1. 查看 sockets(列出 active/listen connections)
netstat -a
2. 篩選特定協定
netstat -ap tcp
也可利用 windows 內建的 find 指令
netstat -a | find "TCP"
netstat -a | find "UDP"
3. 顯示 Port 號碼而非名稱
netstat -an | find "TCP"
netstat -an | find "UDP"
4. 找出觸發每個 tcp 連線的 process 號碼(PID)
netstat -aop tcp
netstat -aop udp
5. 找出 process 檔案名稱(配合上一步取得的 PID)
在此可採用 netstat 的 -b 參數(比較慢,參考步驟九,XP SP2、2003 SP1)
或是 tasklist (XP 專業版、2003、Vista)
6. 查看通訊協定狀態
netstat -sp tcp
netstat -sp ip
netstat -sp udp
netstat -sp icmp
7. 查看路由表 (同 route print 指令)
netstat -r
8. 查看乙太網路(網卡)狀態
netstat -e
9. 找出觸發每個 tcp 連線的 process 號碼及檔案名稱
與 tasklist 不同的是還多了相關 dll 資訊
netstat -abp tcp
10. 延續上一步,查看更詳盡資訊(速度更慢)
netstat -abvp tcp
11.netstat –na 1 | find "特定IP"
顯示特定 IP 之連線,每隔一秒更新畫面一次 (適用於像是你已鎖定可疑對象,但不知他何時會連過來)
-a 代表列出所有連線
-n 代表僅列出 IP 及 Port,不解析為 hostname 及 service name,速度會快很多
12.netstat –nao 1 | find "特定IP"
加上 -o 參數可顯示觸發該連線之 process ID,
欲知 process name 則可以透過內建的 tasklist 這程式
13.netstat –na 1 | find "4444" | find "ESTABLISHED"
也可以針對特定 Port,不分對象的進行監控,
再透過 find "ESTABLISHED" 篩選掉僅 LISTENING 的部份
http://isc.sans.org/diary.php?storyid=1911&rss
沒有留言:
張貼留言