۶.۱۵.۱۳۸۷

آشنايي با Netstat

اين دستور که با سويچ هاي ديگري هم استفاده ميشه يکي از دستورايي هست که همه هکر ها اول باهاش آشنا ميشن.که با تايپ اين دستور شما متوجه آي پي سيستمها و پورتهايي که با آنها در ارتباط هستيد ميشويد و مشاهده ميکنيد که چه پورتهايي Listening و يا Established هستن اين باعث ميشود اگر پورتي مخصوص يک تروجن مثل 27374 که پورت اصلي Sub7 هست در سيستم شما باز بود شما متوجه اين پورت باز بروي سيستمتان بشويد. اگر در قسمت Foreign Address هم يک آي پي بوسيله پورتي به سيستم شما وصل بود شما به سرعت متوجه مي شويد که يک نفر با آن آيپي در سيستم شماست ، پس اين راهيست که متوجه گرديد سيستمتان آسيب پذير است يا نه ، براي مثال من با تايپ دستور Netstat در Ms-Dos پس از اتصال به اينتر نت نتايج زير را گرفتم : C:\WINDOWS>netstat Active Connections Proto Local Address Foreign Address State TCP Midia:1454 cs33.msg.sc5.yahoo.com:5050 ESTABLISHED TCP Midia:1488 63.123.44.222:80 ESTABLISHED TCP Midia:1491 opi1.vip.sc5.yahoo.com:80 TIME_WAIُT TCP Midia:1497 64.187.54.23:80 ESTABLISHED TCP Midia:1498 64.187.54.23:80 ESTABLISHED همانطور که ملاحظه ميکنيد اين دستور گاهي اوقات اسم صاحب سيستم کلاينتي که شما با آن در ارتباط هستيد را نيز ميدهد و چون اينجا من با کسي در PM نبودم اسم کسي را نميبينيد ولي اگر کسي با من چت کند و دستور Netstat را اجرا كند اسم را ميبيند و متوجه ميشود کهMidia صاحب آن سيستم کلاينتي مي باشدکه در حال چت كردن با آن است و همچنين در اين قسمت مشخص است که من با پورت 5050 با ياهو مسنجر ارتباط برقرار کرده ام و نيز نتايجي که در زير Local Address مشخص است اطلاعاتي درباره خود من مي باشد . و نتايجي که در Foreign Address بدست مياد مشخص ميکند که ما با چه سرور يا کلاينتي در ارتباط هستيم . که در سطر پنجم مثال بالا يعني 63.123.44.222:80 آيپي سايت ياهو ميباشد و مشخص ميكند كه من در سايت ياهو بوده و به وسيله پورت 80 که پورت Http ميباشد با اين وب سرور ارتباط برقرار کرده ام و در قسمت Status هم مشخص ميشود که شما با چه پورتهايي Established هستيد يعني ارتباط برقرار کرده و وصل هستيد و چه پورتهايي Listening يا منتظر Request و در حال شنيدن مي باشيد ، بنابراين با دستور Netstat مي شود يک عمل مانيتورينگ از تمام آيپي ها - پورتها و ماشينهايي که شما با آنها در ارتباط هستيد گرفت . دستور Netstat/? : Help برنامه Netstat را معرفي ميکند و سويچ هاي که ازش ميتوان استفاده کرد و در مقابل هر سويچ در مورد کار آن توضيح مختصري ميدهد. دستور Netstat -n : با اين دستور ميتوان آيپي و پورت سيستمي که شما با آن در ارتباط هستيد را بدست آورد . براي مثال وقتي شما با يک نفر در ياهو مسنجر چت ميکنيد پورت ۵۰۵۰ روي سيستم open هست چون ياهو از پورت ۵۰۵۰ استفاده ميکند پس با تايپ netstat -n خواهيد داشت: Active Connections Proto Local Address Foreign Address State TCP 217.219.223.21:1425 216.136.175.226:5050 TIME_WAIT TCP 217.219.223.21:1431 64.242.248.15:80 ESTABLISHED TCP 217.219.223.21:1437 217.219.223.38:5101 ESTABLISHED همانطور که ملاحظه ميکنيد من در اين لحظه با آيپي 217.219.223.38 در حال چت کردن بودم که اشتراکش هم از رايان روش بوده (مثل خودم)و آي پي خود نيز پروتکلي که ما بوسيله آن با يک سيستم ارتباط برقرار کرديم Proto مشخص ميشود در قسمت Local Address من هم TCPارتباط برقرار شده است. دستور Netstat -na : با تايپ کردن اين دستور در MS-DOS Prompt تمام پورتهايي که داده ها و بسته ها را ميفرستند مشخص ميشود ، نشان " na " در تمام دستورات به معني نمايش همه پورتها و ليست کردن آدرسهاي شبکه و شماره فرمها در يک قالب عددي مي باشد ، براي مثال من با تايپ اين فرمان در MS-DOS اين نتايج را گرفتم : C:\WINDOWS>netstat -na Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:1954 0.0.0.0:0 LISTENING TCP 0.0.0.0:5101 0.0.0.0:0 LISTENING TCP 217.219.223.21:1954 207.46.106.21:1863 ESTABLISHED TCP 217.219.223.21:1971 216.136.225.36:5050 ESTABLISHED TCP 217.219.223.21:2031 63.121.106.74:80 TIME_WAIT TCP 127.0.0.1:1025 0.0.0.0:0 LISTENING *:* UDP 0.0.0.0:1958 *:* UDP 64.110.148.59:9 *:* UDP 64.110.148.59:137 *:* UDP 64.110.148.59:138 خب ميبينيد که پورتهاي باز روي سيستم من ليست شده است. مثل 1954-1971-2031 دستور Netstat -a : اين دستور نيز مثل دستور Netstat -an يا -na عمل ميکنه فقط فرقش در اينه که اين دستور پورتها را با معادل اسميشان نشان ميدهد ، براي مثال پورت 139 را با معادل اسميش يعني Netbios نشان ميدهد و همچنين مانند دستور Netstat اسم صاحب سيستم را پرينت ميكند .(اين دستور براي تست کردن نقطه ضعفها و پورتهاي باز در سيستم هاي خودمان بسيار مفيد ميباشد و اگر سيستم آلوده به تروجن بود ميشود از اين دستورها و کلاً برنامه Netstat اين موضوع را فهميد ، پس آنهايي که سوال ميکنند ما چگونه بفهميم سيستم خودمان آلوده به تروجن هست يا نه ، استفاده از اين دستور و کلاً دستورات Netstat ميتواند خيلي به آنها کمک کند ) دستور Netstat -p xxx : منظور از xxx يعني آن پروتکلي که شما در نظر داريد که ميتواند TCP و UDP باشد. دستور Netstat -e : اين دستور نيز يکي از دستورات Netstat است که آماري از ارتباطها و بسته ها و شماره هاي ارسال و ذخيره بسته ها و داده ها را نشان ميدهد .(اين دستور بيشتر براي ويندوزهاي 98 , me و همينطور مودمهايي که آمار بسته ها را نميدهند خوب و مفيد است چون در ويندوز 2000 – XP- قسمتي از اين آمار براحتي در اختيار User قرار ميگيرد ، و شما ميتونيد با استفاده از اين دستور ترافيک ISP و شبکه را ببينيد و همينطور برنامه هايي که در حال دانلود هستسد را چک کنيد و يا اگر بسته اي در ارسالش مشکلي پيش بياد ميتوانيد در قسمت Errors مشاهده کنيد ، ...) دستور Netstat -r : اين دستور توسط کاربران معمولي اينترنت زياد بکار گرفته نميشود چون درک بعضي از گزينه هاش براي کاربران عادي دشوار ، بحرحال اين دستور جزييات دقيقي مثل آدرس Gateway - Interface Metric -Netmask , ... درباره آدرس آي پي شما در شبکه ميدهد ، همچنين در ويندوزهاي8 9 - ME کار دستور Netstat -a را هم انجام ميدهد
منبع: http://www.iritn.com/?action=show&type=news&id=4459

هیچ نظری موجود نیست:

http://up.iranblog.com/images/0z5dgraxwa4j49a5ts77.gif http://up.iranblog.com/images/gv83ah5giec9g8jkopmc.gif