua giao thức ICMP

Ví dụ về số liệu thống kê được hiển thị:

Thống kê ICMPv4

Để thăm dò theo chu kỳ trạng thái kết nối mạng, chương trình sẽ được khởi chạy, cho biết khoảng thời gian hiển thị dữ liệu thống kê tính bằng giây.

netstat -e 3- hiển thị số liệu thống kê Ethernet trong khoảng thời gian 3 giây.

netstat –f 10- hiển thị số liệu thống kê kết nối mạng cứ sau 10 giây bằng tên máy chủ DNS đầy đủ.

netstat -n 5 | tìm /i "Đã thành lập"- hiển thị số liệu thống kê về các kết nối được thiết lập cứ sau 5 giây.

Lệnh Netstat hiển thị nhiều dữ liệu mạng khác nhau như kết nối mạng, bảng định tuyến, thống kê giao diện, kết nối bị che, không gian multicast, v.v.

Trong bài viết này, chúng ta hãy xem 10 ví dụ lệnh thực tế NetStat trên Unix.

1. Danh sách tất cả các cổng (cả cổng nghe và cổng không nghe)

Liệt kê tất cả các cổng bằng lệnh Netstat -a

# netstat -a | thêm Kết nối Internet đang hoạt động (máy chủ và đã thiết lập) Proto Recv-Q Send-Q Địa chỉ cục bộ Địa chỉ nước ngoài Trạng thái tcp 0 0 localhost:30037 *:* LISTEN udp 0 0 *:bootpc *:* Ổ cắm miền UNIX hoạt động (máy chủ và đã thiết lập) Proto Cờ RefCnt Loại Trạng thái Đường dẫn nút I unix 2 [ ACC ] STREAM LISTENING 6135 /tmp/.X11-unix/X0 unix 2 [ ACC ] STREAM LISTENING 5140 /var/run/acpid.socket

Liệt kê tất cả các cổng TCP bằng netstat -at

# netstat -at Kết nối Internet đang hoạt động (máy chủ và đã thiết lập) Proto Recv-Q Send-Q Địa chỉ cục bộ Địa chỉ nước ngoài Trạng thái tcp 0 0 0.0.0.0:http 0.0.0.0:* LISTEN tcp 0 0 localhost:webcache 0.0.0..0.0 .0:* LISTEN tcp 0 0 localhost:domain 0.0.0.0:* NGHE

Liệt kê tất cả các cổng UDP bằng netstat -au

# netstat -au Kết nối Internet đang hoạt động (máy chủ và đã thiết lập) Proto Recv-Q Send-Q Địa chỉ cục bộ Địa chỉ nước ngoài Bang udp 0 0 andreyex..ru:50053 google-public-dn:domain THÀNH LẬP

2. Danh sách các socket đang ở trạng thái lắng nghe

Chỉ liệt kê các cổng nghe bằng netstat -l

# netstat -l Kết nối Internet đang hoạt động (chỉ máy chủ) Proto Recv-Q Send-Q Địa chỉ cục bộ Địa chỉ nước ngoài Trạng thái tcp 0 0 0.0.0.0:http 0.0.0.0:* LISTEN tcp 0 0 localhost:webcache 0.0.0..0.0. 0:* LISTEN tcp 0 0 localhost:domain 0.0.0.0:* NGHE

Chỉ liệt kê các cổng nghe TCP bằng netstat -lt

# netstat -lt Kết nối Internet đang hoạt động (chỉ máy chủ) Proto Recv-Q Send-Q Địa chỉ cục bộ Địa chỉ nước ngoài Trạng thái tcp 0 0 0.0.0.0:http 0.0.0.0:* LISTEN tcp 0 0 localhost:webcache 0.0.0..0.0. 0:* LISTEN tcp 0 0 localhost:domain 0.0.0.0:* NGHE

Chỉ liệt kê các cổng UDP nghe bằng netstat -lu

# netstat -lu Kết nối Internet đang hoạt động (chỉ máy chủ) Proto Recv-Q Send-Q Địa chỉ cục bộ Địa chỉ nước ngoài Trạng thái udp 0 0 site:domain 0.0.0.0:* udp 0 0 localhost:domain 0.0.0..0.0.0:*

Chỉ liệt kê các cổng nghe UNIX bằng netstat -lx

# netstat -lx Ổ cắm miền UNIX hoạt động (chỉ máy chủ) Cờ Proto RefCnt Loại Trạng thái Đường dẫn nút I unix 2 [ ACC ] STREAM LISTENING 19693 tmp/core.adm.internal unix 2 [ ACC ] SEQPACKET LISTENING 8723 /run/udev/control unix 2 [ ACC ] LẮNG NGHE STREAM 12566 /var/run/dbus/system_bus_socket unix 2 [ ACC ] LISTEN STREAM 16948 /var/run/fail2ban/fail2ban.sock unix 2 [ ACC ] LISTEN STREAM 19702 tmp/core.sock

3. Hiển thị số liệu thống kê cho từng giao thức

Hiển thị số liệu thống kê cho tất cả các cổng bằng netstat -s

# netstat -s Ip: 190566 tổng số gói đã nhận 0 được chuyển tiếp 0 gói đến bị loại bỏ 189618 gói đến đã gửi 170462 yêu cầu đã gửi đi 16 bị loại bỏ do thiếu tuyến đường Icmp: 74 tin nhắn ICMP đã nhận được 0 tin nhắn ICMP đầu vào không thành công. Biểu đồ đầu vào ICMP: không thể truy cập đích: 22 yêu cầu tiếng vang: 52.....

Hiển thị số liệu thống kê cho các cổng TCP (hoặc) UDP bằng netstat -st (hoặc) -su

# netstat -st # netstat -su

4. Tên chương trình và PID trong đầu ra netstat bằng lệnh netstat -p

Lựa chọn netstat -p có thể được kết hợp với bất kỳ tùy chọn nào khác netstat. Điều này sẽ thêm "PID/Tên chương trình" vào đầu ra netstat. Điều này rất hữu ích trong việc gỡ lỗi để xác định chương trình nào đang chạy trên một cổng cụ thể.

# netstat -pt Kết nối Internet đang hoạt động (không có máy chủ) Proto Recv-Q Send-Q Địa chỉ cục bộ Địa chỉ nước ngoài Trạng thái PID/Tên chương trình tcp 0 0 localhost:56642 localhost:46846 TIME_WAIT - tcp 0 0 localhost:56642 localhost:46748 TIME_WAIT -

5. Không phân giải máy chủ, cổng và tên người dùng trong đầu ra netstat

Nếu bạn không muốn hiển thị tên máy chủ, cổng hoặc người dùng, hãy sử dụng netstat với tùy chọn -n. Điều này sẽ hiển thị bằng số và sẽ không giải quyết tên máy chủ, tên cổng, tên người dùng.

Điều này cũng tăng tốc độ đầu ra vì netstat không thực hiện bất kỳ tra cứu nào.

# netstat -an

Nếu bạn không muốn một trong ba mục này (cổng hoặc máy chủ hoặc người dùng), hãy sử dụng các lệnh sau.

# netsat -a --numeric-ports # netsat -a --numeric-hosts # netsat -a --numeric-users

6. In thông tin netstat liên tục

netstat sẽ in thông tin liên tục cứ sau vài giây.

132.93.178:24080 THÀNH LẬP tcp 0 0 localhost:56642 localhost:47258 TIME_WAIT tcp 0 0 localhost:56642 localhost:47150 TIME_WAIT ^C

Thoát in: Ctrl+C.

7. Tìm số hỗ trợ họ địa chỉ trong hệ thống của bạn

netstat --verbose

Cuối cùng bạn sẽ có một cái gì đó như thế này.

Netstat: không hỗ trợ `AF IPX" trên hệ thống này. netstat: không hỗ trợ `AF AX25" trên hệ thống này. netstat: không hỗ trợ `AF X25" trên hệ thống này. netstat: không hỗ trợ `AF NETROM" trên hệ thống này.

8. Hiển thị thông tin định tuyến kernel bằng netstat -r

# netstat -r Bảng định tuyến IP hạt nhân Cổng đích Genmask Cờ MSS Cửa sổ irtt Iface mặc định gw.msk.ispsyste 0.0.0.0 UG 0 0 0 eth0 213.159.208.0 0.0.0.0 255.255.254.0 U 0 0 0 eth0

Ghi chú:

Sử dụng netstat -rnđể hiển thị các tuyến đường ở định dạng kỹ thuật số mà không cần phân giải tên máy chủ.

9. Tìm hiểu xem chương trình đang chạy trên cổng nào

# netstat -ap | grep ssh (Không phải tất cả các quy trình đều có thể được xác định, thông tin quy trình không thuộc sở hữu sẽ không được hiển thị, bạn phải root để xem tất cả.) tcp 0 0 0.0.0.0:28456 0.0.0..132.93..132.93. 178:13106 THÀNH LẬP 2393/sshd: andreyex tcp6 0 0 [::]:28456 [::]:* LISTEN 779/sshd

Tìm hiểu quá trình nào đang sử dụng một cổng cụ thể:

# netstat -an | grep ":80"

10. Hiển thị danh sách các giao diện mạng

# netstat -i Bảng giao diện hạt nhân Iface MTU RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg eth0 1555 2765202 0 0 0 86602 0 0 0 BMRU lo 65536 93149 0 0 0 93149 0 0 0 LRU

Hiển thị thông tin mở rộng về giao diện (tương tự ifconfig) bằng netstat -ie:

# netstat -ie Bảng giao diện hạt nhân eth0: flags=4163 mtu 1550 inet 213.159.209.228 netmask 255.255.254.0 phát sóng 213.159.209.255 inet6 fe80::5054:ff:fe80:19a4 tiền tốlen 64 phạm vi 0x20 ether 52:54:00:80:19:a4 txqueuelen 1000 (Ethernet) Gói RX 2772322 byte 189451708 (180,6 MiB) Lỗi RX 0 giảm 0 lỗi vượt quá 0 khung 0 gói TX 86767 byte 137897931 (131,5 MiB) Lỗi TX 0 giảm 0 vượt quá chạy 0 sóng mang 0 va chạm 0

Phòng thí nghiệm số 03-005

Tiện ích mạng Netstat. Nguyên lý hoạt động và sử dụng.

Tiện ích hiển thị các cổng TCP đang hoạt động và đang lắng nghe, số liệu thống kê Ethernet, bảng định tuyến IP, số liệu thống kê IPv4 (đối với giao thức IP, ICMP, TCP và UDP) và IPv6 (đối với IPv6, ICMPv6, TCP qua IPv6 và UDP qua giao thức IPv6). Lệnh chạy không có tham số netstat hiển thị các kết nối TCP đang hoạt động.

Cú pháp:

netstat [-Một] [-e] [-N] [-o] [-P giao thức] [-r] [-S] [khoảng thời gian].

Tùy chọn:

-Một hiển thị tất cả các kết nối TCP đang hoạt động và các cổng TCP và UDP đang nghe trên máy tính;

- b hiển thị các tập tin thực thi liên quan đến việc tạo kết nối hoạt động. Nếu các thành phần phần mềm độc lập được sử dụng để tạo ổ cắm, chúng cũng được hiển thị.

-e Hiển thị số liệu thống kê Ethernet, chẳng hạn như số byte và gói được gửi và nhận. Tham số này có thể được kết hợp với phím -S;

-N hiển thị các kết nối TCP đang hoạt động, hiển thị địa chỉ và số cổng ở định dạng số mà không cố gắng phân giải tên;

-o Liệt kê các kết nối TCP đang hoạt động và bao gồm ID tiến trình (PID) cho mỗi kết nối. Mã quy trình cho phép bạn tìm ứng dụng trên tab Quy trình Trình quản lý tác vụ Windows. Tham số này có thể được kết hợp với các phím -Một, -N Và -P;

-P giao thức kết nối đầu ra cho giao thức được chỉ định bởi tham số giao thức. Trong trường hợp này tham số giao thức có thể nhận các giá trị tcp, udp, tcpv6 hoặc udpv6. Nếu tham số này được sử dụng với phím -Sđể hiển thị số liệu thống kê giao thức, tham số giao thức có thể quan trọng tcp, udp, icmp, ip, tcpv6, udpv6, icmpv6 hoặc ipv6;

-r Hiển thị nội dung của bảng định tuyến IP. Lệnh này tương đương với lệnh in lộ trình;

-Sđầu ra của thống kê giao thức. Theo mặc định, số liệu thống kê được hiển thị cho các giao thức TCP, UDP, ICMP và IP. Nếu IPv6 được cài đặt cho Windows XP, số liệu thống kê sẽ được hiển thị cho TCP qua IPv6, UDP qua IPv6, ICMPv6 và IPv6. Tham số -P có thể được sử dụng để chỉ định một bộ giao thức;

- vđược sử dụng kết hợp với tham số – bđể hiển thị trình tự các thành phần phần mềm liên quan đến việc tạo ổ cắm

khoảng thời gian đặt dữ liệu đã chọn sẽ được cập nhật theo khoảng thời gian được chỉ định bởi tham số khoảng thời gian(trong vài giây). Nhấn CTRL+C sẽ dừng cập nhật. Nếu tham số này bị bỏ qua, netstat chỉ hiển thị dữ liệu đã chọn một lần.

/? ồ Hiển thị trợ giúp trên dòng lệnh.

Ở cấp độ mạng trong ngăn xếp giao thức TCP/IP, việc đánh địa chỉ được thực hiện bằng địa chỉ IP. Nhưng sau khi gói được gửi qua giao thức IP đến máy tính người nhận với địa chỉ IP nhất định, dữ liệu phải được gửi đến một quy trình ứng dụng người nhận cụ thể. Mỗi máy tính có thể chạy nhiều quy trình và một quy trình ứng dụng có thể có nhiều điểm vào đồng thời đóng vai trò là người nhận dữ liệu.

Nhu cầu giao tiếp của các quy trình ứng dụng được phục vụ bởi lớp vận chuyển của ngăn xếp giao thức, được triển khai trong phần mềm trong nhân hệ điều hành, dưới dạng quy trình người dùng riêng biệt hoặc dưới dạng mô-đun thư viện được tải bởi ứng dụng mạng. Các gói đến lớp vận chuyển được hệ điều hành tổ chức dưới dạng nhiều hàng đợi đến các điểm vào của các quy trình ứng dụng khác nhau. Trong thuật ngữ TCP/IP, hàng đợi hệ thống như vậy được gọi là cổng . Cổng là một khái niệm phần mềm được máy khách hoặc máy chủ sử dụng để gửi hoặc nhận tin nhắn; cổng được xác định bằng số 16 bit. Do đó, địa chỉ đích được thực thể vận tải sử dụng là mã định danh (số) cổng dịch vụ ứng dụng. Số cổng, cùng với số mạng và số nút cuối, xác định duy nhất quy trình ứng dụng trên mạng. Tập hợp các tham số nhận dạng này được gọi là ổ cắm .

Số cổng được gán cho các quy trình ứng dụng tập trung, nếu các quy trình này là các dịch vụ công cộng phổ biến (ví dụ: số 21 được gán cho dịch vụ truy cập tệp từ xa FTP và 23 được gán cho dịch vụ điều khiển từ xa telnet) hoặc cục bộ cho những dịch vụ chưa đủ phổ biến để được được giao cho họ những phòng tiêu chuẩn (dành riêng). Việc gán tập trung số cổng cho các dịch vụ được thực hiện bởi tổ chức Cơ quan quản lý số được gán Internet (IANA). Những con số này sau đó được cố định và công bố theo tiêu chuẩn Internet.

Địa phương Việc gán số cổng là nơi nhà phát triển ứng dụng chỉ cần liên kết bất kỳ số nhận dạng số nào có sẵn, được chọn ngẫu nhiên với nó, đảm bảo rằng đó không phải là một trong các số cổng dành riêng. Trong tương lai, tất cả các yêu cầu từ xa tới ứng dụng này từ các ứng dụng khác phải được xử lý bằng số cổng được gán cho nó.

Máy khách bắt đầu kết nối, trước khi cố gắng thiết lập kết nối với máy chủ ứng dụng từ xa, sẽ yêu cầu số cổng miễn phí từ hệ điều hành của nó. Các cổng có số 0 -1023 thường được gọi là đặc quyền; chúng gần như được dành riêng và không được phân bổ cho các tiến trình máy khách. Điều này không có nghĩa là không có số cổng được chỉ định với số lượng lớn, nhưng chúng được sử dụng ít thường xuyên hơn và, miễn phí trên một máy chủ nhất định, có thể được cung cấp cho chương trình khách.

UDP (UserDatagrammProtocol) là một giao thức lớp vận chuyển hướng gói dữ liệu đơn giản: một quá trình phát hành một gói dữ liệu UDP tại một thời điểm, dẫn đến một gói dữ liệu IP được truyền đi. Giao thức không thiết lập kết nối và không xác nhận với người gửi rằng tin nhắn đã được gửi.

TCP (Giao thức điều khiển truyền) cung cấp dịch vụ luồng byte đáng tin cậy, dựa trên kết nối. Nó được sử dụng trong trường hợp cần phải gửi tin nhắn được đảm bảo. Nó sử dụng tổng kiểm tra gói để xác minh tính toàn vẹn của gói và giảm bớt các quy trình ứng dụng cần thời gian chờ và truyền lại để đảm bảo độ tin cậy.

Thuật ngữ hướng kết nối có nghĩa là hai ứng dụng sử dụng TCP (thường là máy khách và máy chủ) phải thiết lập kết nối TCP với nhau trước khi chúng có thể trao đổi dữ liệu.

Luôn có hai điểm cuối giao tiếp với nhau bằng kết nối TCP. TCP không thực hiện phát sóng hoặc phát đa hướng.

Các bước cần thiết để thiết lập và chấm dứt kết nối TCP có thể được biểu diễn bằng:

lena ở dạng mô hình với 11 trạng thái có thể có:

Mô tả tình trạng

ĐÓNG CỬA Đã đóng cửa. Kết nối không hoạt động và không trong quá trình thiết lập

LẮNG NGHE Chờ đợi. Máy chủ đang chờ yêu cầu đến

SYN RCVD Một yêu cầu kết nối đã đến. chờ đợi sự xác nhận

SYN SENT Đã gửi yêu cầu kết nối. Ứng dụng bắt đầu mở kết nối

THÀNH LẬP Đã cài đặt. Trạng thái truyền dữ liệu bình thường

FINWAIT 1 Ứng dụng báo không còn gì để chuyển

FINWAIT 2 Bên kia đồng ý chấm dứt kết nối

ĐỢI THỜI GIAN Đợi cho đến khi tất cả các gói biến mất khỏi mạng

ĐÓNG Cả hai bên đều cố gắng đóng kết nối cùng một lúc

ĐÓNG CHỜ Bên kia đã bắt đầu ngắt kết nối

ACK CUỐI CÙNG Đợi cho đến khi tất cả các gói biến mất khỏi mạng

Ở mỗi trạng thái này, các sự kiện được phép và bị cấm đều có thể xảy ra. Để đáp lại bất kỳ sự kiện được phép nào, một hành động cụ thể có thể được thực hiện. Khi các sự kiện bị cấm xảy ra, một lỗi sẽ được báo cáo.

Mỗi kết nối bắt đầu ở trạng thái ĐÓNG CỬA(đóng cửa). Nó có thể thoát khỏi trạng thái này bằng cách thực hiện nỗ lực chủ động (CONNECT) hoặc thụ động (LISTEN) để mở kết nối. Nếu phía đối diện làm ngược lại, kết nối sẽ được thiết lập và đi vào THÀNH LẬP. Bất kỳ bên nào cũng có thể bắt đầu việc chấm dứt kết nối. Sau khi quá trình ngắt kết nối hoàn tất, kết nối sẽ trở lại trạng thái ĐÓNG CỬA.

Câu hỏi tự kiểm tra

Cổng đóng vai trò là thành phần đánh địa chỉ của lớp vận chuyển. Ổ cắm.

Các cổng được giao tại địa phương và tập trung.

Các giao thức lớp vận chuyển cơ bản của ngăn xếp TCP/IP. Mô tả ngắn gọn của họ.

Ánh xạ các kết nối mạng tới các tiến trình đang chạy trên máy tính.

Các tham số tiện ích Netstat.

Thiết bị cần thiết

IBM PC là một máy tính tương thích với hệ điều hành Windows được cấp phép, kết nối với mạng cục bộ, truy cập Internet.

Nhiệm vụ

Trước khi bắt đầu tác vụ, hãy khởi động lại máy tính của bạn và không khởi chạy bất kỳ ứng dụng nào.

1. Sử dụng lệnh netstat, xem số liệu thống kê kết nối Ethernet.

2. Sử dụng lệnh netstat, xem số liệu thống kê của các giao thức mạng.

3. Sử dụng lệnh netstat, xem số liệu thống kê của giao thức ICMP (đầu ra chỉ chứa dữ liệu cho giao thức này).

4. Sử dụng lệnh netstat để xem danh sách tất cả các kết nối TCP và cổng nghe UDP.

5. Khởi chạy trình duyệt của bạn và thiết lập kết nối tới bất kỳ trang web nào. Lặp lại nhiệm vụ trước đó và nhận xét về kết quả.

6. Sử dụng lệnh netstat, xác định 5 tiến trình bất kỳ đang nghe trên cổng UDP. Chỉ định tên của các tiến trình và số lượng cổng nghe.

6. Sử dụng lệnh netstat, xác định các kết nối TCP đang hoạt động, số cổng của chúng và tên của các tệp thực thi của ứng dụng sử dụng các kết nối này.

Gửi báo cáo về việc hoàn thành công việc ở dạng in hoặc điện tử kèm theo bản sao màn hình vận hành tiện ích.

Xin chào mọi người, trước đó mình đã bắt đầu câu chuyện về các tiện ích mạng của quản trị viên hệ thống trong bài viết “Tiện ích đường dẫn hoặc cách chẩn đoán sự cố trên đường dẫn đến trang web Tiện ích mạng phần 3”, chúng ta hãy chuyển sang xem một tiện ích khác netstat hoặc cách xác định cổng nào máy tính của bạn đang nghe. Chương trình này sẽ là một công cụ không thể thay thế trong hành trang phần mềm của bất kỳ kỹ sư hệ thống nào; nó sẽ giúp anh ta nhanh chóng chẩn đoán tình huống và phát hiện một số vấn đề khác nhau với các dịch vụ và tính khả dụng của chúng.

lệnh netstat

Netstat- Hiển thị các kết nối TCP đang hoạt động, các cổng nghe trên máy tính, thống kê Ethernet, bảng định tuyến IP, thống kê IPv4 (đối với giao thức IP, ICMP, TCP và UDP) và IPv6 (đối với giao thức IPv6, ICMPv6, TCP qua IPv6 và UDP qua giao thức IPv6)

Hãy tưởng tượng một tình huống: chẳng hạn, bạn đã cài đặt tiện ích MSM LSI để xem các tham số của bộ điều khiển RAID, bạn khởi chạy tiện ích này nhưng nó không tìm thấy gì, vì cổng đã bị đóng và bạn không biết cái nào và không phải lúc nào cũng có thể nhanh chóng tìm thấy thông tin về điều này trên Internet, để làm được điều này, bạn có thể chạy netstat và xem máy chủ của bạn có quy trình MSM đang nghe cổng nào.

Mở dòng lệnh Windows và nhập netstat?. Trợ giúp của tiện ích sẽ bật lên.

C:\Users\sem>netstat ?

Hiển thị số liệu thống kê giao thức và kết nối mạng TCP/IP hiện tại.

NETSTAT [-a] [-b] [-e] [-f] [-n] [-o] [-p giao thức] [-r] [-s] [-x] [-t]
[khoảng]

• -a Hiển thị tất cả các kết nối và cổng nghe.
• -b Hiển thị file thực thi liên quan đến việc tạo
• mỗi kết nối hoặc cổng nghe. Đôi khi các tệp thực thi đã biết chứa nhiều thành phần độc lập. Sau đó, trình tự các thành phần liên quan đến việc tạo kết nối hoặc cổng nghe sẽ được hiển thị. Trong trường hợp này, tên của tệp thực thi nằm ở dưới cùng trong ngoặc, ở trên cùng là thành phần mà nó gọi, v.v. cho đến khi đạt được TCP/IP. Xin lưu ý rằng phương pháp này có thể tốn thời gian và cần có đủ quyền.
• -e Hiển thị số liệu thống kê Ethernet. Có thể được sử dụng kết hợp với tùy chọn -s.
• -f Hiển thị tên miền đủ điều kiện () cho các địa chỉ bên ngoài.
• -n Hiển thị địa chỉ và số cổng ở định dạng số.
• -o Hiển thị ID tiến trình của từng kết nối.
• -p giao thức Hiển thị các kết nối cho giao thức được chỉ định bởi tham số này. Các giá trị hợp lệ là TCP, UDP, TCPv6 hoặc UDPv6. Khi được sử dụng cùng với tùy chọn -s để hiển thị số liệu thống kê giao thức, các giá trị hợp lệ là: IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP hoặc UDPv6.
• -r Hiển thị nội dung của bảng định tuyến.
• -s Hiển thị số liệu thống kê giao thức. Theo mặc định, số liệu thống kê được hiển thị cho các giao thức IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP và UDPv6. Tùy chọn -p cho phép bạn chỉ định một tập hợp con của đầu ra.
• -t Hiển thị trạng thái giảm tải cho kết nối hiện tại.
• -x Hiển thị các kết nối NetworkDirect, trình nghe và điểm cuối chung.
• -y Hiển thị mẫu kết nối TCP cho tất cả các kết nối. Không thể được sử dụng kết hợp với các tùy chọn khác. khoảng thời gian Hiển thị lặp lại các số liệu thống kê đã chọn với khoảng dừng giữa các lần hiển thị được chỉ định theo khoảng thời gian tính bằng giây. Để ngừng hiển thị số liệu thống kê nhiều lần, hãy nhấn CTRL+C. Nếu tham số này bị bỏ qua, netstat sẽ in thông tin cấu hình hiện tại một lần.

Chúng ta hãy xem các phím thú vị của tiện ích netstat. Điều đầu tiên chúng ta nhập

và số liệu thống kê về các gói mạng ethernet sẽ xuất hiện trên màn hình của chúng tôi.

Nếu thêm khóa chuyển -s, chúng ta sẽ nhận được số liệu thống kê về các giao thức.

Sẽ rất hữu ích khi xem mọi thứ mà máy chủ của bạn đang nghe, vì điều này chúng tôi viết

Đầu ra lệnh chứa loại Giao thức, TCP hoặc UDP, địa chỉ cục bộ với cổng đang nghe và địa chỉ bên ngoài với cổng cũng như trạng thái hành động.

Để hiểu đầy đủ thông tin được cung cấp bởi lệnh này, cần phải hiểu các nguyên tắc thiết lập kết nối trong giao thức TCP/IP. Dưới đây là các bước chính trong quá trình thiết lập kết nối TCP/IP:

1. Khi cố gắng thiết lập kết nối, máy khách sẽ gửi tin nhắn SYN đến máy chủ.

2. Máy chủ phản hồi bằng tin nhắn SYN của chính nó và xác nhận (ACK).

3. Sau đó, máy khách sẽ gửi tin nhắn ACK trở lại máy chủ, hoàn tất quá trình thiết lập kết nối.

Quá trình ngắt kết nối bao gồm các bước sau:

1. Máy khách nói "Tôi đã hoàn tất" bằng cách gửi tin nhắn FIN đến máy chủ. Ở giai đoạn này, máy khách chỉ nhận dữ liệu từ máy chủ chứ không gửi bất cứ thứ gì.

2. Sau đó, máy chủ sẽ gửi tin nhắn ACK và gửi tin nhắn FIN của chính nó cho máy khách.

3. Sau đó, máy khách sẽ gửi tin nhắn ACK đến máy chủ, xác nhận yêu cầu của máy chủ FIN.

4. Khi máy chủ nhận được tin nhắn ACK từ máy khách, nó sẽ đóng kết nối.

Việc hiểu các bước trong quá trình thiết lập và chấm dứt kết nối cho phép bạn diễn giải rõ ràng hơn các trạng thái kết nối trong đầu ra lệnh netstat. Các kết nối trong danh sách có thể ở các trạng thái sau:

• CLOSE_WAIT- biểu thị giai đoạn đóng kết nối thụ động, bắt đầu sau khi máy chủ nhận được thông báo FIN từ máy khách.
• ĐÓNG CỬA- kết nối bị gián đoạn và bị đóng bởi máy chủ.
• THÀNH LẬP- máy khách đã thiết lập kết nối với máy chủ bằng cách nhận tin nhắn SYN từ máy chủ.
• FIN_WAIT_1- khách hàng bắt đầu đóng kết nối (đã gửi tin nhắn FIN).
• FIN_WAIT_2- máy khách đã nhận được tin nhắn ACK và FIN từ máy chủ.
• LAST_ACK- máy chủ đã gửi tin nhắn FIN cho máy khách.
• NGHE- máy chủ sẵn sàng chấp nhận các kết nối đến.
• SYN_RECEIVED- máy chủ đã nhận được tin nhắn SYN từ máy khách và gửi phản hồi cho nó.
• TIMED_WAIT- máy khách đã gửi tin nhắn FIN đến máy chủ và đang chờ phản hồi cho tin nhắn này.
• YN_SEND- kết nối được chỉ định đang hoạt động và mở.

Nếu bạn thêm khóa chuyển -f, tên của các tài nguyên bên ngoài từ xa sẽ được giải quyết