netstat_s.txt

netstat描绘对网络分析有所帮助清楚的告诉我们网络参数

　　UDP Eagle:2399 *:* 
　　UDP Eagle:2413 *:* 
　　UDP Eagle:2904 *:* 
　　UDP Eagle:2908 *:* 
　　UDP Eagle:3456 *:* 
　　UDP Eagle:4000 *:* 
　　UDP Eagle:4001 *:* 
　　UDP Eagle:6000 *:* 
　　UDP Eagle:6001 *:* 
　　UDP Eagle:6002 *:* 
　　UDP Eagle:6003 *:* 
　　UDP Eagle:6004 *:* 
　　UDP Eagle:6005 *:* 
　　UDP Eagle:6006 *:* 
　　UDP Eagle:6007 *:* 
　　UDP Eagle:6008 *:* 
　　UDP Eagle:6009 *:* 
　　UDP Eagle:6010 *:* 
　　UDP Eagle:6011 *:* 
　　UDP Eagle:1045 *:* 
　　UDP Eagle:1051 *:* 
　　UDP Eagle:netbios-ns *:* 
　　UDP Eagle:netbios-dgm *:* 
　　UDP Eagle:netbios-ns *:* 
　　UDP Eagle:netbios-dgm *:* 
　　我们拿其中一行来解释吧： 
　　Proto Local Address Foreign Address State 
　　TCP Eagle:2929 219.137.227.10:4899 ESTABLISHED 
　　协议（Proto）：TCP，指是传输层通讯协议（什么？不懂？请用baidu搜索"TCP"，OSI七层和TCP/IP四层可是基础^_^） 
　　本地机器名（Local Address）：Eagle，俗称计算机名了，安装系统时设置的，可以在“我的电脑”属性中修改，本地打开并用于连接的端口：2929） 
　　远程机器名（Foreign Address）：219.137.227.10 
　　远程端口：4899 
　　状态：ESTABLISHED 
　　状态列表 
　　LISTEN ：在监听状态中。 
　　ESTABLISHED：已建立联机的联机情况。 
　　TIME_WAIT：该联机在目前已经是等待的状态。 
　　-a 参数常用于获得你的本地系统开放的端口，用它您可以自己检查你的系统上有没有被安装木马（ps：有很多好程序用来检测木马，但你的目的是想成为真正的 hacker，手工检测要比只按一下“scan”按钮好些----仅个人观点）。如果您Netstat你自己的话，发现下面的信息： 
　　Port 12345(TCP) Netbus 
　　Port 31337(UDP) Back Orifice 
　　祝贺!您中了最常见的木马（^_^，上面4899是我连别人的，而且这个radmin是商业软件，目前我最喜欢的远程控制软件） 
　　如果你需要木马及其端口列表的话，去国内的H站找找，或者baidu，google吧 
　　***************************************************************** 
　　#一些原理：也许你有这样的问题：“在机器名后的端口号代表什么？ 
　　例子：Eagle:2929 
　　小于1024的端口通常运行一些网络服务，大于1024的端口用来与远程机器建立连接。 
　　***************************************************************** 
　　继续我们的探讨，使用-n参数。（Netstat -n) 
　　Netstat -n基本上是-a参数的数字形式： 
　　C:\>netstat -n 
　　Active Connections 
　　Proto Local Address Foreign Address State 
　　TCP 127.0.0.1:445 127.0.0.1:1031 ESTABLISHED 
　　TCP 127.0.0.1:1031 127.0.0.1:445 ESTABLISHED 
　　TCP 192.168.1.180:1213 218.85.139.65:9002 CLOSE_WAIT 
　　TCP 192.168.1.180:2416 219.133.63.142:443 CLOSE_WAIT 
　　TCP 192.168.1.180:2443 219.133.63.142:443 CLOSE_WAIT 
　　TCP 192.168.1.180:2907 192.168.1.101:2774 CLOSE_WAIT 
　　TCP 192.168.1.180:2916 192.168.1.101:23 ESTABLISHED 
　　TCP 192.168.1.180:2929 219.137.227.10:4899 ESTABLISHED 
　　TCP 192.168.1.180:3048 192.168.1.1:8004 SYN_SENT 
　　TCP 192.168.1.180:3455 218.85.139.65:9002 ESTABLISHED 
　　-a 和 －n 是最常用的两个，据我不完全测试得出以下结果： 
　　1. -n 显示用数字化主机名，即IP地址，而不是compute_name【eagle】 
　　2. -n 只显示TCP连接（没有在哪里见过微软的相关文档，有哪个朋友见到的话，记得告诉我喔^_^） 
　　得到IP等于得到一切，它是最容易使机器受到攻击的东东，所以隐藏自己IP，获得别人的IP对hacker来说非常重要，现在隐藏IP技术很流行，但那些隐藏工具或服务真的让你隐身吗？我看不见得，呵呵，代理，跳板不属于今天讨论，一个获取对方IP的简单例子请参考我前面的文章【用DOS命令查QQ好友IP地址】 
　　-a 和 -n 是最常用的命令，如果要显示一些协议的更详细信息，就要用-p这个参数了，它其实是-a 和 -n的一个变种，我们来看一个实例，你就明白了：【netstat -p @@@ 其中@@@为TCP或者UDP】 
　　C:\>netstat -p tcp 
　　Active Connections 
　　Proto Local Address Foreign Address State 
　　TCP Eagle:microsoft-ds localhost:1031 ESTABLISHED 
　　TCP Eagle:1031 localhost:microsoft-ds ESTABLISHED 
　　TCP Eagle:1213 218.85.139.65:9002 CLOSE_WAIT 
　　TCP Eagle:2416 219.133.63.142:https CLOSE_WAIT 
　　TCP Eagle:2443 219.133.63.142:https CLOSE_WAIT 
　　TCP Eagle:2907 192.168.1.101:2774 CLOSE_WAIT 
　　TCP Eagle:2916 192.168.1.101:telnet ESTABLISHED 
　　TCP Eagle:2929 219.137.227.10:4899 ESTABLISHED 
　　TCP Eagle:3455 218.85.139.65:9002 ESTABLISHED 
　　继续我们的参数讲解 -e 
　　含义：本选项用于显示关于以太网的统计数据。它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。这些统计数据既有发送的数据报数量，也有接收的数据报数量。这个选项可以用来统计一些基本的网络流量。 
　　C:\>netstat -e 
　　Interface Statistics 
　　Received Sent 
　　Bytes 143090206 44998789 
　　Unicast packets 691805 363603 
　　Non-unicast packets 886526 2386 
　　Discards 0 0 
　　Errors 0 0 
　　Unknown protocols 4449 
　　若接收错和发送错接近为零或全为零，网络的接口无问题。但当这两个字段有100个以上的出错分组时就可以认为是高出错率了。高的发送错表示本地网络饱和或在主机与网络之间有不良的物理连接; 高的接收错表示整体网络饱和、本地主机过载或物理连接有问题，可以用Ping命令统计误码率，进一步确定故障的程度。netstat -e 和ping结合使用能解决一大部分网络故障。 
　　接下来我们开始讲解两个比较复杂的参数 -r 和 -s ，也正因为如此，笔者把他放到最后讲解，这里面可能会涉及到其他方面的知识，以后在我的博客中将会继续写出来，呵呵，最近比较忙 
　　-r是用来显示路由表信息，我们来看例子： 
　　C:\>netstat -r 
　　Route Table（路由表） 
　　=========================================================================== 
　　Interface List（网络接口列表） 
　　0x1 ........................... MS TCP Loopback interface 
　　0x10003 ...00 0c f1 02 76 81 ...... Intel(R) PRO/Wireless LAN 2100 3B Mini PCI 
　　dapter 
　　0x10004 ...00 02 3f 00 05 cb ...... Realtek RTL8139/810x Family Fast Ethernet 
　　C 
　　=========================================================================== 
　　=========================================================================== 
　　Active Routes:（动态路由） 
　　Network Destination Netmask Gateway Interface Metric 
　　0.0.0.0 0.0.0.0 192.168.1.254 192.168.1.181 30 
　　0.0.0.0 0.0.0.0 192.168.1.254 192.168.1.180 20 
　　127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 
　　192.168.1.0 255.255.255.0 192.168.1.180 192.168.1.180 20 
　　192.168.1.0 255.255.255.0 192.168.1.181 192.168.1.181 30 
　　192.168.1.180 255.255.255.255 127.0.0.1 127.0.0.1 20 
　　192.168.1.181 255.255.255.255 127.0.0.1 127.0.0.1 30 
　　192.168.1.255 255.255.255.255 192.168.1.180 192.168.1.180 20 
　　192.168.1.255 255.255.255.255 192.168.1.181 192.168.1.181 30 
　　224.0.0.0 240.0.0.0 192.168.1.180 192.168.1.180 20 
　　224.0.0.0 240.0.0.0 192.168.1.181 192.168.1.181 30 
　　255.255.255.255 255.255.255.255 192.168.1.180 192.168.1.180 1 
　　255.255.255.255 255.255.255.255 192.168.1.181 192.168.1.181 1 
　　Default Gateway: 192.168.1.254（默认网关） 
　　=========================================================================== 
　　Persistent Routes:（静态路由） 
　　None 
　　C:\> 
　　-s 参数的作用前面有详细的说明，来看例子 
　　C:\>netstat -s 
　　IPv4 Statistics （IP统计结果） 
　　Packets Received = 369492（接收包数） 
　　Received Header Errors = 0（接收头错误数） 
　　Received Address Errors = 2（接收地址错误数） 
　　Datagrams Forwarded = 0（数据报递送数） 
　　Unknown Protocols Received = 0（未知协议接收数） 
　　Received Packets Discarded = 4203（接收后丢弃的包数） 
　　Received Packets Delivered = 365287（接收后转交的包数） 
　　Output Requests = 369066（请求数） 
　　Routing Discards = 0（路由丢弃数 ） 
　　Discarded Output Packets = 2172（包丢弃数） 
　　Output Packet No Route = 0（不路由的请求包） 
　　Reassembly Required = 0（重组的请求数） 
　　Reassembly Successful = 0（重组成功数） 
　　Reassembly Failures = 0（重组失败数） 
　　Datagrams Successfully Fragmented = 0（分片成功的数据报数） 
　　Datagrams Failing Fragmentation = 0（分片失败的数据报数） 
　　Fragments Created = 0（分片建立数） 
　　ICMPv4 Statistics （ICMP统计结果）包括Received和Sent两种状态 
　　Received Sent 
　　Messages 285 784（消息数） 
　　Errors 0 0（错误数） 
　　Destination Unreachable 53 548（无法到达主机数目） 
　　Time Exceeded 0 0（超时数目） 
　　Parameter Problems 0 0（参数错误） 
　　Source Quenches 0 0（源夭折数） 
　　Redirects 0 0（重定向数） 
　　Echos 25 211（回应数） 
　　Echo Replies 207 25（回复回应数） 
　　Timestamps 0 0（时间戳数） 
　　Timestamp Replies 0 0（时间戳回复数） 
　　Address Masks 0 0（地址掩码数） 
　　Address Mask Replies 0 0（地址掩码回复数） 
　　TCP Statistics for IPv4（TCP统计结果） 
　　Active Opens = 5217（主动打开数） 
　　Passive Opens = 80（被动打开数） 
　　Failed Connection Attempts = 2944（连接失败尝试数） 
　　Reset Connections = 529（复位连接数） 
　　Current Connections = 9（当前连接数目） 
　　Segments Received = 350143（当前已接收的报文数） 
　　Segments Sent = 347561（当前已发送的报文数） 
　　Segments Retransmitted = 6108（被重传的报文数目） 
　　UDP Statistics for IPv4（UDP统计结果） 
　　Datagrams Received = 14309（接收的数据包） 
　　No Ports = 1360（无端口数） 
　　Receive Errors = 0（接收错误数） 
　　Datagrams Sent = 14524（数据包发送数）