Как да разберете кой процес слуша на порт в Windows? Мрежово слушане (снифинг) TCP слушане.

Лекционен курс

по дисциплина „Защита на информационните процеси в компютърните системи”

Част 1

1. Цели, преследвани от нападателя

2. Методи и средства

2.1. Мрежово слушане

2.2. Сканиране

2.3. Генериране на пакети

2.4. троянци

2.5. Подвизи

2.6. Програми за автоматичен избор на парола

3. Класификация на мрежовите атаки

3.1. По ниво на OSI модел

3.2. Тип

3.3. По местоположение на нападателя и атакувания обект

4. Спуфинг атаки

5. Атаки, които позволяват неоторизиран обмен на данни

5.1. Тунелиране

5.2. Атака с малки фрагменти

6. Атаки за прихващане на данни

6.1. Фалшиво ICMP съобщение за пренасочване

6.2. Фалшиво DHCP съобщение

6.3. Атака срещу протоколи за маршрутизиране

7. Разпределени атаки за отказ на услуга (DDoS).

7.1. Общи принципи и концепции на DDoS атаките

7.2. DDoS атаки, базирани на TCP протокола

7.3. DDoS атаки, базирани на UDP протокола

7.4. DDoS атаки, базирани на ICMP протокола

8. Атаки на ниво приложение

8.1. Атаки с пароли

8.2. SQL инжекция

8.3. Междусайтови скриптове (XSS)

9. Заплахи и атаки, специфични за безжичните мрежи 802.11

Уместността и важността на проблема за осигуряване на информационна сигурност се дължи на следните фактори:

· Бързо развитие на глобалната Интернет

Такава глобализация позволява на нападатели от почти всяка точка на света, където има интернет, на хиляди километри, да извършат атака срещу корпоративна мрежа.

· Разпространение на лесни за използване хакерски програми

Широкото разпространение на лесни за използване злонамерени програми и препоръки за тяхното използване доведе до рязък спад в нивото на знания и умения, необходими на атакуващия, за да извърши успешна атака.

· Автоматизация на почти всички бизнес процеси на фирмите

Значителното увеличаване на обема на информацията, съхранявана и обработвана с помощта на компютри и други инструменти за автоматизация, допринесе за появата на заплахи, свързани с възможността за загуба на данни, изкривяване и разкриване. Според експерти в момента около 70-90% от интелектуалния капитал на една компания се съхранява дигитално.

· Множество уязвимости на софтуера и мрежовите платформи

Поради конкуренцията съвременните софтуерни продукти се продават с грешки и дефекти. Останалите грешки и недостатъци в тези системи водят до случайни и умишлени нарушения на информационната сигурност.

· Неглижиране на проблемите на информационната сигурност в компанията.

Липса на информационно осигуряване на служителите в областта на информационната сигурност и опазването на търговската тайна.

· Нарастваща популярност на безжичните мрежови технологии в корпоративната среда. Това се дължи на лекотата на разгръщане (няма нужда от полагане на кабел), относителната евтиност на оборудването, значително по-ниска цена, ако е необходимо да се разшири мрежата (в сравнение с кабелния аналог, достатъчно е да покриете необходимата площ с точки за достъп), както и мобилност за потребителите и гъвкавост при разширяване.

Цели, преследвани от нападателя

- кражба на информация(пример – кражба на потребителско име и парола; кражба на информация, представляваща търговска тайна)

- модификация на информацията(пример – промяна на информацията за състоянието на сметката в банковата база данни)

- нарушение на наличността на информационен ресурс(в този случай нападателят не се интересува от информация; целта му е да усложни или направи невъзможно работата на сървъра до такава степен, че други потребители да не могат да използват услугите му).

Методи и средства

Мрежово слушане (снифинг)

Слушането на трафика в локалните мрежи се извършва с помощта на специални програми - снифери. Тази програма улавя пакети, които идват към мрежовия интерфейс на компютъра, и ви позволява да ги анализирате.

Тъй като някои мрежови приложения прехвърлят данни в текстов формат (HTTP, FTP, SMTP, POP3 и т.н.), използването на снифер може да разкрие полезна и понякога поверителна информация (например потребителски имена и пароли). Прихващането на потребителски имена и пароли създава голяма опасност, тъй като потребителите често използват едно и също потребителско име и парола за множество ресурси и приложения.

Мрежова химия Packetyzer снифър програмен интерфейс

Процесът на прослушване на трафик в локална мрежа зависи от нейната топология и оборудването, използвано в нея.

Преди това локалните мрежи не бяха комутирани. Обменът на данни между компютрите в мрежата се извършваше по един и същ информационен канал или, грубо казано, по един и същи проводник, независимо от подателя и получателя. Такива мрежи включват Ethernet мрежи с топология „Обща шина“ (вече остаряла), Ethernet мрежи с топология „Звезда“, базирани на хъб или хъб (понастоящем рядко използвани), безжични мрежи на стандарта Wi-Fi.

Ethernet с топология “Common Bus”.

Ethernet с топология “Star” на базата на хъб (хъб)

Безжична Wi-Fi мрежа

В мрежи без комутация всеки компютър получава всички пакети, предадени по мрежата. След като получи пакета, драйверът на мрежовата карта анализира заглавката на пакета, извлича MAC адреса на получателя от там и го сравнява с MAC адреса на мрежовата карта. Ако адресите съвпадат, пакетът се прехвърля към операционната система за по-нататъшна обработка. Ако адресите не съвпадат, пакетът се отхвърля.

Ясно е, че с такава схема е лесно за атакуващия да прослуша целия трафик в мрежата. За да направите това, трябва да поставите мрежовата карта в специален режим - така нареченият безразборен („неразбираем“). Мрежовата карта в режим „безразборен“ приема всички пакети, независимо от техния адрес на местоназначение, и ги предава на програмата за анализиране. (В повечето случаи безразборният режим се включва автоматично след стартиране на снифера).

В днешно време обаче повечето Ethernet мрежи са изградени на базата на комутатор.

Ethernet с топология “Star” на базата на комутатор (суич)

Комутаторът има таблица на съответствието между MAC адресите на възлите и неговите портове, към които тези възли са свързани. Пакетите вече се насочват към конкретен порт, определен за дестинацията на пакета. Съответно нападателят може да преглежда само пакети, адресирани до него, или да излъчва пакети.

Има обаче начини, които позволяват на атакуващия да заобиколи това ограничение и да слуша трафик, който не е предназначен за него. Един от тези методи е атаката ARP spoofing (друго име на атаката е ARP poisoning, т.е. отравяне). ARP спуфинг атака е вид човек по средата(човек в средата).

За да генерира пакет и да го изпрати към мрежата, компютърът трябва да знае IP и MAC адресите на получателя на пакета. IP адресът, като правило, е известен на подателя предварително (или името на домейна на получателя е известно, чрез което е лесно да се получи IP адрес с помощта на DNS сървър). За намиране на MAC адрес с помощта на известен IP се използва протоколът ARP (Address Resolution Protocol). Работи така:

Когато компютърът трябва да изпрати пакет до определен IP адрес, той първо проверява своя ARP кеш, за да види дали IP-MAC картографирането, което търси, е там. (Можете да видите съдържанието на ARP кеша на вашия компютър, като изпълните arp –a в командния ред.) Ако има такъв, тогава полученият MAC адрес се вмъква в заглавката на изходящия пакет и пакетът се изпраща към мрежата.

В противен случай към мрежата се изпраща специална ARP заявка за излъчване („Кой има 192.168.0.1?“). Всеки компютър, разпознал своя IP адрес в заявката, трябва да отговори на своя подател и да изпрати своя MAC адрес. Той се поставя в ARP кеша на рикуестъра и се използва за по-нататъшно изпращане на мрежови пакети.

Нападателят може да използва ARP протокола, за да прихване трафика между два компютъра в мрежа.

Схема за ARP спуфинг атака

Да приемем, че нападателят X трябва да види трафика от A до B и обратно. За да направи това, той изпраща на компютър A фалшив ARP отговор,съдържащ IP адреса на компютър B и предполагаемия съответстващ MAC адрес на атакуващия X. Подобен ARP отговор се изпраща до B: в него IP адресът на компютър A е съпоставен с MAC адреса на атакуващия X. ARP протоколът не изискват удостоверяване, така че A и B не могат да проверят надеждността на входящите данни и веднага ще ги въведат в своя ARP кеш. Така става ARP кеш отравяневъзли A и B, въвеждайки неверни, неверни данни в тях. В същото време, след като сте изпратили фалшив ARP пакет веднъж и сте заменили ARP кеша на компютъра на някой друг, трябва периодично да извършвате тази процедура отново и отново, тъй като всяка операционна система също постоянно актуализира своя ARP кеш на определени интервали. Достатъчно е да правите това веднъж на всеки 20-40 секунди.

Сега компютър A, който се кани да изпрати данни до B, ще ги изпрати до X (тъй като действителното доставяне на данни от комутатора се извършва на MAC адреса на получателя). Нападателят X получава данните, преглежда ги и след това ги препраща на законния получател B, без да бъде открит. Подобна ситуация възниква в обратната посока: трафикът, предаван от B към A, също може да бъде проучен от нападател. Особена полза за атакуващия (и съответно особена опасност) е случаят, когато един от атакуваните компютри е шлюз, т.е. служи за свързване на локална мрежа към интернет. Тогава нападателят може да има достъп до потребителски имена и пароли за достъп до интернет ресурси (уеб сайтове, ICQ, имейл) и друга поверителна информация, предавана в интернет.

По този начин превключваната инфраструктура не елиминира заплахата от подслушване. Въпреки това значително намалява тежестта му.

Методи за защита срещу ARP спуфинг

Използване на статични записи в ARP кеша. За да направите това, трябва ръчно да въведете записи в ARP кеша на компютъра относно IP и съответните им MAC адреси. В този случай фалшивият ARP отговор на атакуващия няма да бъде приет и няма да настъпи отравяне на кеша.

ARP кеш записи - статични и динамични

Този метод обаче е труден за използване в големи мрежи поради своята сложност. Също така няма да е възможно да се използват статични записи, ако IP адресите се разпределят автоматично с помощта на DHCP сървър.

Използване на интелигентни превключватели.

Много съвременни модели комутатори имат вградена защита срещу ARP spoofing (извършва се чрез анализиране на ARP трафика на комутатора и блокиране на фалшиви ARP заявки).

Използване на специални модули за защитна стена за откриване и блокиране на атаки

Някои защитни стени включват специален модул (например в Outpost той се нарича „Детектор на атаки“), който ви позволява да откриете подозрителна мрежова активност и да я блокирате, както и да уведомите потребителя за това.

Криптиране на трафика

Този метод не предотвратява прихващането, но го прави безполезен. Ако комуникационният канал е криптографски защитен, това означава, че хакерът не прихваща съобщението, а шифрования текст (т.е. неразбираема последователност от битове). Имайте предвид обаче, че извършването на криптографски трансформации върху големи количества данни може значително да забави вашия компютър.

Има друг начин да слушате трафика в мрежата. Както знаете, за своята работа комутаторът динамично изгражда таблица за съответствие „MAC адрес – порт“. Ако пакет премине през комутатора, чийто MAC адрес не е в тази таблица, комутаторът автоматично добавя нов запис към него, съответстващ на неизвестния MAC адрес.

Атаката включва изпращане на голям брой пакети с различни фалшиви MAC адреси през комутатора. В този случай таблицата за превключване ще се препълни и ще премине в режим на работа „хъб“. Съответно нападателят ще има достъп до целия трафик в мрежата.

Проблемът с слушането на безжични мрежи стана особено актуален напоследък, тъй като безжичната мрежа по своята същност е отворена и публично достъпна. За да се предотврати неоторизирано подслушване на безжичен трафик в Wi-Fi мрежи, се използват специални криптографски протоколи (днес най-често срещаните са WPA и WPA2).

Сканиране

Мрежовото сканиране е насочено към идентифициране на компютри, свързани към мрежата, и определяне на мрежовите услуги, работещи на тях (отворени TCP или UDP портове). Първата задача се изпълнява чрез изпращане на ICMP Echo съобщения с помощта на програмата ping и последователно търсене в адресите на хостове в мрежата.

Мрежовият администратор може да открие опити за сканиране чрез анализиране на мрежовия трафик и наблюдение на Echo съобщения, изпратени последователно до всички мрежови адреси за кратък период от време. За по-голяма секретност атакуващият може значително да удължи процеса във времето („бавно сканиране“) - същото важи и за сканирането на TCP/UDP портове.

За да определите кои UDP или TCP приложения (както и системни услуги на ОС) се изпълняват на открити компютри, програми за скенер. Тъй като номерата на портовете на всички основни интернет услуги са стандартизирани, ако определите, например, че порт 25/TCP е отворен, можете да заключите, че този хост е имейл сървър; порт 80/TCP – уеб сървър и т.н. Нападателят може да използва получената информация за по-нататъшно стартиране на атака.

Сканирането на хост TCP портове се извършва по няколко начина. Най-простият начин е установяване на пълна TCP връзка с тествания порт. Ако връзката е установена, това означава, че портът е отворен и към него е свързано сървърно приложение. Предимството на този метод е възможността за извършване на сканиране без специален софтуер: стандартната програма telnet ви позволява да посочите произволен номер на порт, за да установите връзка. Съществен недостатък е възможността за наблюдение и запис на такова сканиране: при анализиране на системния дневник на сканирания хост ще бъдат открити множество отворени и незабавно прекъснати връзки, в резултат на което могат да бъдат предприети мерки за подобряване на нивото на сигурност. Освен това, ако използвате помощната програма telnet, ще трябва ръчно да търсите във всички портове, представляващи интерес за нападателя.

Полуотворено сканираненяма описаните недостатъци. Повечето съвременни скенери работят по този начин. Скенерът изпраща SYN сегмент към сканирания порт и чака отговор. Получаването на сегмент за отговор с битовете SYN и ACK означава, че портът е отворен; получаването на сегмент с RST бит означава, че портът е затворен. След като получи SYN+ACK, скенерът незабавно изпраща сегмент с RST бита към открития порт, като по този начин елиминира опита за свързване. Тъй като връзката никога не е била отваряна (ACK не е получено от скенера), е много по-трудно да се регистрира такова сканиране.

Трети начин - сканиране с помощта на FIN сегменти. В този случай сегмент със зададен бит FIN се изпраща към сканирания порт. Хостът ТРЯБВА да отговори с RST сегмент, ако FIN сегментът е адресиран към затворен порт. FIN сегментите, насочени към порт в състояние LISTEN, се игнорират от много TCP/IP реализации. По този начин липсата на отговор показва, че портът е отворен. Варианти на този метод на сканиране са изпращане на сегменти с флагове FIN, PSH, URG или без никакви флагове („Нулево сканиране“).

Разбира се, сканирането със SYN сегменти дава по-надеждни резултати, но за щастие много защитни стени може да не позволяват SYN сегменти без ACK флаг от интернет към вътрешната мрежа (по този начин връзките от интернет хостове към вътрешни хостове, инициирани от интернет, се отказват , но връзките са разрешени инициирани отвътре). В този случай атакуващият няма друг избор, освен да използва FIN сегментно сканиране.

За да определи отворени UDP портове, атакуващият може да изпрати UDP съобщение до тествания порт. Получаването на ICMP Port Unreachable съобщение в отговор показва, че портът е затворен.

Програмата за сканиране може също да определи операционната система на сканирания хост по начина, по който хостът реагира на специално проектирани, нестандартни пакети: например TCP сегменти с безсмислени комбинации от флагове или определени типове ICMP съобщения и други характеристики.

Съвременните програми за сканиране ви позволяват не само да откривате отворени портове на приложения, но и да определяте списък с уязвимости, които присъстват в тези приложения, и да предоставят препоръки за тяхното премахване. За да може скенерът да намира уязвимости в новите версии на приложенията, базата данни на скенера трябва постоянно да се актуализира (подобно на базата данни на антивирусна програма).

По този начин програмата за сканиране може да се използва не само от нападател, но и от самия администратор, за да търси уязвимости и да ги елиминира. Администраторът също трябва редовно да преглежда списъка с отворени портове: наличието на отворен порт, неизвестен на администратора, може да показва наличието на троянска програма в системата.

Xspider скенер отчет със списък на отворени портове

Доклад на скенера Xspider: открита уязвимост и препоръки за отстраняването й

Можете също така да определите отворените портове на локалната машина, както и приложенията, които използват тези портове, като използвате помощната програма за команден ред netstat.

Генериране на пакети

В интернет можете да намерите готови програми за генериране на пакети с определен формат и съдържание. Използването на такива програми често не изисква от атакуващия да има умения за програмиране или разбиране на принципите на работа на мрежата, което прави много от атаките, особено атаките за отказ на услуга, широко изпълними.

2.4. троянци

Проектиран да краде информация или да контролира отдалечен компютър.

Троянските програми се различават една от друга по действията, които извършват на заразен компютър. Следното е класификация на троянски програми, според Kaspersky Lab.

Екип netstat, включен в стандартния набор от мрежови инструменти на UNIX, показва различна информация, свързана с мрежата, като мрежови връзки, статистика на интерфейса, таблици за маршрутизиране, маскарад, мултикаст и др.

В тази статия ще разгледаме десет практически примера за използване на командата netstat на Linux.

1. Списък на всички портове (слушани и не)

Избройте всички портове: netstat -a

# netstat -a | повече Активни интернет връзки (сървъри и установени) Proto Recv-Q Send-Q Локален адрес Външен адрес Състояние tcp 0 0 localhost:domain *:* LISTEN udp6 0 0 fe80::20c:29ff:fe68:ntp [::]:* Активни UNIX домейн сокети (сървъри и установени) Proto RefCnt Флагове Тип Състояние I-Node Path unix 2 [ ACC ] СЛУШАНЕ НА ПОТОК 20492 /var/run/mysqld/mysqld.sock unix 2 [ ACC ] СЛУШАНЕ НА ПОТОК 23323 /var/run/php5 -fpm.чорап

Избройте всички TCP портове: netstat -at

# netstat -at Активни интернет връзки (сървъри и установени) Proto Recv-Q Send-Q Локален адрес Външен адрес Състояние tcp 0 0 localhost:domain *:* LISTEN tcp 0 0 *:ssh *:* LISTEN tcp 0 0 localhost:ipp *:* СЛУШАЙТЕ tcp 0 0 *:http *:* СЛУШАЙТЕ

Избройте всички UDP портове: netstat -au

# netstat -au Активни интернет връзки (сървъри и установени) Proto Recv-Q Send-Q Локален адрес Външен адрес Състояние udp 0 0 localhost:domain *:* udp 0 0 *:bootpc *:* udp6 0 0 fe80::20c: 29ff:fe68:ntp [::]:*

2. Списък на гнездата в състояние LISTEN

Избройте всички слушащи портове: netstat -l

# netstat -l Активни интернет връзки (само сървъри) Proto Recv-Q Send-Q Локален адрес Външен адрес Състояние tcp 0 0 localhost:domain *:* LISTEN tcp6 0 0 [::]:ssh [::]:* LISTEN udp 0 0 192.168.128.134:ntp *:*

Избройте TCP слушащи портове: netstat -lt

# netstat -lt Активни интернет връзки (само сървъри) Proto Recv-Q Send-Q Локален адрес Външен адрес Състояние tcp 0 0 localhost:domain *:* LISTEN tcp 0 0 localhost:ipp *:* LISTEN tcp6 0 0 [::] :ssh [::]:* СЛУШАЙТЕ

Избройте слушащи UDP портове: netstat -lu

# netstat -lu Активни интернет връзки (само сървъри) Proto Recv-Q Send-Q Локален адрес Външен адрес Състояние udp 0 0 *:bootpc *:* udp6 0 0 [::]:ntp [::]:*

Избройте UNIX слушащи сокети: netstat -lx

# netstat -lx Активни UNIX домейн сокети (само сървъри) Proto RefCnt Флагове Тип състояние I-Node Path unix 2 [ ACC ] СЛУШАНЕ НА ПОТОК 3141 /var/run/fail2ban/fail2ban.sock unix 2 [ ACC ] СЛУШАНЕ НА ПОТОК 20492 /var/ run/mysqld/mysqld.sock unix 2 [ ACC ] СЛУШАНЕ НА ПОТОК 23323 /var/run/php5-fpm.sock

3. Преглед на статистика за всеки протокол

Показване на статистика за всички портове: netstat -s

# netstat -s IP: общо 11150 получени пакета 1 с невалидни адреси 0 препратени 0 отхвърлени входящи пакети 11149 доставени входящи пакети 11635 изпратени заявки Icmp: 13791 получени ICMP съобщения 12 неуспешно въвеждане на ICMP съобщение. Tcp: 15020 отворени активни връзки 97955 отворени пасивни връзки 135 неуспешни опита за свързване Udp: 2841 получени пакета 180 получени пакета към неизвестен порт. .....

Показване на статистика само за TCP портове: netstat -st

# netstat -st

Показване на статистика само за UDP портове: netstat -su

# netstat -su

4. Покажете PID и името на процеса в изхода на netstat

опция netstat -pще добави "PID/Име на програмата" към изхода на netstat и може да се комбинира с всеки друг набор от опции. Това е много полезно за отстраняване на грешки, за да се определи коя програма работи на конкретен порт.

# netstat -pt Активни интернет връзки (без сървъри) Proto Recv-Q Send-Q Локален адрес Външен адрес Състояние PID/Име на програмата tcp 0 0 org-ru-putty.vm.udf:www 52-106.plus.kerch :55723 УСТАНОВЕН 9486/nginx: работник tcp 0 0 org-ru-putty.vm.udf:www 52-106.plus.kerch:55757 УСТАНОВЕН 9486/nginx: работник

5. Резолюция на имена в изхода на netstat

Когато не е необходимо да разрешавате име на хост, име на порт, потребителско име, използвайте опцията netstat -nза показване на стойности в цифров формат. Командата ще покаже IP адрес вместо хост, номер на порт вместо име на порт, UID вместо потребителско име.

Това също ще ускори изхода, тъй като netstat няма да извършва ненужни търсения.

# netstat -an

За да покажете числените стойности само на някои от тези елементи, използвайте следните команди:

# netsat -a --numeric-ports # netsat -a --numeric-hosts # netsat -a --numeric-users

6. Netstat извежда непрекъснато

опция netstat -cще извежда информация непрекъснато, със стил Горна част, опреснявайки екрана на всеки няколко секунди.

# netstat -c Активни интернет връзки (без сървъри) Proto Recv-Q Send-Q Локален адрес Външен адрес Състояние tcp 0 0 org-ru-putty.vm.udf:www 182.131.74.202:59933 FIN_WAIT2 tcp 0 0 org- ru-putty.vm.udf:www 182.131.74.202:63761 FIN_WAIT2 tcp 0 0 org-ru-putty.vm.udf:www 92-181-66-102-irk.:4585 УСТАНОВЕНО ^C

7. Адресирайте семейства, които не се поддържат от системата

опция netstat --подробноще покаже подробен резултат и в самия край ще покаже неподдържани фамилии адреси.

Netstat: няма поддръжка за „AF IPX" в тази система. netstat: няма поддръжка за „AF AX25" в тази система. netstat: няма поддръжка за „AF X25" в тази система. netstat: няма поддръжка за „AF NETROM" в тази система.

8. Маршрутизиране на ядрото

Показване на таблицата за маршрутизиране на ядрото: netstat -r

# netstat -r Таблица за IP маршрутизиране на ядрото Дестинация Шлюз Genmask Флагове MSS Window irtt Iface по подразбиране 192.168.128.2 0.0.0.0 UG 0 0 0 eth0 192.168.128.0 * 255.255.255.0 U 0 0 0 eth0

Забележка: Използвайте netstat -rnза преглед на маршрута в цифров формат без разрешаване на имена на хостове.

9. Съответствие на портове и процеси

Разберете кой порт е зает от определена програма:

# netstat -ap | grep ssh (Не всички процеси могат да бъдат идентифицирани, информацията за непритежаван процес няма да бъде показана, трябва да сте root, за да видите всичко.) tcp 0 0 *:ssh *:* СЛУШАЙТЕ - tcp6 0 0 [::] :ssh [::]:* СЛУШАЙ -

Разберете кой процес използва определен порт:

# netstat -an | grep ": 80"

10. Мрежови интерфейси

Показване на списък с мрежови интерфейси: netstat -i

# netstat -i Интерфейсна таблица на ядрото Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg eth0 1500 0 1911037 0 0 0 1382056 0 0 0 BMRU lo 16436 0 0 0 0 0 0 0 0 0 LRU

Показване на разширена информация за интерфейсите (същото като ifconfig): netstat -т.е

# netstat -ie Таблица на интерфейса на ядрото eth0 Link encap:Ethernet HWaddr 00:0c:29:68:4c:a4 inet addr:192.168.128.134 Bcast:192.168.128.255 Mask:255.255.255.0 inet6 addr: fe80::20c:29ff: fe68:4ca4/64 Обхват: Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX пакети:24278 грешки:0 отпаднали:0 превишавания:0 рамка:0 TX пакети:11275 грешки:0 отпаднали:0 превишавания:0 превозвач:0 колизии: 0 txqueuelen: 1000 RX байта: 33203025 (33,2 MB) TX байта: 665822 (665,8 KB) Прекъсване: 19 Базов адрес: 0x2000

11. netstat -lnptux

Нека обобщим горното и комбинираме ключовете в една полезна команда, която ще покаже:

-l всички отворени портове (СЛУШАЙТЕ)
-t през TCP протокол
-u през UDP протокол
-x чрез UNIX Socket протокол
-n без разрешаване на IP/имена
-p, но с имена на процеси и PID

Забележка: Не всички процеси могат да бъдат идентифицирани чрез последния ключ; други процеси няма да бъдат показани. Трябва да сте root, за да видите всичко.

# netstat -lnptux Активни интернет връзки (само сървъри) Proto Recv-Q Send-Q Локален адрес Външен адрес Състояние PID/Име на програмата tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 9614/nginx tcp 0 0 0.0.0.0 :22 0.0.0.0:* СЛУШАЙТЕ 601/sshd udp 0 0 8.8.4.4:123 0.0.0.0:* 574/ntpd udp 0 0 127.0.0.1:123 0.0.0.0:* 574/ntpd udp 0 0 0.0.0.0: 123 0.0.0.0:* 574/ntpd Активни UNIX домейн сокети (само сървъри) Proto RefCnt Флагове Тип Състояние I-Node PID/Име на програмата Път unix 2 [ ACC ] СЛУШАНЕ НА ПОТОК 4233 826/python /var/run/fail2ban/fail2ban. sock unix 2 [ ACC ] СЛУШАНЕ НА ПОТОК 8122 2561/mysqld /var/run/mysqld/mysqld.sock unix 2 [ ACC ] СЛУШАНЕ НА ПОТОК 160413 7301/php-fpm.conf /var/run/php5-fpm.sock

януари 2013 г., уебсайт

Моля, активирайте JavaScript

Отворете прозорец на командния ред (като администратор). В полето "Старт\Търсене" въведете "cmd", след това щракнете с десния бутон върху "cmd.exe" и изберете "Изпълни като администратор"

Въведете следния текст и натиснете Enter.

netstat -abno

-аПоказва всички връзки и слушащи портове.

-бПоказва изпълнимия файл, участващ в създаването на всяка връзка или слушащ порт. В някои случаи известен изпълним хост има множество независими компоненти и в тези случаи последователност от компоненти участва в създаването на връзка или порт за слушане. В този случай името на изпълнимия файл е в долната част, в горната част е компонентът, който е именувал и т.н. докато се достигне TCP/IP. Моля, имайте предвид, че тази опция може да отнеме много време и ще се провали, ако нямате достатъчно разрешение.

-нПоказва адреси и номера на портове в цифрова форма.

-оПоказва ID на процеса на собственост, свързан с всяка връзка.

Намерете порта, който слушате, под „Локален адрес“

Вижте името на процеса точно под това.

ЗАБЕЛЕЖКА. За да намерите процес в диспечера на задачите

Обърнете внимание на идентификатора на процеса (ID на процеса) до порта, който търсите.

Отворете Windows Task Manager.

Отидете в раздела Процеси.

Погледнете PID, който отбелязахте, когато направихте netstat в стъпка 1.

Ако не виждате колоната PID, щракнете върху Преглед/Избор на колони. Изберете PID.

Уверете се, че е избрано „Показване на процеси от всички потребители“.

Може да е полезно да прочетете: