netstat -an及其结果分析
netstat, 结果
前言:
这几天由于病毒的日益流行,许多朋友开始对防毒和防黑重视起来,装了不少的
病毒或网络防火墙。诚然,通过防火墙我们可以得到许多有关我们计算机的信息,不过
windows自带的netstat更加小巧玲珑,可以让你不费吹灰之力就可以对本机的开放端口
和连接信息一览无余。
针对netstat命令的用法及相关结果,个人搜集了一些文章,加以整理总结,写了
这篇文章,希望对同学们有多帮助。
1stat命令用法
关于该命令的用法你可以很容易的从netstat /?中获取,这里不再做无意义的复制
粘贴了,朋友们自己看一下吧。这里重点提一下"-a"和"-n"选项。"-a"选项意在显示
所有连接,当不附加"-n"选项时,它显示的是本地计算机的netbios名字+端口号。而
加了"-n"选项后,它显示的是本地IP地址+端口号。
For example:
[netstat -a]
TCP fdlpw:ftp fdlpw:0 LISTENING
[netstat -an]
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
2.端口的基本知识
端口基本上可分为三大类:公用端口,注册端口和动态/私有端口。
公认端口(Well Known Ports):从0到1023,它们紧密绑定于一些服务。通常这些端
口的通讯明确表明了某种服务的协议。例如:80端口实际上总是HTTP通讯。
注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。也就
是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统
处理动态端口从1024左右开始。
动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535。理论上,
不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:
SUN的RPC端口从32768开始。
特别的要注意以下几点:
*ICMP没有端口概念,防火墙中的所谓端口指的是是其type.
ICMP只有两个域:即type和code.
*0端口通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效
端口,当你试图使用一种通常的闭合端口连接它时将产生不同的结果。
*1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪
个端口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点
分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端
口1024。为了验证这一点,你可以重启机器,打开Telnet,再打开一个窗口运行
“netstat -”,你将会看到Telnet被分配1024端口。请求的程序越多,动态端口
也越多,操作系统分配的端口将
逐渐变大。再来一遍,当你浏览Web页时用“netstat
查看,每个Web页需要一个新端口。
*一些系统所经常用到的公用和动态端口在\system32\drivers\etc目录下的services
文件中定义,你可以在notepad中打开该文件。
3stat结果信息的结构
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
针对这个子项:
TCP:所用协议,传输控制协议。
0.0.0.0:21:0.0.0.0是表示本机ip,如果是动态端口的话通常用本地ip表示而不是全0
21表示本机上该服务分配的端口号
0.0.0.0:0:表示外部任何主机的任何端口
LISTENING:表示该服务处于监听状态。
对于netstat -a的结果,通常是用服务名来代替其端口,如:
TCP fdlpw:ftp fdlpw:0 LISTENING
这里fdlpw替代了0.0.0.0,ftp替代了端口21
通常情况下在\system32\etc\services文件中对相应服务名有相关说明,下面给出更
详尽的描述:
# <;服务名> <;端口号>/<;协议> [别名] [#<;注释>]
echo 7/tcp #回应
echo 7/udp #回应
discard 9/tcp sink null #删除
discard 9/udp sink null #删除
systat 11/tcp users #Active users 活动用户
systat 11/tcp users #Active users 活动用户
daytime 13/tcp #时间
daytime 13/udp #时间
qotd 17/tcp quote #Quote of the day 日期的引用
qotd 17/udp quote #Quote of the day 日期的引用
chargen 19/tcp ttytst source #Character generator 字符生成
器
chargen 19/udp ttytst source #Character generator 字符生成
器
ftp-data 20/tcp #FTP, data 文件传输[默认数据]
ftp 21/tcp #FTP. control 文件传输[控制],
连接对话
telnet 23/tcp #远程登录
smtp 25/tcp mail #Simple Mail Transfer
Protocol 简单邮件传送
time 37/tcp timserver #时间
time 37/udp timserver #时间
rlp 39/udp resource #Resource Location Protocol
资源定位协议
nameserver 42/tcp name #Host Name Server 主机名服务
nameserver 42/udp name #Host Name Server 主机名服务
nicname 43/tc
p whois #哪个用户
domain 53/tcp #Domain Name Server 域名服务
器
domain 53/udp #Domain Name Server 域名服务
器
bootps 67/udp dhcps #Bootstrap Protocol Server 动
态主机配置协议/远程启动协议
服务器
bootpc 68/udp dhcpc #Bootstrap Protocol Client 动
态主机配置协议/远程启动协议
客户端
tftp 69/udp #Trivial File Transfer 普通文
件传输协议
gopher 70/tcp #Gopher
finger 79/tcp #Finger
http 80/tcp www www-http #World Wide Web 万维网超文本
传输协议
kerberos 88/tcp krb5 kerberos-sec #Kerberos
kerberos 88/udp krb5 kerberos-sec #Kerberos
hostname 101/tcp hostnames #NIC Host Name Server NIC主机
名服务器
iso-tsap 102/tcp #ISO-TSAP Class 0 IOS传送
层服务访问点
rtelnet 107/tcp #Remote Telnet Service 远程
TELlnet服务
pop2 109/tcp postoffice #Post Office Protocol -
Version 2 邮局协议版本2
pop3 110/tcp #Post Office Protocol -
Version 3 邮件协议版本3
sunrpc 111/tcp rpcbind portmap #SUN Remote Procedure Call
SUN远程过程调用
sunrpc 111/udp rpcbind portmap #SUN Remote Procedure Call
SUN远程过程调用
auth 113/tcp ident tap #Identification Protocol 鉴别
服务协议
uucp-path 117/tcp #UUCP路径服务
nntp 119/tcp usenet #Network News Transfer
Protocol 网络新闻组传送协议
ntp 123/udp #Network Time Protocol 网络时
间协议
epmap 135/tcp loc-srv #DCE endpoint resolution 数据
通信设备定位
服务
epmap 135/udp loc-srv #DCE endpoint resolution 数据
通信设备定位服务
netbios-ns 137/tcp nbname #NETBIOS Name Service
NetBIOS命名服务
netbios-ns 137/udp nbname #NETBIOS Name Service
NetBIOS命名服务
netbios-dgm 138/udp nbdatagram #NETBIOS Datagram Service
NetBIOS数据报服务
netbios-ssn 139/tcp nbsession #NETBIOS Session Service
NetBIOS会话服务
imap 143/tcp imap4 #Internet Message Access
Protocol Internet邮件存取协
议版本
4pcmail-srv 158/tcp #PCMail Server PC Mail服务器
snmp 161/udp #SNMP 简单网络管理协议
snmptrap 162/udp snmp-trap #SNMP trap
print-srv 170/tcp #Network PostScript 网络
PostScript
bgp 179/tcp #Border Gateway Protocol 边际
网关协议
irc 194/tcp #Internet Relay Chat
Protocol Internet中继对话协
议
ipx 213/udp #IPX over IP
ldap 389/tcp #Lightweight Directory Access
Protocol 轻量目录访问协议
https 443/tcp MCom #(暂未翻译)只能理解为:访问
SSL安全站点使用的协议
https 443/udp MCom #(暂未翻译)只能理解为:访问
SSL安全站点使用的协议
microsoft-ds 445/tcp #IP 上的服务器消息块 (SMB),
即 Microsoft-DS
microsoft-ds 445/udp #IP 上的服务器消息块 (SMB),
即 Microsoft-DS
kpasswd 464/tcp # Kerberos (v5)
kpasswd 464/udp # Kerberos (v5)
isakmp 500/udp ike #Internet Key Exchange
Internet密钥交换
exec 512/tcp #Remote Process Execution 远
程过程执行
biff 512/udp comsat
#邮件系统使用它通知用户新邮件的到达;目前仅用于
从同一台计算机上的进程接受信息
login 513/tcp #Remote Login 像telnet一样进
行远程登录
who 513/udp whod #维护表明哪些用户登录到一个局
域网的计算机上和上和计算机负
载平均值的数据库
cmd 514/tcp shell #类似于exec,但可为登录的服务
器自动执行鉴别
syslog 514/udp #(未查阅到资料,暂未翻译)
printer 515/tcp spooler #假脱机;打印服务器LPD服务将监
听TCP的515端口上的进入连接
talk 517/udp #类似于tenex链接,但它是跨越
计算机的。
ntalk 518/udp #(未查阅到资料,暂未翻译)
efs 520/tcp #Extended File Name Server 扩
展文件名服务
router 520/udp route routed #本地路由进程(在站点上);使
用XeroxNS路由信息协议的变体
timed 525/udp timeserver #(未查阅到资料,暂未翻译)
tempo 526/tcp newdate #(未查阅到资料,暂未翻译)
courier 530/tcp rpc #远程过程调用
conference 531/tcp chat #(未查阅到资料,暂未翻译)
netnews 532/tcp readnews #读新闻
netwall 533/udp #For emergency broadcasts 用
于紧急事件广播
uucp 540/tcp uucpd #(未查阅到资料,暂未翻译)
klogin 543/tcp #Kerberos login
kshell 544/tcp krcmd #Kerberos remote shell
new-rwho 550/udp new-who #(未查阅到资料,暂未翻译)
remotefs 556/tcp rfs rfs_server #远程文件系统服务器
rmonitor 560/udp rmonitord #(未查阅到资料,暂未翻译)
monitor 561/udp #(未查阅到资料,暂未翻译)
ldaps 636/tcp sldap #LDAP over TLS/SSL 轻量目录访问协议穿
过安全套接字层/传输层安全
doom 666/tcp #Doom Id Software (未查阅到
资料,暂未翻译)
doom 666/ud
p #Doom Id Software (未查阅到
资料,暂未翻译)
kerberos-adm 749/tcp #Kerberos administration
Kerberos管理
kerberos-adm 749/udp #Kerberos administration
Kerberos管理
kerberos-iv 750/udp #Kerberos version IV (未查阅
到资料,暂未翻译)
kpop 1109/tcp #Kerberos POP Kerberos方式弹
出
phone 1167/udp #Conference calling (未查阅
到资料,暂未翻译)
ms-sql-s 1433/tcp #Microsoft-SQL-Server 微软SQl
服务
ms-sql-s 1433/udp #Microsoft-SQL-Server 微软SQl
服务
ms-sql-m 1434/tcp #Microsoft-SQL-Monitor 微软SQ
服务监视器
ms-sql-m 1434/udp #Microsoft-SQL-Monitor 微软SQ
服务监视器
wins 1512/tcp #Microsoft Windows Internet
Name Service
#保留给微软windows的Internet
名字服务将来使用
关闭135端口wins 1512/udp #Microsoft Windows Internet
Name Service
ingreslock 1524/tcp ingres #(未查阅到资料,暂未翻译)
l2tp 1701/udp #Layer Two Tunneling
Protocol 第二层隧道协议
pptp 1723/tcp #Point-to-point tunnelling
protocol 点对点隧道协议
radius 1812/udp # RADIUS authentication
protocol (暂未翻译)
radacct 1813/udp #RADIUS accounting
Protocol (暂未翻译)
nfsd 2049/udp nfs #NFS server 网络文件系统服务
knetd 2053/tcp #Kerberos de-multiplexor
Kerberos分离器
man 9535/tcp #Remote Man Server 远程管理服
务器
特别的,针对下面的子项:
TCP
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论