netstat -an及其结果分析
netstat, 结果
前言:
这几天由于病毒的日益流行,许多朋友开始对防毒和防黑重视起来,装了不少的
病毒或网络防火墙。诚然,通过防火墙我们可以得到许多有关我们计算机的信息,不过
windows自带的netstat更加小巧玲珑,可以让你不费吹灰之力就可以对本机的开放端口
和连接信息一览无余。
针对netstat命令的用法及相关结果,个人搜集了一些文章,加以整理总结,写了
这篇文章,希望对同学们有多帮助。
stat命令用法
关于该命令的用法你可以很容易的从netstat /?中获取,这里不再做无意义的复制
粘贴了,朋友们自己看一下吧。这里重点提一下"-a"和"-n"选项。"-a"选项意在显示
所有连接,当不附加"-n"选项时,它显示的是本地计算机的netbios名字+端口号。而
加了"-n"选项后,它显示的是本地IP地址+端口号。
For example:
[netstat -a]
TCP fdlpw:ftp fdlpw:0 LISTENING
[netstat -an]
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
2.端口的基本知识
端口基本上可分为三大类:公用端口,注册端口和动态/私有端口。
公认端口(Well Known Ports):从0到1023,它们紧密绑定于一些服务。通常这些端
口的通讯明确表明了某种服务的协议。例如:80端口实际上总是HTTP通讯。
注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。也就
是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统
处理动态端口从1024左右开始。
动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535。理论上,
不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:
SUN的RPC端口从32768开始。
特别的要注意以下几点:
*ICMP没有端口概念,防火墙中的所谓端口指的是是其type.
ICMP只有两个域:即type和code.
*0端口通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效
端口,当你试图使用一种通常的闭合端口连接它时将产生不同的结果。
*1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪
个端口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点
分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端
口1024。为了验证这一点,你可以重启机器,打开Telnet,再打开一个窗口运行
“netstat -”,你将会看到Telnet被分配1024端口。请求的程序越多,动态端口
也越多,操作系统分配的端口将
逐渐变大。再来一遍,当你浏览Web页时用“netstat
查看,每个Web页需要一个新端口。
*一些系统所经常用到的公用和动态端口在\system32\drivers\etc目录下的services
文件中定义,你可以在notepad中打开该文件。
3.netstat结果信息的结构
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
针对这个子项:
TCP:所用协议,传输控制协议。
0.0.0.0:21:0.0.0.0是表示本机ip,如果是动态端口的话通常用本地ip表示而不是全0
21表示本机上该服务分配的端口号
0.0.0.0:0:表示外部任何主机的任何端口
LISTENING:表示该服务处于监听状态。
对于netstat -a的结果,通常是用服务名来代替其端口,如:
TCP fdlpw:ftp fdlpw:0 LISTENING
这里fdlpw替代了0.0.0.0,ftp替代了端口21
通常情况下在\system32\etc\services文件中对相应服务名有相关说明,下面给出更
详尽的描述:
# <服务名> <端口号>/<协议> [别名] [#<注释>]
echo 7/tcp #回应
echo 7/udp #回应
discard 9/tcp sink null #删除
discard 9/udp sink null #删除
systat 11/tcp users #Active users 活动用户
systat 11/tcp users #Active users 活动用户
daytime 13/tcp #时间
daytime 13/udp #时间
qotd 17/tcp quote #Quote of the day 日期的引用
qotd 17/udp quote #Quote of the day 日期的引用
chargen 19/tcp ttytst source #Character generator 字符生成
器
chargen 19/udp ttytst source #Character generator 字符生成
器
ftp-data 20/tcp #FTP, data 文件传输[默认数据]
ftp 21/tcp #FTP. control 文件传输[控制],
连接对话
telnet 23/tcp #远程登录
smtp 25/tcp mail #Simple Mail Transfer
Protocol 简单邮件传送
time 37/tcp timserver #时间
time 37/udp timserver #时间
rlp 39/udp resource #Resource Location Protocol
资源定位协议
nameserver 42/tcp name #Host Name Server 主机名服务
nameserver 42/udp name #Host Name Server 主机名服务
nicname 43/tc
p whois #哪个用户
domain 53/tcp #Domain Name Server 域名服务
器
domain 53/udp #Domain Name Server 域名服务
器
bootps 67/udp dhcps #Bootstrap Protocol Server 动
态主机配置协议/远程启动协议
服务器
bootpc 68/udp dhcpc #Bootstrap Protocol Client 动
态主机配置协议/远程启动协议
客户端
tftp 69/udp #Trivial File Transfer 普通文
件传输协议
gopher 70/tcp #Gopher
finger 79/tcp #Finger
http 80/tcp www www-http #World Wide Web 万维网超文本
传输协议
kerberos 88/tcp krb5 kerberos-sec #Kerberos
kerberos 88/udp krb5 kerberos-sec #Kerberos
hostname 101/tcp hostnames #NIC Host Name Server NIC主机
名服务器
iso-tsap 102/tcp #ISO-TSAP Class 0 IOS传送
层服务访问点
rtelnet 107/tcp #Remote Telnet Service 远程
TELlnet服务
pop2 109/tcp postoffice #Post Office Protocol -
Version 2 邮局协议版本2
pop3 110/tcp #Post Office Protocol -
Version 3 邮件协议版本3
sunrpc 111/tcp rpcbind portmap #SUN Remote Procedure Call
SUN远程过程调用
sunrpc 111/udp rpcbind portmap #SUN Remote Procedure Call
SUN远程过程调用
auth 113/tcp ident tap #Identification Protocol 鉴别
服务协议
uucp-path 117/tcp #UUCP路径服务
nntp 119/tcp usenet #Network News Transfer
Protocol 网络新闻组传送协议
ntp 123/udp #Network Time Protocol 网络时
间协议
epmap 135/tcp loc-srv #DCE endpoint resolution 数据
通信设备定位
服务
epmap 135/udp loc-srv #DCE endpoint resolution 数据
通信设备定位服务
netbios-ns 137/tcp nbname #NETBIOS Name Service
NetBIOS命名服务
netbios-ns 137/udp nbname #NETBIOS Name Service
NetBIOS命名服务
netbios-dgm 138/udp nbdatagram #NETBIOS Datagram Service
NetBIOS数据报服务
netbios-ssn 139/tcp nbsession #NETBIOS Session Service
NetBIOS会话服务
imap 143/tcp imap4 #Internet Message Access
Protocol Internet邮件存取协
议版本
4pcmail-srv 158/tcp #PCMail Server PC Mail服务器
snmp 161/udp #SNMP 简单网络管理协议
snmptrap 162/udp snmp-trap #SNMP trap
print-srv 170/tcp #Network PostScript 网络
PostScript
bgp 179/tcp #Border Gateway Protocol 边际
网关协议
irc 194/tcp #Internet Relay Chat
Protocol Internet中继对话协
议
ipx 213/udp #IPX over IP
ldap 389/tcp #Lightweight Directory Access
Protocol 轻量目录访问协议
https 443/tcp MCom #(暂未翻译)只能理解为:访问
SSL安全站点使用的协议
https 443/udp MCom #(暂未翻译)只能理解为:访问
SSL安全站点使用的协议
microsoft-ds 445/tcp #IP 上的服务器消息块 (SMB),
即 Microsoft-DS
microsoft-ds 445/udp #IP 上的服务器消息块 (SMB),
即 Microsoft-DS
kpasswd 464/tcp # Kerberos (v5)
kpasswd 464/udp # Kerberos (v5)
isakmp 500/udp ike #Internet Key Exchange
Internet密钥交换
exec 512/tcp #Remote Process Execution 远
程过程执行
biff 512/udp comsat
#邮件系统使用它通知用户新邮件的到达;目前仅用于
从同一台计算机上的进程接受信息
login 513/tcp #Remote Login 像telnet一样进
行远程登录
who 513/udp whod #维护表明哪些用户登录到一个局
域网的计算机上和上和计算机负
载平均值的数据库
cmd 514/tcp shell #类似于exec,但可为登录的服务
器自动执行鉴别
syslog 514/udp #(未查阅到资料,暂未翻译)
printer 515/tcp spooler #假脱机;打印服务器LPD服务将监
听TCP的515端口上的进入连接
talk 517/udp #类似于tenex链接,但它是跨越
计算机的。
ntalk 518/udp #(未查阅到资料,暂未翻译)
efs 520/tcp #Extended File Name Server 扩
展文件名服务
router 520/udp route routed #本地路由进程(在站点上);使
用XeroxNS路由信息协议的变体
timed 525/udp timeserver #(未查阅到资料,暂未翻译)
tempo 526/tcp newdate #(未查阅到资料,暂未翻译)
courier 530/tcp rpc #远程过程调用
conference 531/tcp chat #(未查阅到资料,暂未翻译)
netnews 532/tcp readnews #读新闻
netwall 533/udp #For emergency broadcasts 用
于紧急事件广播
uucp 540/tcp uucpd #(未查阅到资料,暂未翻译)
klogin 543/tcp #Kerberos login
kshell 544/tcp krcmd #Kerberos remote shell
new-rwho 550/udp new-who #(未查阅到资料,暂未翻译)
remotefs 556/tcp rfs rfs_server #远程文件系统服务器
rmonitor 560/udp rmonitord #(未查阅到资料,暂未翻译)
monitor 561/udp #(未查阅到资料,暂未翻译)
ldaps 636/tcp sldap #LDAP over TLS/SSL 轻量目录访问协议穿
过安全套接字层/传输层安全
doom 666/tcp #Doom Id Software (未查阅到
资料,暂未翻译)
doom 666/ud
p #Doom Id Software (未查阅到
资料,暂未翻译)
kerberos-adm 749/tcp #Kerberos administration
Kerberos管理
kerberos-adm 749/udp #Kerberos administration
Kerberos管理
kerberos-iv 750/udp #Kerberos version IV (未查阅
到资料,暂未翻译)
kpop 1109/tcp #Kerberos POP Kerberos方式弹
出
phone 1167/udp #Conference calling (未查阅
到资料,暂未翻译)
ms-sql-s 1433/tcp #Microsoft-SQL-Server 微软SQl
服务
ms-sql-s 1433/udp #Microsoft-SQL-Server 微软SQl
服务
ms-sql-m 1434/tcp #Microsoft-SQL-Monitor 微软SQ
服务监视器
ms-sql-m 1434/udp #Microsoft-SQL-Monitor 微软SQ
服务监视器
wins 1512/tcp #Microsoft Windows Internet
Name Service
#保留给微软windows的Internet
名字服务将来使用
wins 1512/udp #Microsoft Windows Internet
Name Service
ingreslock 1524/tcp ingres #(未查阅到资料,暂未翻译)
l2tp 1701/udp #Layer Two Tunneling
Protocol 第二层隧道协议
pptp 1723/tcp #Point-to-point tunnelling
protocol 点对点隧道协议
radius 1812/udp # RADIUS authentication
protocol (暂未翻译)
radacct 1813/udp #RADIUS accounting
Protocol (暂未翻译)
nfsd 2049/udp nfs #NFS server 网络文件系统服务
knetd 2053/tcp #Kerberos de-multiplexor
Kerberos分离器
man 9535/tcp #Remote Man Server 远程管理服
务器
特别的,针对下面的子项:
TCP
fdlpw:epmap MYCHENG:2782 SYN_RECEIVED
它的意思是说:MYCHENG这台机子利用他的2782端口试图与本机的epmap服务连接,
所谓的epmap服务,就是数据通讯设备定位服务,采用tcp/udp 135端口。
4.连接状态描述
netstat -an结果中出现的"LISTENING","SYN_RECEIVED"等等都是TCP套接字。
关于常用的套接字及其含义见下:
状态 意义
CLOSED 没有使用这个套接字
LISTEN 套接字正在监听入境连接
SYN_SENT 套接字正在试图主动建立连接
SYN_RECEIVED 正在处于连接的初始同步状态
ESTABLISHED 连接已建立
CLOSE_WAIT 远程套接字已经关闭:正在等待关闭这个套接字
FIN_WAIT_1 套接字已关闭,正在关闭连接
CLOSING 套接字已关闭,远程套接字正在关闭,暂时挂起关闭确认
LAST_ACK 远程套接字已,正在等待本地套接字的关闭确认
FIN_WAIT_2 套接字已关闭,正在等待远程套接字关闭
TIME_WAIT 这个套接字已经关闭,正在等待远程套接字的关闭传送
5.TCP连接的建立过程
现今很多Internt的服务都是建立在TCP连接上面的,包括Telnet ,WWW, Email。当
一台机器(我们称它为客户端)企图跟一个台提供服务的机器(我们称它为服务端)建
立TCP连接时,它们必须先按次序交换通讯好几次,这样TCP连接才能建立起来。
开始客户端会发送一个带SYN标记的包到服务端;
服务端收到这样带SYN标记的包后,会发送一个带SYN-ACK标记的包到客户端作为确
认;当客户端收到服务端带SYN-ACK标记的包后 ,会向服务端发送一个带ACK标记的包。
完成了这几个步骤,它们的TCP连接就建立起来了,可以进行数据通讯。
客户端 服务端
SYN →
← SYN-ACK
ACK →
*特别的,当你的netstat -an结果中有多个状态为SYN_RECEIVED时,表示你可能中
了SYN flood攻击
6.本机中的实例分析
Proto Local Address Foreign Address State
TCP fdlpw:ftp fdlpw:0 LISTENING
ftp服务,采用21端口,处于监听状态
TCP fdlpw:telnet fdlpw:0 LISTENING
telnet服务,采用23端口,处于监听状态(开代理了)
TCP fdlpw:smtp fdlpw:0 LISTENING
smtp服务,采用25端口,处于监听状态(开代理了)
TCP fdlpw:http fdlpw:0 LISTENING
http服务,采用80端口,处于监听状态(开web服务)
TCP fdlpw:pop3 fdlpw:0 LISTENING
pop3服务,采用110端口,监听状态(开代理了)
TCP fdlpw:nntp fdlpw:0 LISTENING
nntp服务,即网络新闻传输服务,监听状态
TCP fdlpw:epmap fdlpw:0 LISTENING
epmap服务,数据通信设备定位服务(135端口),监听状态
TCP fdlpw:microsoft-ds fdlpw:0 LISTENING
SMB服务,445端口,Server Message Block
TCP fdlpw:808 fdlpw:0 LISTENING
代理服务,web代理,808端口
TCP fdlpw:1025 fdlpw:0 LISTENING
TCP fdlpw:1026 fdlpw:0 LISTENING
TCP fdlpw:1030 fdlpw:0 LISTENING
临时服务,采用动态端口
TCP fdlpw:1080 fdlpw:0 LISTENING
socks代理服务
TCP fdlpw:2121 fdlpw:0 LISTENING
ftp代理服务
TCP fdlpw:3389 fdlpw:0 LISTENING
终端服务,3389端口
TCP fdlpw:8000 fdlpw:0 LISTENING
本人的另一个web服务
TCP fdlpw:epmap MYCHENG:2782 SYN_RECEIVED
135端口上的数据设备定位服务,连接建立状态
TCP fdlpw:netbios-ssn fdlpw:0 LISTENING
139端口上的netbios会话服务,监听状态
TCP fdlpw:2213 202.120.225.9:telnet ESTABLISHED
TCP fdlpw:2217 10.73.225.9:telnet ESTABLISHED
TCP fdlpw:2220 10.11.3.123:1080 ESTABLISHED
TCP fdlpw:2222 10.11.3.123:1080 ESTABLISHED
TCP fdlpw:2495 202.120.225.9:telnet ESTABLISHED
TCP fdlpw:3199 10.85.31.164:10200 ESTABLISHED
TCP fdlpw:3206 10.85.31.164:10701 ESTABLISHED
本机的几个应用程序建立的进程,采用动态端口
TCP fdlpw:3527 :http SYN_SENT
IE浏览进程
TCP fdlpw:8000 :53622 TIME_WAIT
TCP fdlpw:8000 :54011 TIME_WAIT
UDP fdlpw:microsoft-ds *:*
UDP fdlpw:isakmp *:*
UDP fdlpw:1027 *:*
UDP fdlpw:2219 *:*
UDP fdlpw:2221 *:*
UDP fdlpw:3456 *:*
UDP fdlpw:4500 *:*
UDP fdlpw:49503 *:*
UDP fdlpw:ntp *:*
UDP fdlpw:netbios-ns *:*
UDP fdlpw:netbios-dgm *:*
UDP fdlpw:ntp *:*
UDP fdlpw:1039 *:*
UDP fdlpw:2230 *:*
UDP fdlpw:3456 *:*