چگونه بفهمیم کدام فرآیند در یک پورت در ویندوز گوش می دهد؟ گوش دادن به شبکه (اسنیفینگ) گوش دادن به TCP.

دوره سخنرانی

در رشته "حفاظت از فرآیندهای اطلاعاتی در سیستم های کامپیوتری"

قسمت 1

1. اهدافی که مهاجم دنبال می کند

2. روش ها و ابزار

2.1. گوش دادن به شبکه

2.2. اسکن کردن

2.3. تولید بسته

2.4. تروجان ها

2.5. بهره برداری می کند

2.6. برنامه هایی برای انتخاب رمز عبور خودکار

3. طبقه بندی حملات شبکه

3.1. بر اساس سطح مدل OSI

3.2. تایپ کنید

3.3. بر اساس مکان مهاجم و شی مورد حمله

4. حملات جعل

5. حملاتی که تبادل غیرمجاز داده را امکان پذیر می کند

5.1. تونل سازی

5.2. حمله تکه کوچک

6. حملات رهگیری داده ها

6.1. پیام نادرست ICMP Redirect

6.2. پیام DHCP نادرست

6.3. حمله به پروتکل های مسیریابی

7. حملات انکار سرویس توزیع شده (DDoS).

7.1. اصول و مفاهیم کلی حملات DDoS

7.2. حملات DDoS بر اساس پروتکل TCP

7.3. حملات DDoS بر اساس پروتکل UDP

7.4. حملات DDoS بر اساس پروتکل ICMP

8. حملات سطح برنامه

8.1. حملات رمز عبور

8.2. تزریق SQL

8.3. اسکریپت بین سایتی (XSS)

9. تهدیدات و حملات مخصوص شبکه های بی سیم 802.11

ارتباط و اهمیت مسئله تضمین امنیت اطلاعات ناشی از عوامل زیر است:

· توسعه سریع اینترنت جهانی

چنین جهانی سازی به مهاجمان تقریباً از هر نقطه از جهان که اینترنت وجود دارد، هزاران کیلومتر دورتر، اجازه می دهد تا به یک شبکه شرکتی حمله کنند.

· توزیع برنامه های هک با استفاده آسان

گسترش گسترده برنامه های مخرب با استفاده آسان و توصیه هایی برای استفاده از آنها منجر به کاهش شدید سطح دانش و مهارت هایی شده است که یک مهاجم برای انجام یک حمله موفق به آن نیاز دارد.

· اتوماسیون تقریباً تمامی فرآیندهای تجاری شرکت ها

افزایش قابل توجهی در حجم اطلاعات ذخیره شده و پردازش شده با استفاده از رایانه و سایر ابزارهای اتوماسیون به ظهور تهدیدهای مرتبط با احتمال از دست دادن، تحریف و افشای داده ها کمک کرده است. به گفته کارشناسان، در حال حاضر حدود 70 تا 90 درصد از سرمایه فکری یک شرکت به صورت دیجیتال ذخیره می شود.

· آسیب پذیری های متعدد نرم افزارها و بسترهای شبکه

به دلیل رقابت، محصولات نرم افزاری مدرن با خطا و نقص به فروش می رسند. خطاها و کاستی های باقی مانده در این سیستم ها منجر به نقض تصادفی و عمدی امنیت اطلاعات می شود.

· بی توجهی به مسائل امنیت اطلاعات در شرکت.

عدم پشتیبانی اطلاعاتی از کارکنان در زمینه امنیت اطلاعات و حفظ اسرار تجاری.

· افزایش محبوبیت فناوری های شبکه بی سیم در محیط شرکت. این به دلیل سهولت استقرار (نیازی به گذاشتن کابل نیست)، ارزان بودن نسبی تجهیزات، هزینه قابل توجهی کمتر در صورت لزوم گسترش شبکه (در مقایسه با یک آنالوگ سیمی، کافی است پوشش داده شود. منطقه مورد نیاز با نقاط دسترسی)، و همچنین تحرک برای کاربران و انعطاف پذیری در هنگام گسترش.

اهدافی که مهاجم دنبال می کند

- سرقت اطلاعات(به عنوان مثال – سرقت لاگین و رمز عبور؛ سرقت اطلاعاتی که یک راز تجاری است)

- اصلاح اطلاعات(به عنوان مثال - تغییر اطلاعات مربوط به وضعیت حساب در پایگاه داده بانک)

- نقض در دسترس بودن یک منبع اطلاعاتی(در این حالت، مهاجم علاقه ای به اطلاعات ندارد، هدف او این است که کار سرور را به حدی پیچیده یا غیرممکن کند که سایر کاربران نتوانند از خدمات آن استفاده کنند).

روش ها و ابزار

گوش دادن به شبکه (خرید کردن)

گوش دادن به ترافیک در شبکه های محلی با استفاده از برنامه های ویژه - sniffers انجام می شود. این برنامه بسته هایی را که به رابط شبکه کامپیوتر می آیند را می گیرد و به شما امکان تجزیه و تحلیل آنها را می دهد.

از آنجایی که برخی از برنامه های شبکه داده ها را در قالب متن (HTTP، FTP، SMTP، POP3 و غیره) انتقال می دهند، استفاده از sniffer می تواند اطلاعات مفید و گاهی حساس (به عنوان مثال، نام کاربری و رمز عبور) را آشکار کند. رهگیری نام کاربری و رمز عبور خطر بزرگی را ایجاد می کند، زیرا کاربران اغلب از یک ورود و رمز عبور برای چندین منبع و برنامه استفاده می کنند.

رابط برنامه Sniffer Packetyzer Network Chemistry

فرآیند گوش دادن به ترافیک در یک شبکه محلی به توپولوژی آن و تجهیزات مورد استفاده در آن بستگی دارد.

قبلاً شبکه های محلی بدون سوئیچ بودند. تبادل داده بین رایانه های موجود در شبکه از طریق یک کانال اطلاعاتی یا تقریباً از طریق یک سیم بدون توجه به فرستنده و گیرنده انجام می شود. چنین شبکه‌هایی شامل شبکه‌های اترنت با توپولوژی «گذرگاه مشترک» (اکنون منسوخ شده)، شبکه‌های اترنت با توپولوژی «ستاره» مبتنی بر هاب یا هاب (در حال حاضر به ندرت استفاده می‌شود)، شبکه‌های بی‌سیم استاندارد Wi-Fi.

اترنت با توپولوژی "گذرگاه مشترک".

اترنت با توپولوژی "ستاره" مبتنی بر هاب (هاب)

شبکه وای فای بی سیم

در شبکه های غیر سوئیچ، هر کامپیوتر تمام بسته های ارسال شده از طریق شبکه را دریافت می کند. پس از دریافت بسته، درایور کارت شبکه هدر بسته را تجزیه و تحلیل می کند، آدرس MAC گیرنده را از آنجا استخراج می کند و آن را با آدرس MAC کارت شبکه مقایسه می کند. اگر آدرس ها مطابقت داشته باشند، بسته برای پردازش بیشتر به سیستم عامل منتقل می شود. اگر آدرس ها مطابقت نداشته باشند، بسته حذف می شود.

واضح است که با چنین طرحی برای مهاجم آسان است که به تمام ترافیک شبکه گوش دهد. برای انجام این کار، باید کارت شبکه را در یک حالت خاص قرار دهید - به اصطلاح بی بند و بار ("نامفهوم"). کارت شبکه در حالت "محروم" تمام بسته ها را بدون توجه به آدرس مقصد آنها می پذیرد و آنها را برای تجزیه و تحلیل به برنامه sniffer ارسال می کند. (در اکثر موارد، پس از راه اندازی sniffer، حالت promiscuous به طور خودکار روشن می شود).

با این حال، امروزه بیشتر شبکه های اترنت بر اساس یک سوئیچ ساخته می شوند.

اترنت با توپولوژی "ستاره" مبتنی بر سوئیچ (سوئیچ)

سوئیچ دارای جدولی از مطابقت بین آدرس های MAC گره ها و پورت های آن است که این گره ها به آنها متصل هستند. اکنون بسته ها به یک پورت خاص که به مقصد بسته اختصاص داده شده است هدایت می شوند. بر این اساس، یک مهاجم فقط می تواند بسته های خطاب به او را مشاهده کند یا بسته هایی را پخش کند.

با این حال، راه‌هایی وجود دارد که به مهاجم اجازه می‌دهد این محدودیت را دور بزند و به ترافیکی که برای آن در نظر گرفته نشده است گوش دهد. یکی از این روش‌ها حمله جعل ARP است (نام دیگر حمله، مسمومیت ARP، یعنی مسمومیت است). حمله جعل ARP یک نوع است مرد در وسط(مرد در وسط).

برای تولید یک بسته و ارسال آن به شبکه، کامپیوتر باید آدرس IP و MAC گیرنده بسته را بداند. آدرس IP، به عنوان یک قاعده، از قبل برای فرستنده شناخته شده است (یا نام دامنه گیرنده شناخته شده است، که از طریق آن به راحتی می توان آدرس IP را با استفاده از یک سرور DNS به دست آورد). برای یافتن یک آدرس MAC با استفاده از یک IP شناخته شده، از پروتکل ARP (پروتکل وضوح آدرس) استفاده می شود. اینطوری کار میکنه:

هنگامی که یک کامپیوتر نیاز به ارسال بسته ای به یک آدرس IP خاص دارد، ابتدا حافظه پنهان ARP خود را بررسی می کند تا ببیند آیا نقشه IP-MAC مورد نظر در آنجا وجود دارد یا خیر. (می توانید با اجرای arp –a در خط فرمان، محتویات کش ARP رایانه خود را مشاهده کنید.) اگر یکی وجود داشته باشد، آدرس MAC دریافتی در هدر بسته خروجی درج می شود و بسته به شبکه ارسال می شود.

در غیر این صورت، یک درخواست پخش ویژه ARP به شبکه ارسال می شود ("چه کسی 192.168.0.1 دارد؟"). هر رایانه ای که آدرس IP خود را در درخواست شناسایی کرده است، باید به فرستنده خود پاسخ دهد و آدرس MAC خود را ارسال کند. در کش ARP درخواست کننده قرار می گیرد و برای ارسال بیشتر بسته های شبکه استفاده می شود.

یک مهاجم می تواند از پروتکل ARP برای رهگیری ترافیک بین دو کامپیوتر در یک شبکه استفاده کند.

طرح حمله جعل ARP

بیایید فرض کنیم که مهاجم X نیاز به مشاهده ترافیک از A به B و بازگشت دارد. برای این کار به کامپیوتر A می فرستد پاسخ غلط ARP،حاوی آدرس IP کامپیوتر B و آدرس MAC ظاهرا متناظر مهاجم X. یک پاسخ ARP مشابه به B ارسال می‌شود: در آن، آدرس IP کامپیوتر A با آدرس MAC مهاجم X مطابقت داده می‌شود. پروتکل ARP چنین نیست. نیاز به احراز هویت دارند، بنابراین A و B نمی توانند قابلیت اطمینان داده های دریافتی را تأیید کنند و بلافاصله آن را در حافظه پنهان ARP خود وارد می کنند. به این ترتیب اتفاق می افتد مسمومیت کش ARPگره های A و B، داده های نادرست و نادرست را در آنها وارد می کنند. در همان زمان، با ارسال یک بسته ARP نادرست یک بار و جایگزینی حافظه پنهان ARP رایانه شخص دیگری، باید به طور دوره ای این روش را بارها و بارها انجام دهید، زیرا هر سیستم عاملی نیز به طور مداوم حافظه پنهان ARP خود را در فواصل زمانی خاص به روز می کند. کافی است هر 20 تا 40 ثانیه یک بار این کار را انجام دهید.

اکنون کامپیوتر A که در شرف ارسال داده به B است، آن را به X ارسال می کند (زیرا تحویل واقعی داده ها توسط سوئیچ در آدرس MAC گیرنده انجام می شود). مهاجم X داده‌ها را دریافت می‌کند، آن‌ها را مشاهده می‌کند و سپس بدون شناسایی شدن، آن‌ها را به گیرنده واقعی B ارسال می‌کند. وضعیت مشابهی در جهت مخالف رخ می دهد: ترافیک منتقل شده از B به A نیز می تواند توسط مهاجم مطالعه شود. یک مزیت خاص برای مهاجم (و بر این اساس، یک خطر خاص) زمانی است که یکی از رایانه های مورد حمله یک دروازه باشد، به عنوان مثال. برای اتصال یک شبکه محلی به اینترنت خدمت می کند. سپس مهاجم ممکن است به نام های کاربری و رمزهای عبور برای دسترسی به منابع اینترنتی (وب سایت ها، ICQ، ایمیل) و سایر اطلاعات محرمانه منتقل شده به اینترنت دسترسی داشته باشد.

بنابراین، زیرساخت های سوئیچ شده تهدید انفجار را از بین نمی برد. با این حال، به طور قابل توجهی از شدت آن می کاهد.

روش های محافظت در برابر جعل ARP

استفاده از ورودی های ایستا در کش ARP. برای انجام این کار، باید به صورت دستی ورودی های مربوط به IP و آدرس های MAC مربوطه را در حافظه پنهان ARP کامپیوتر وارد کنید. در این صورت پاسخ غلط ARP مهاجم پذیرفته نخواهد شد و مسمومیت کش رخ نخواهد داد.

ورودی های کش ARP - ایستا و پویا

اما استفاده از این روش در شبکه های بزرگ به دلیل پیچیدگی آن دشوار است. همچنین اگر آدرس های IP به طور خودکار با استفاده از سرور DHCP توزیع شوند، استفاده از ورودی های ثابت امکان پذیر نخواهد بود.

استفاده از سوئیچ های هوشمند

بسیاری از مدل های سوئیچ مدرن دارای حفاظت داخلی در برابر جعل ARP هستند (با تجزیه و تحلیل ترافیک ARP روی سوئیچ و مسدود کردن درخواست های نادرست ARP انجام می شود).

استفاده از ماژول های فایروال ویژه برای شناسایی و مسدود کردن حملات

برخی از فایروال ها دارای یک ماژول ویژه هستند (به عنوان مثال، در Outpost به آن "Attack Detector" گفته می شود) که به شما امکان می دهد فعالیت های مشکوک شبکه را شناسایی کرده و آن را مسدود کنید و همچنین کاربر را در مورد آن مطلع کنید.

رمزگذاری ترافیک

این روش از رهگیری جلوگیری نمی کند، اما آن را بی فایده می کند. اگر کانال ارتباطی از نظر رمزنگاری ایمن باشد، به این معنی است که هکر پیام را رهگیری نمی کند، بلکه متن رمز شده (یعنی دنباله ای نامفهوم از بیت ها) را رهگیری می کند. با این حال، توجه داشته باشید که انجام تغییرات رمزنگاری بر روی مقادیر زیادی داده می تواند به طور قابل توجهی سرعت کامپیوتر شما را کاهش دهد.

راه دیگری برای گوش دادن به ترافیک در شبکه وجود دارد. همانطور که می دانید، سوئیچ برای عملکرد خود به صورت پویا یک جدول مکاتبات "مک آدرس - پورت" ایجاد می کند. اگر بسته ای از سوئیچ عبور کند که آدرس MAC آن در این جدول نیست، سوئیچ به طور خودکار یک ورودی جدید مطابق با آدرس MAC ناشناخته به آن اضافه می کند.

این حمله شامل ارسال تعداد زیادی بسته با آدرس های MAC نادرست مختلف از طریق سوئیچ است. در این حالت، جدول سوئیچ سرریز می شود و به حالت عملکرد "hub" تغییر می کند. بر این اساس، مهاجم به تمام ترافیک شبکه دسترسی خواهد داشت.

مشکل گوش دادن به شبکه‌های بی‌سیم اخیراً مهم شده است، زیرا یک شبکه بی‌سیم ذاتاً باز و در دسترس عموم است. برای جلوگیری از شنود غیرمجاز ترافیک بی سیم در شبکه های Wi-Fi، از پروتکل های رمزنگاری خاصی استفاده می شود (امروزه رایج ترین آنها WPA و WPA2 هستند).

اسکن کردن

اسکن شبکه با هدف شناسایی رایانه های متصل به شبکه و تعیین خدمات شبکه در حال اجرا بر روی آنها (درگاه های TCP یا UDP باز) انجام می شود. اولین کار با ارسال پیام های ICMP Echo با استفاده از برنامه پینگ و جستجوی متوالی در آدرس هاست ها در شبکه انجام می شود.

مدیر شبکه می‌تواند تلاش‌های اسکن را با تجزیه و تحلیل ترافیک شبکه و نظارت بر پیام‌های اکو که به صورت متوالی به تمام آدرس‌های شبکه در مدت زمان کوتاهی ارسال می‌شوند، شناسایی کند. برای حفظ محرمانه‌تر، مهاجم می‌تواند به طور قابل توجهی فرآیند را در طول زمان گسترش دهد ("اسکن آهسته") - همین امر در مورد اسکن پورت‌های TCP/UDP نیز صدق می‌کند.

برای تعیین اینکه کدام برنامه های UDP یا TCP (و همچنین سرویس های سیستم OS) در رایانه های شناسایی شده در حال اجرا هستند، برنامه های اسکنر. از آنجایی که شماره پورت تمام سرویس های اصلی اینترنت استاندارد شده است، اگر برای مثال تعیین کنید که پورت 25/TCP باز است، می توانید نتیجه بگیرید که این میزبان یک سرور ایمیل است. پورت 80/TCP – وب سرور و غیره. مهاجم می تواند از اطلاعات به دست آمده برای راه اندازی بیشتر حمله استفاده کند.

اسکن پورت های TCP میزبان به روش های مختلفی انجام می شود. ساده ترین راه این است ایجاد یک اتصال کامل TCP با پورت آزمایش شده. اگر اتصال برقرار شد به این معنی است که پورت باز است و یک برنامه سرور به آن متصل است. مزیت این روش امکان انجام اسکن بدون نرم افزار خاص است: برنامه استاندارد telnet به شما امکان می دهد یک شماره پورت دلخواه را برای ایجاد اتصال مشخص کنید. یک اشکال قابل توجه توانایی نظارت و ضبط چنین اسکنی است: هنگام تجزیه و تحلیل گزارش سیستم میزبان اسکن شده، تعداد زیادی اتصالات باز و بلافاصله قطع شده شناسایی می شود که در نتیجه می توان اقداماتی را برای بهبود سطح امنیت انجام داد. علاوه بر این، اگر از ابزار telnet استفاده می کنید، باید به صورت دستی تمام پورت های مورد علاقه مهاجم را جستجو کنید.

اسکن نیمه بازمعایب توصیف شده را ندارد. اکثر اسکنرهای مدرن به این روش کار می کنند. اسکنر یک بخش SYN را به پورت اسکن شده ارسال می کند و منتظر پاسخ می ماند. دریافت یک بخش پاسخ با بیت های SYN و ACK به این معنی است که پورت باز است. دریافت یک قطعه با بیت RST به معنای بسته شدن پورت است. پس از دریافت SYN+ACK، اسکنر بلافاصله قطعه ای را با بیت RST به پورت شناسایی شده ارسال می کند، بنابراین تلاش برای اتصال حذف می شود. از آنجایی که اتصال هرگز باز نشد (یک ACK از اسکنر دریافت نشد)، ثبت چنین اسکنی بسیار دشوارتر است.

راه سوم - اسکن با استفاده از بخش های FIN. در این حالت، یک قطعه با مجموعه بیت FIN به پورت اسکن شده ارسال می شود. اگر بخش FIN به یک پورت بسته خطاب شود، میزبان باید با یک قطعه RST پاسخ دهد. بخش های FIN که به یک پورت در حالت LISTEN هدایت می شوند توسط بسیاری از پیاده سازی های TCP/IP نادیده گرفته می شوند. بنابراین عدم پاسخگویی نشان دهنده باز بودن پورت است. انواع این روش اسکن، ارسال بخش‌هایی با پرچم‌های FIN، PSH، URG یا اصلاً بدون هیچ پرچمی ("اسکن تهی") است.

البته، اسکن با بخش‌های SYN نتایج مطمئن‌تری به دست می‌دهد، با این حال، خوشبختانه، بسیاری از فایروال‌ها ممکن است به بخش‌های SYN بدون پرچم ACK از اینترنت به شبکه داخلی اجازه ندهند (بنابراین، اتصال از میزبان اینترنت به میزبان‌های داخلی آغاز شده از اینترنت ممنوع می‌شود. ، اما اتصالات مجاز هستند از داخل شروع شوند). در این حالت، مهاجم چاره ای جز استفاده از اسکن بخش FIN ندارد.

برای تعیین پورت های UDP باز، مهاجم می تواند یک پیام UDP را به پورت آزمایش شده ارسال کند. دریافت پیام ICMP Port Unreachable در پاسخ نشان دهنده بسته بودن پورت است.

برنامه اسکنر همچنین می تواند سیستم عامل میزبان اسکن شده را با نحوه پاسخ میزبان به بسته های ویژه طراحی شده و غیر استاندارد تعیین کند: به عنوان مثال، بخش های TCP با ترکیب های بی معنی از پرچم ها یا انواع خاصی از پیام های ICMP، و ویژگی های دیگر.

برنامه های اسکنر مدرن به شما این امکان را می دهند که نه تنها پورت های برنامه باز را شناسایی کنید، بلکه لیستی از آسیب پذیری های موجود در این برنامه ها را نیز تعیین کنید و توصیه هایی برای از بین بردن آنها ارائه دهید. برای اینکه اسکنر بتواند آسیب‌پذیری‌ها را در نسخه‌های جدید برنامه‌ها پیدا کند، پایگاه داده اسکنر باید دائماً به روز شود (مشابه پایگاه داده یک برنامه آنتی ویروس).

بنابراین، برنامه اسکنر می تواند نه تنها توسط یک مهاجم، بلکه توسط خود مدیر نیز برای جستجوی آسیب پذیری ها و از بین بردن آنها استفاده شود. مدیر همچنین باید به طور مرتب لیست پورت های باز را بررسی کند: وجود یک پورت باز ناشناخته برای مدیر ممکن است نشان دهنده وجود یک برنامه تروجان در سیستم باشد.

گزارش اسکنر Xspider با لیستی از پورت های باز

گزارش اسکنر Xspider: آسیب پذیری یافت شده و توصیه هایی برای از بین بردن آن

همچنین می‌توانید پورت‌های باز دستگاه محلی و همچنین برنامه‌هایی را که از این پورت‌ها استفاده می‌کنند، با استفاده از ابزار خط فرمان netstat تعیین کنید.

تولید بسته

در اینترنت می توانید برنامه های آماده برای تولید بسته هایی با فرمت و محتوای خاص پیدا کنید. استفاده از چنین برنامه هایی اغلب مستلزم داشتن هیچ گونه مهارت برنامه نویسی یا درک اصول عملیات شبکه توسط مهاجم نیست، که باعث می شود بسیاری از حملات، به ویژه حملات انکار سرویس، به طور گسترده ای قابل اجرا باشند.

2.4. تروجان ها

طراحی شده برای سرقت اطلاعات یا کنترل یک کامپیوتر از راه دور.

برنامه های تروجان در اعمالی که روی کامپیوتر آلوده انجام می دهند با یکدیگر تفاوت دارند. در زیر طبقه بندی برنامه های تروجان بر اساس آزمایشگاه کسپرسکی آمده است.

تیم netstat، که در مجموعه ابزار استاندارد شبکه یونیکس گنجانده شده است، اطلاعات مختلف مرتبط با شبکه مانند اتصالات شبکه، آمار رابط، جداول مسیریابی، بالماسکه، چندپخشی و غیره را نمایش می دهد.

در این مقاله به ده مثال کاربردی از استفاده از دستور خواهیم پرداخت netstat در لینوکس.

1. لیست تمام پورت ها (چه گوش داده شده و چه نشده)

لیست تمام پورت ها: netstat -a

# netstat -a | بیشتر اتصالات اینترنتی فعال (سرورها و ایجاد شده) Proto Recv-Q Send-Q آدرس محلی آدرس خارجی دولت tcp 0 0 localhost:domain *:* LISTEN udp6 0 0 fe80::20c:29ff:fe68:ntp [::]:* سوکت های دامنه فعال یونیکس (سرورها و تاسیس شده) پرچم های Proto RefCnt نوع وضعیت I-Node Path unix 2 [ ACC ] STREAM LISTENING 20492 /var/run/mysqld/mysqld.sock unix 2 [ ACC ] STREAM LISTENING 23323/p/ -fpm.sock

لیست تمام پورت های TCP: netstat -at

# netstat -at اتصالات اینترنتی فعال (سرورها و ایجاد شده) Proto Recv-Q Send-Q آدرس محلی آدرس خارجی دولت tcp 0 0 localhost:domain *:* LISTEN tcp 0 0 *:ssh *:* LISTEN tcp 0 0 localhost:ipp *:* LISTEN tcp 0 0 *:http *:* LISTEN

لیست تمام پورت های UDP: netstat -au

# netstat -au اتصالات اینترنتی فعال (سرورها و ایجاد شده) Proto Recv-Q Send-Q آدرس محلی آدرس خارجی حالت udp 0 0 localhost:domain *:* udp 0 0 *:bootpc *:* udp6 0 0 fe80::20c: 29ff:fe68:ntp [::]:*

2. لیست سوکت ها در حالت LISTEN

لیست تمام پورت های گوش دادن: netstat -l

# netstat -l اتصالات اینترنتی فعال (فقط سرورها) Proto Recv-Q Send-Q آدرس محلی آدرس خارجی دولت tcp 0 0 localhost:domain *:* LISTEN tcp6 0 0 [::]:ssh [::]:* LISTEN udp 0 0 192.168.128.134:ntp *:*

لیست پورت های گوش دادن TCP: netstat -lt

# netstat -lt اتصالات اینترنتی فعال (فقط سرورها) Proto Recv-Q Send-Q آدرس محلی آدرس خارجی دولت tcp 0 0 localhost:domain *:* LISTEN tcp 0 0 localhost:ipp *:* LISTEN tcp6 0 0 [::] :ssh [::]:* گوش کن

لیست پورت های UDP گوش دادن: netstat -lu

# netstat -lu اتصالات اینترنتی فعال (فقط سرورها) Proto Recv-Q Send-Q آدرس محلی آدرس خارجی وضعیت udp 0 0 *:bootpc *:* udp6 0 0 [::]:ntp [::]:*

لیست سوکت های گوش دادن یونیکس: netstat -lx

# netstat -lx سوکت های دامنه فعال یونیکس (فقط سرورها) پرچم های Proto RefCnt نوع وضعیت I-Node Path unix 2 [ ACC ] STREAM LISTENING 3141 /var/run/fail2ban/fail2ban.sock unix 2 [ ACC ] STREAM LISTENING / run/mysqld/mysqld.sock unix 2 [ ACC ] STREAM LISTENING 23323 /var/run/php5-fpm.sock

3. مشاهده آمار برای هر پروتکل

نمایش آمار برای همه پورت ها: netstat -s

# netstat -s IP: 11150 کل بسته دریافتی 1 با آدرس های نامعتبر 0 ارسال شده 0 بسته های ورودی حذف شد 11149 بسته های ورودی تحویل داده شد 11635 درخواست ارسال شد Icmp: 13791 پیام ICMP دریافت شد 12 پیام ICMP ورودی ناموفق بود. Tcp: 15020 اتصال فعال، 97955 باز شدن اتصال غیرفعال، 135 تلاش برای اتصال ناموفق Udp: 2841 بسته، 180 بسته به درگاه ناشناخته دریافت کردند. .....

نمایش آمار فقط برای پورت های TCP: netstat -st

# netstat -st

نمایش آمار فقط برای پورت های UDP: netstat -su

# netstat -su

4. نمایش PID و نام فرآیند در خروجی netstat

گزینه netstat -p"PID/Program Name" را به خروجی netstat اضافه می کند و می تواند با هر مجموعه دیگری از گزینه ها ترکیب شود. این برای اشکال زدایی بسیار مفید است تا مشخص شود کدام برنامه در یک پورت خاص اجرا می شود.

# netstat -pt اتصالات اینترنتی فعال (بدون سرور) Proto Recv-Q Send-Q آدرس محلی آدرس خارجی وضعیت PID/نام برنامه tcp 0 org-ru-putty.vm.udf:www 52-106.plus.kerch :55723 ESTABLISHED 9486/nginx: worker tcp 0 0 org-ru-putty.vm.udf:www 52-106.plus.kerch:55757 ESTABLISHED 9486/nginx: کارگر

5. وضوح نام در خروجی netstat

هنگامی که نیازی به حل نام هاست، نام پورت، نام کاربری ندارید، از گزینه استفاده کنید netstat -nبرای نمایش مقادیر در قالب دیجیتال این دستور آدرس IP را به جای میزبان، شماره پورت را به جای نام پورت، UID را به جای نام کاربری نشان می دهد.

این همچنین سرعت خروجی را افزایش می دهد زیرا netstat جستجوهای غیر ضروری را انجام نمی دهد.

# netstat -an

برای نمایش مقادیر عددی فقط برخی از این موارد، از دستورات زیر استفاده کنید:

# netsat -a --numeric-ports # netsat -a --numeric-hosts # netsat -a --numeric-users

6. خروجی Netstat به طور مداوم

گزینه netstat -cاطلاعات را به طور مداوم و به سبک خروجی خواهد کرد بالا، هر چند ثانیه یک بار صفحه را تازه می کند.

# netstat -c اتصالات اینترنتی فعال (بدون سرور) Proto Recv-Q Send-Q آدرس محلی آدرس خارجی دولت tcp 0 0 org-ru-putty.vm.udf:www 182.131.74.202:59933 FIN_WAIT2 tcp 0 0 org- ru-putty.vm.udf:www 182.131.74.202:63761 FIN_WAIT2 tcp 0 0 org-ru-putty.vm.udf:www 92-181-66-102-irk.:4585 ESTABLISHED ^C

7. آدرس دادن به خانواده هایی که توسط سیستم پشتیبانی نمی شوند

گزینه netstat --verboseخروجی دقیق را نشان می دهد و در انتها آدرس خانواده های پشتیبانی نشده را نمایش می دهد.

Netstat: در این سیستم از «AF IPX» پشتیبانی نمی‌شود. netstat: در این سیستم از «AF AX25» پشتیبانی نمی‌شود. netstat: در این سیستم از «AF X25» پشتیبانی نمی‌شود. netstat: در این سیستم از «AF NETROM» پشتیبانی نمی‌شود.

8. مسیریابی هسته

نمایش جدول مسیریابی هسته: netstat -r

# netstat -r هسته IP جدول مسیریابی دروازه مقصد Genmask Flags MSS پنجره irtt Iface پیش‌فرض 192.168.128.2 0.0.0.0 UG 0 0 0 eth0 192.168.128.0 * 255.255.250.0 e 255.255.250.0 UG

توجه: استفاده کنید netstat -rnبرای مشاهده مسیر در قالب دیجیتال بدون حل نام میزبان.

9. مطابقت پورت ها و فرآیندها

ببینید کدام پورت توسط یک برنامه خاص اشغال شده است:

# netstat -ap | grep ssh (همه فرآیندها را نمی توان شناسایی کرد، اطلاعات فرآیند غیر متعلق به نمایش داده نمی شود، برای دیدن همه آن باید روت باشید.) tcp 0 0 *:ssh *:* LISTEN - tcp6 0 0 [::] :ssh [::]:* گوش کن -

دریابید که کدام فرآیند از یک پورت خاص استفاده می کند:

# netstat -an | grep ":80"

10. رابط های شبکه

نمایش لیست رابط های شبکه: netstat -i

# netstat -i جدول رابط کرنل Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg eth0 1500 0 1911037 0 0 0 1382056 1382056 1382056 B30 RU0 0 0 0 0 0 0 0 0 0 LRU

نمایش اطلاعات گسترده در مورد رابط ها (همانند ifconfig): netstat -یعنی

# netstat -ie جدول رابط کرنل eth0 پیوند encap:Ethernet HWaddr 00:0c:29:68:4c:a4 inet addr:192.168.128.134 Bcast:192.168.128.255 Mask:255.2508inffet:255.2508.25 افزودن:255.2508.25 fe68:4ca4/64 محدوده: پیوند UP BROADCAST RUNNING MULTICAST MTU:1500 متریک:1 بسته RX:24278 خطا: 0 افت: 0 بیش از حد: 0 فریم: 0 بسته TX: 11275 خطا: 0 افت: 0 بیش از حد خودرو:00 collisions:0 txqueuelen:1000 RX bytes:33203025 (33.2 MB) TX bytes:665822 (665.8 KB) وقفه: 19 آدرس پایه: 0x2000

11. netstat -lnptux

بیایید موارد فوق را خلاصه کنیم و کلیدها را در یک دستور مفید ترکیب کنیم که نشان می دهد:

• -l همه پورت های باز (LISTEN)
• -t روی پروتکل TCP
• -u روی پروتکل UDP
• -x از طریق پروتکل سوکت یونیکس
• -n بدون حل IP/name
• -p اما با نام فرآیند و PID

توجه: همه فرآیندها با آخرین کلید قابل شناسایی نیستند. برای دیدن همه چیز باید روت باشید.

# netstat -lnptux اتصالات اینترنتی فعال (فقط سرورها) Proto Recv-Q Send-Q آدرس محلی آدرس خارجی وضعیت PID/نام برنامه tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 9614/nginx tcp 0 0.0. :22 0.0.0.0:* LISTEN 601/sshd udp 0 0 8.8.4.4:123 0.0.0.0:* 574/ntpd udp 0 0 127.0.0.1:123 0.0.0.0 0.0.0.0: 0.0.0. 123 0.0.0.0:* 574/ntpd سوکت های دامنه فعال یونیکس (فقط سرورها) پرچم های Proto RefCnt نوع State I-Node PID/نام برنامه مسیر unix 2 [ ACC ] STREAM LISTENING 4233 826/python /var/runfail/ sock unix 2 [ ACC ] STREAM LISTENING 8122 2561/mysqld /var/run/mysqld/mysqld.sock unix 2 [ ACC ] STREAM LISTENING 160413 7301/php-fpm.conf /var/run/ph.

ژانویه 2013، وب سایت

لطفا جاوا اسکریپت را فعال کنید

© 2009–2019، سایت - هنگام استفاده از مطالب سایت، منبع را ذکر کنید.

یک پنجره خط فرمان (به عنوان مدیر) باز کنید. در کادر "Start\Search"، "cmd" را تایپ کنید، سپس روی "cmd.exe" راست کلیک کرده و "Run as administrator" را انتخاب کنید.

متن زیر را تایپ کرده و Enter را فشار دهید.

netstat -abno

-آتمام اتصالات و پورت های گوش دادن را نمایش می دهد.

-بفایل اجرایی مربوط به ایجاد هر اتصال یا پورت گوش دادن را نمایش می دهد. در برخی موارد، یک میزبان اجرایی شناخته شده دارای چندین مؤلفه مستقل است و در این موارد، دنباله ای از مؤلفه ها در ایجاد یک اتصال یا پورت گوش دادن نقش دارند. در این حالت، نام فایل اجرایی در پایین، در بالا کامپوننتی است که نام گذاری کرده است و غیره. تا زمانی که به TCP/IP برسد. لطفاً توجه داشته باشید که این گزینه ممکن است مدت زیادی طول بکشد و اگر مجوز کافی نداشته باشید با شکست مواجه خواهد شد.

-nآدرس ها و شماره پورت ها را به صورت عددی نمایش می دهد.

-oشناسه فرآیند مالکیت مرتبط با هر اتصال را نشان می دهد.

پورتی را که در حال گوش دادن به آن هستید در زیر «آدرس محلی» پیدا کنید

مستقیماً به نام فرآیند زیر این نگاه کنید.

توجه داشته باشید. برای پیدا کردن یک فرآیند در Task Manager

به شناسه فرآیند (شناسه فرآیند) در کنار پورت مورد نظر توجه کنید.

Windows Task Manager را باز کنید.

به تب Processes بروید.

به PID که هنگام انجام netstat در مرحله 1 اشاره کردید نگاه کنید.

• اگر ستون PID را نمی بینید، روی View/Select Columns کلیک کنید. PID را انتخاب کنید.

  مطمئن شوید که «نمایش فرآیندها از همه کاربران» انتخاب شده است.

 

شاید خواندن آن مفید باشد:

• استشمام شبکه TCP sniffing;
• تبدیل Word به PDF نحوه تبدیل اسناد به RTF;
• نحوه تبدیل فایل HTML به فایل PDF;
• پهنای باند چیست؟;
• نحوه غیرفعال کردن تاچ پد در لپ تاپ ایسوس، اچ پی یا سایر لپ تاپ های دارای ویندوز غیرفعال کردن ماوس در لپ تاپ;
• "Arctic Shamrock": گشت آنلاین به یک مرکز نظامی گشت مجازی در شمالگان شمالگان;
• بازیابی رمز عبور ICQ: اگر رمز عبور خود را فراموش کردید چه باید کرد؟;
• یک متخصص SMM به تنهایی چه کسی است؟;