命令提示字元 相關指令列表

netstat 指令的使用
轉貼自 http://is.cs.nthu.edu.tw/~ytken/HackCD/HTML/Netstat/Netstat.htm

程式名稱：Netstat
屬於類別：網路工具程式
運行平台：Windows平台及Unix平台
網站連結：無
版本：無

功能描述：

Netstat是每種作業系統皆有的網路工具程式。利用它，我們可以了解系統中那些程式佔用了那些Port，而現在又有什麼連線狀況。藉此可知道系統中有沒有被安裝不正常的服務程式，如後門與木馬程式。在Unix中甚至可以知道佔用該Port的Process ID，若是不正常的Process，再配合Kill指令來停止該Process執行。

運作原理：

在Unix Like的作業系統中，有一個 /proc的目錄是主機運行之後動態產生的目錄，裡頭有許多檔案記錄系統相關的訊息，而Netstat的程式就是去讀取 /proc/net/tcp與 /proc/net/udp這二個檔案所得出的結果。此外，有些木馬為了避免被Netstat程式所偵測到，會偷偷去修改這兩個檔案，達到隱藏自身的目的。

程式下載：不必安裝，已內建在作業系統中

安裝程式與移除：不必安裝，已內建在作業系統中

使用方法：

1. 指令格式：
# netstat [-r] [-i interface]
# netstat [-antulp]
參數說明：
*-r ：顯示出 route 的意思；
*-i ：顯示出 interface 的內容，跟 ifconfig 類似啦！
*-a ：顯示出目前所有的網路連線狀態！
*-n ：預設情況中，顯示出的 host 會以 host name 來顯現，若為 n 則可以使 port 與 host 都以數字顯示
*-t ：僅顯示 tcp 封包的連線行為
*-u ：僅顯示 udp 的封包連線狀態
*-l ：僅顯示 LISTEN 的內容
*-p ：同時顯示此一連線的 PID 喔！(注意：只有 root 才能行使此功能！)

2. 指令範例：
#netstat -r (顯示出目前的路由表)
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
140.116.141.253 * 255.255.255.255 UH 40 0 0 ppp0
192.168.1.0 * 255.255.255.0 U 40 0 0 eth0
192.168.0.0 * 255.255.255.0 U 40 0 0 eth0
127.0.0.0 * 255.0.0.0 U 40 0 0 lo
default 140.116.141.253 0.0.0.0 UG 40 0 0 ppp0

# netstat -i eth0 (看看底下顯示出的內容，與ifconfig eth0 類似)
Kernel Interface table
Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg
eth0 1500 077199373 0 0 169616342 0 0 0 BMRU
lo 16436 0 1130485 0 0 0 1130485 0 0 0 LRU

# netstat -an (顯示所有的連線狀態，並且以數字型態顯示)

# netstat -tul (顯示 LISTEN 的及 tcp 與 udp 的連線狀態，如下)
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 *:mysql *:* LISTEN
tcp 0 0 *:netbios-ssn *:* LISTEN
tcp 0 0 *:pop3 *:* LISTEN
tcp 0 0 *:http *:* LISTEN
tcp 0 0 *:ftp *:* LISTEN
tcp 0 0 *:ssh *:* LISTEN
tcp 0 0 *:smtp *:* LISTEN
udp 0 0 *:netbios-ns *:*
注意：上面的 LISTEN 表示該 port 是已經在 監聽 網路服務啦！而左邊的 tcp 指的是 tcp 封包！

1.開始 -> 執行 -> ping www.so-net.net.tw -t
看 ping 的回應值是多少 ms (越低越好)
ping 的時候會不會 no reply (掉封包)

2.剛開機沒執行任何程式時 , 進 dos 模式 , 輸入指令 : netstat -an | more

會列出一堆資料 , 如下:

Active Connections

Proto Local Address Foreign Address State
TCP 218.161.50.164:1536 207.46.6.33:1863 ESTABLISHED
TCP 218.161.50.164:2017 213.186.46.58:8010 ESTABLISHED
TCP 218.161.50.164:16881 0.0.0.0:0 LISTENING

如果你沒有任何程式連線 , 卻出現 ESTABLISHED , 那就代表有程式正向外連線
那你可能需要 check 一下是哪支程式 , 是不是木馬或病毒