Kaip sužinoti, kuris procesas klausosi „Windows“ prievado? Tinklo klausymas (uostymas) TCP klausymas.

Paskaitų kursas

disciplinoje „Informacinių procesų apsauga kompiuterinėse sistemose“

1 dalis

1. Puolėjo siekiami tikslai

2. Metodai ir priemonės

2.1. Klausymas tinkle

2.2. Nuskaitymas

2.3. Paketų generavimas

2.4. Trojos arklys

2.5. Išnaudojimai

2.6. Programos automatiniam slaptažodžių pasirinkimui

3. Tinklo atakų klasifikacija

3.1. Pagal OSI modelio lygį

3.2. Tipas

3.3. Pagal užpuoliko ir užpulto objekto vietą

4. Apgaulės išpuoliai

5. Atakos, kurios įgalina neleistiną duomenų mainus

5.1. Tuneliavimas

5.2. Mažų fragmentų ataka

6. Duomenų perėmimo atakos

6.1. Klaidingas ICMP peradresavimo pranešimas

6.2. Klaidingas DHCP pranešimas

6.3. Ataka prieš maršruto protokolus

7. Distributed Denial of Service (DDoS) atakos

7.1. Bendrieji DDoS atakų principai ir koncepcijos

7.2. DDoS atakos, pagrįstos TCP protokolu

7.3. DDoS atakos, pagrįstos UDP protokolu

7.4. DDoS atakos, pagrįstos ICMP protokolu

8. Programos lygio atakos

8.1. Slaptažodžio atakos

8.2. SQL įpurškimas

8.3. Kelių svetainių scenarijus (XSS)

9. Grėsmės ir atakos, būdingos 802.11 belaidžiams tinklams

Informacijos saugumo užtikrinimo problemos aktualumą ir svarbą lemia šie veiksniai:

· Sparti pasaulinio interneto plėtra

Tokia globalizacija leidžia užpuolikams iš beveik bet kurios pasaulio vietos, kur yra internetas, už tūkstančių kilometrų, įvykdyti ataką prieš įmonės tinklą.

· Lengvai naudojamų įsilaužimo programų platinimas

Dėl plačiai paplitusių lengvai naudojamų kenkėjiškų programų ir rekomendacijų dėl jų naudojimo smarkiai sumažėjo žinių ir įgūdžių, kurių užpuolikui reikia norint įvykdyti sėkmingą ataką, lygis.

· Beveik visų įmonių verslo procesų automatizavimas

Ženkliai išaugus kompiuteriais ir kitais automatizavimo įrankiais saugomos ir apdorojamos informacijos apimtys prisidėjo prie grėsmių, susijusių su duomenų praradimo, iškraipymo ir atskleidimo galimybe, atsiradimo. Ekspertų teigimu, šiuo metu apie 70-90% įmonės intelektinio kapitalo yra saugoma skaitmeniniu būdu.

· Daugybė programinės įrangos ir tinklo platformų pažeidžiamumų

Dėl konkurencijos šiuolaikiniai programinės įrangos produktai parduodami su klaidomis ir defektais. Šiose sistemose likusios klaidos ir trūkumai lemia atsitiktinius ir tyčinius informacijos saugumo pažeidimus.

· Informacijos saugumo klausimų nepaisymas įmonėje.

Informacinės pagalbos trūkumas darbuotojams informacijos saugumo ir komercinių paslapčių saugojimo srityje.

· Didėjantis belaidžio tinklo technologijų populiarumas verslo aplinkoje. Taip yra dėl diegimo paprastumo (nereikia tiesti kabelio), santykinio įrangos pigumo, žymiai mažesnės sąnaudos, jei reikia plėsti tinklą (lyginant su laidiniu analogu, užtenka uždengti reikiamą plotą su prieigos taškais), taip pat mobilumą vartotojams ir lankstumą plečiant.

Puolėjo siekiami tikslai

- informacijos vagystė(pavyzdys – prisijungimo vardo ir slaptažodžio vagystė; informacijos, kuri yra komercinė paslaptis, vagystė)

- informacijos keitimas(pavyzdys – informacijos apie sąskaitos būseną keitimas banko duomenų bazėje)

- informacijos šaltinio prieinamumo pažeidimas(šiuo atveju užpuolikas nesidomi informacija; jo tikslas yra apsunkinti arba padaryti nebeįmanomą serverio veikimą tiek, kad kiti vartotojai negalėtų naudotis jo paslaugomis).

Metodai ir priemonės

Tinklo klausymas (uostymas)

Srauto klausymasis vietiniuose tinkluose atliekamas naudojant specialias programas - sniffers. Ši programa sugauna paketus, kurie ateina į kompiuterio tinklo sąsają, ir leidžia juos analizuoti.

Kadangi kai kurios tinklo programos perduoda duomenis tekstiniu formatu (HTTP, FTP, SMTP, POP3 ir kt.), naudojant snifferį galima atskleisti naudingą ir kartais neskelbtiną informaciją (pvz., naudotojų vardus ir slaptažodžius). Vartotojų vardų ir slaptažodžių perėmimas kelia didelį pavojų, nes vartotojai dažnai naudoja tą patį prisijungimo vardą ir slaptažodį keliems ištekliams ir programoms.

Network Chemistry Packetyzer sniffer programos sąsaja

Srauto klausymosi vietiniame tinkle procesas priklauso nuo jo topologijos ir jame naudojamos įrangos.

Anksčiau vietiniai tinklai buvo neperjungti. Duomenų mainai tarp kompiuterių tinkle vyko tuo pačiu informacijos kanalu arba, grubiai tariant, tuo pačiu laidu, nepriklausomai nuo siuntėjo ir gavėjo. Tokie tinklai apima eterneto tinklus su "Common Bus" topologija (dabar pasenusi), Ethernet tinklus su "Star" topologija, pagrįstą šakotuvu arba šakotuvu (šiuo metu retai naudojamas), belaidžius tinklus pagal Wi-Fi standartą.

Ethernet su „Common Bus“ topologija

Ethernet su „Star“ topologija, pagrįsta šakotuvu (koncentratoriumi)

Belaidis Wi-Fi tinklas

Neperjungiamuose tinkluose kiekvienas kompiuteris gauna visus tinklu perduodamus paketus. Gavęs paketą, tinklo plokštės tvarkyklė analizuoja paketo antraštę, iš jos ištraukia gavėjo MAC adresą ir palygina jį su tinklo plokštės MAC adresu. Jei adresai sutampa, paketas perkeliamas į operacinę sistemą tolesniam apdorojimui. Jei adresai nesutampa, paketas atmetamas.

Akivaizdu, kad naudojant tokią schemą, užpuolikas gali lengvai klausytis viso tinklo srauto. Norėdami tai padaryti, tinklo plokštę turite įjungti į specialų režimą - vadinamąjį promiscuous ("nesuprantamą"). Tinklo plokštė „promiscuous“ režimu priima visus paketus, neatsižvelgiant į jų paskirties adresą, ir perduoda juos sniffer programai analizei. (Daugeliu atvejų, paleidus snifferį, paleidimo režimas įjungiamas automatiškai).

Tačiau šiais laikais dauguma Ethernet tinklų yra kuriami jungiklio pagrindu.

Ethernet su „Star“ topologija, pagrįsta jungikliu (jungikliu)

Komutatorius turi mazgų MAC adresų ir jo prievadų, prie kurių šie mazgai prijungti, atitikimo lentelę. Dabar paketai nukreipiami į konkretų prievadą, priskirtą paketo paskirties vietai. Atitinkamai, užpuolikas gali peržiūrėti tik jam adresuotus paketus arba transliuoti paketus.

Tačiau yra būdų, kurie leidžia užpuolikui apeiti šį apribojimą ir klausytis jam neskirto srauto. Vienas iš šių metodų yra ARP spoofing ataka (kitas atakos pavadinimas yra ARP apsinuodijimas, t. y. apsinuodijimas). ARP klaidinimo ataka yra rūšis žmogus viduryje(vyras viduryje).

Norint sugeneruoti paketą ir išsiųsti jį į tinklą, kompiuteris turi žinoti paketo gavėjo IP ir MAC adresus. IP adresas, kaip taisyklė, siuntėjui yra žinomas iš anksto (arba žinomas gavėjo domeno vardas, per kurį lengva gauti IP adresą naudojant DNS serverį). Norint rasti MAC adresą naudojant žinomą IP, naudojamas ARP (Address Resolution Protocol) protokolas. Tai veikia taip:

Kai kompiuteris turi nusiųsti paketą konkrečiu IP adresu, jis pirmiausia patikrina savo ARP talpyklą, kad pamatytų, ar yra ieškomas IP-MAC atvaizdas. (Galite peržiūrėti savo kompiuterio ARP talpyklos turinį komandų eilutėje paleisdami arp –a.) Jei toks yra, gautas MAC adresas įterpiamas į siunčiamo paketo antraštę, o paketas siunčiamas į tinklą.

Kitu atveju į tinklą siunčiama speciali transliacijos ARP užklausa ("Kas turi 192.168.0.1?"). Bet kuris kompiuteris, užklausoje atpažinęs savo IP adresą, turi atsakyti savo siuntėjui ir išsiųsti savo MAC adresą. Jis dedamas į užklausos teikėjo ARP talpyklą ir naudojamas tolesniam tinklo paketų siuntimui.

Užpuolikas gali naudoti ARP protokolą, kad perimtų srautą tarp dviejų tinklo kompiuterių.

ARP klaidinimo atakų schema

Tarkime, kad užpuolikas X turi peržiūrėti srautą iš A į B ir atgal. Norėdami tai padaryti, jis siunčia į kompiuterį A klaidingas ARP atsakymas, kuriame yra kompiuterio B IP adresas ir tariamai atitinkamas užpuoliko X MAC adresas. Panašus ARP atsakymas siunčiamas B: jame kompiuterio A IP adresas sutampa su užpuoliko X MAC adresu. ARP protokolas ne reikalauja autentifikavimo, todėl A ir B negali patikrinti gaunamų duomenų patikimumo ir nedelsdami įves juos į savo ARP talpyklą. Taip ir atsitinka ARP talpyklos apsinuodijimas mazgus A ir B, įvesdami į juos neteisingus, klaidingus duomenis. Tuo pačiu metu, vieną kartą išsiuntę klaidingą ARP paketą ir pakeitę kažkieno kito kompiuterio ARP talpyklą, turite periodiškai atlikti šią procedūrą vėl ir vėl, nes bet kuri operacinė sistema taip pat nuolat tam tikrais intervalais atnaujina savo ARP talpyklą. Pakanka tai padaryti kartą per 20–40 sekundžių.

Dabar kompiuteris A, ketinantis siųsti duomenis į B, išsiųs juos X (nes faktinis duomenų pateikimas jungikliu įvyksta gavėjo MAC adresu). Užpuolikas X gauna duomenis, peržiūri juos ir persiunčia teisėtam gavėjui B neaptiktas. Panaši situacija susiklosto ir priešinga kryptimi: eismą, perduodamą iš B į A, gali tirti ir užpuolikas. Ypatinga nauda užpuolikui (ir atitinkamai ypatingas pavojus) yra atvejis, kai vienas iš užpultų kompiuterių yra vartai, t.y. naudojamas vietiniam tinklui prijungti prie interneto. Tada užpuolikas gali turėti prieigą prie vartotojo vardų ir slaptažodžių, kad galėtų pasiekti interneto išteklius (svetaines, ICQ, el. paštą) ir kitą konfidencialią informaciją, perduodamą internetu.

Taigi perjungta infrastruktūra nepanaikina uostymo grėsmės. Tačiau tai pastebimai sumažina jo sunkumą.

Apsaugos nuo ARP klastojimo metodai

Statinių įrašų naudojimas ARP talpykloje. Norėdami tai padaryti, turite rankiniu būdu įvesti įrašus į kompiuterio ARP talpyklą apie IP ir atitinkamus MAC adresus. Tokiu atveju klaidingas užpuoliko ARP atsakymas nebus priimtas, o talpyklos apsinuodijimas neįvyks.

ARP talpyklos įrašai – statiniai ir dinaminiai

Tačiau šį metodą sunku naudoti dideliuose tinkluose dėl jo sudėtingumo. Taip pat nebus galima naudoti statinių įrašų, jei IP adresai paskirstomi automatiškai naudojant DHCP serverį.

Išmaniųjų jungiklių naudojimas.

Daugelyje šiuolaikinių jungiklių modelių yra įmontuota apsauga nuo ARP klaidinimo (atliekama analizuojant ARP srautą jungiklyje ir blokuojant klaidingas ARP užklausas).

Specialių ugniasienės modulių naudojimas atakoms aptikti ir blokuoti

Kai kuriose ugniasienėse yra specialus modulis (pavyzdžiui, „Outpost“ jis vadinamas „Attack Detector“), leidžiantis aptikti įtartiną tinklo veiklą ir ją užblokuoti, taip pat apie tai pranešti vartotojui.

Srauto šifravimas

Šis metodas neapsaugo perėmimo, bet daro jį nenaudingu. Jei ryšio kanalas yra kriptografiškai saugus, tai reiškia, kad įsilaužėlis perima ne pranešimą, o šifruotą tekstą (ty nesuprantamą bitų seką). Tačiau atminkite, kad atliekant kriptografines transformacijas dideliems duomenų kiekiams, jūsų kompiuteris gali gerokai sulėtinti.

Yra dar vienas būdas klausytis srauto tinkle. Kaip žinote, savo veikimui jungiklis dinamiškai sukuria „MAC adreso – prievado“ atitikmenų lentelę. Jei paketas praeina per jungiklį, kurio MAC adresas nėra šioje lentelėje, jungiklis automatiškai prideda prie jo naują įrašą, atitinkantį nežinomą MAC adresą.

Ataka apima daug paketų su skirtingais klaidingais MAC adresais siuntimą per jungiklį. Tokiu atveju perjungimo stalas persipildys ir persijungs į „stebulės“ darbo režimą. Atitinkamai, užpuolikas turės prieigą prie viso tinklo srauto.

Belaidžių tinklų klausymosi problema tapo ypač aktuali pastaruoju metu, nes belaidis tinklas iš esmės yra atviras ir viešai prieinamas. Siekiant išvengti neteisėto belaidžio srauto pasiklausymo Wi-Fi tinkluose, naudojami specialūs kriptografiniai protokolai (šiandien labiausiai paplitę yra WPA ir WPA2).

Nuskaitymas

Tinklo nuskaitymas skirtas identifikuoti prie tinklo prijungtus kompiuterius ir juose veikiančias tinklo paslaugas (atvirus TCP arba UDP prievadus). Pirmoji užduotis atliekama siunčiant ICMP Echo pranešimus naudojant ping programą ir nuosekliai ieškant tinklo kompiuterių adresų.

Tinklo administratorius gali aptikti nuskaitymo bandymus analizuodamas tinklo srautą ir stebėdamas „Echo“ pranešimus, siunčiamus nuosekliai visais tinklo adresais per trumpą laiką. Siekdamas didesnio slaptumo, užpuolikas gali žymiai pratęsti procesą laikui bėgant („lėtas nuskaitymas“) – tas pats pasakytina ir apie TCP/UDP prievadų nuskaitymą.

Norėdami nustatyti, kurios UDP arba TCP programos (taip pat OS sistemos paslaugos) veikia aptiktuose kompiuteriuose, skaitytuvo programos. Kadangi visų pagrindinių interneto paslaugų prievadų numeriai yra standartizuoti, jei nustatote, pavyzdžiui, kad 25/TCP prievadas yra atidarytas, galite daryti išvadą, kad šis kompiuteris yra el. pašto serveris; 80 prievadas/TCP – žiniatinklio serveris ir tt Užpuolikas gali panaudoti gautą informaciją toliau atakai pradėti.

Pagrindinio kompiuterio TCP prievadų nuskaitymas atliekamas keliais būdais. Paprasčiausias būdas yra užmegzti pilną TCP ryšį su išbandytu prievadu. Jei ryšys buvo užmegztas, tai reiškia, kad prievadas atidarytas ir prie jo prijungta serverio programa. Šio metodo pranašumas yra galimybė atlikti nuskaitymą be specialios programinės įrangos: standartinė telnet programa leidžia nurodyti savavališką prievado numerį ryšiui užmegzti. Reikšmingas trūkumas yra galimybė stebėti ir įrašyti tokį nuskaitymą: analizuojant nuskaityto pagrindinio kompiuterio sistemos žurnalą, bus aptikta daugybė atvirų ir iš karto nutrūkusių jungčių, dėl kurių bus galima imtis priemonių saugumo lygiui pagerinti. Be to, jei naudojate telnet įrankį, turėsite rankiniu būdu ieškoti visų užpuoliką dominančių prievadų.

Pusiau atviras nuskaitymas neturi aprašytų trūkumų. Dauguma šiuolaikinių skaitytuvų veikia taip. Skaitytuvas siunčia SYN segmentą į nuskaitytą prievadą ir laukia atsakymo. Atsakymo segmento gavimas su SYN ir ACK bitais reiškia, kad prievadas yra atidarytas; Segmento su RST bitu gavimas reiškia, kad prievadas uždarytas. Gavęs SYN+ACK, skaitytuvas iš karto siunčia segmentą su RST bitu į aptiktą prievadą, taip pašalindamas bandymą prisijungti. Kadangi ryšys nebuvo atidarytas (iš skaitytuvo nebuvo gautas ACK), užregistruoti tokį nuskaitymą yra daug sunkiau.

Trečias būdas - nuskaitymas naudojant FIN segmentus. Tokiu atveju segmentas su FIN bitų rinkiniu siunčiamas į nuskaitytą prievadą. Pagrindinis kompiuteris PRIVALO atsakyti RST segmentu, jei FIN segmentas skirtas uždaram prievadui. FIN segmentai, nukreipti į prievadą, esantį LISTEN būsenoje, yra ignoruojami daugelio TCP/IP diegimų. Taigi atsakymo nebuvimas rodo, kad prievadas atidarytas. Šio nuskaitymo metodo variantai yra siunčiami segmentai su FIN, PSH, URG vėliavėlėmis arba visai be vėliavėlių („Null scan“).

Žinoma, nuskaitymas naudojant SYN segmentus duoda patikimesnius rezultatus, tačiau, laimei, daugelis užkardų gali neleisti SYN segmentų be ACK vėliavėlės iš interneto į vidinį tinklą (todėl ryšiai iš interneto prieglobos prie vidinių prieglobų yra uždrausti iš interneto , bet ryšiai leidžiami pradėti iš vidaus). Tokiu atveju užpuolikas neturi kito pasirinkimo, kaip naudoti FIN segmentų nuskaitymą.

Norėdami nustatyti atvirus UDP prievadus, užpuolikas gali išsiųsti UDP pranešimą į išbandytą prievadą. Atsakant į ICMP prievadą nepasiekiamas pranešimas reiškia, kad prievadas uždarytas.

Skenerio programa taip pat gali nustatyti nuskaityto pagrindinio kompiuterio operacinę sistemą pagal tai, kaip kompiuteris reaguoja į specialiai sukurtus, nestandartinius paketus: pavyzdžiui, TCP segmentus su beprasmėmis vėliavėlių kombinacijomis ar tam tikro tipo ICMP žinutėmis ir kitas charakteristikas.

Šiuolaikinės skaitytuvo programos leidžia ne tik aptikti atvirus programų prievadus, bet ir nustatyti šiose programose esančių pažeidžiamumų sąrašą bei pateikti rekomendacijas, kaip jas pašalinti. Kad skaitytuvas galėtų rasti pažeidžiamumą naujose programų versijose, skaitytuvo duomenų bazė turi būti nuolat atnaujinama (panašiai kaip antivirusinės programos duomenų bazė).

Taigi skaitytuvo programa gali naudotis ne tik užpuolikas, bet ir pats administratorius, siekdamas ieškoti pažeidžiamumų ir jas pašalinti. Administratorius taip pat turėtų reguliariai peržiūrėti atvirų prievadų sąrašą: administratoriui nežinomo atviro prievado buvimas gali reikšti, kad sistemoje yra Trojos programa.

Xspider skaitytuvo ataskaita su atvirų prievadų sąrašu

Xspider skaitytuvo ataskaita: rastas pažeidžiamumas ir rekomendacijos, kaip jį pašalinti

Taip pat galite nustatyti atvirus vietinio kompiuterio prievadus, taip pat programas, kurios naudoja šiuos prievadus, naudodami komandų eilutės priemonę „netstat“.

Paketų generavimas

Internete galite rasti paruoštų programų tam tikro formato ir turinio paketams generuoti. Norint naudoti tokias programas, užpuolikas dažnai nereikalauja jokių programavimo įgūdžių ar tinklo veikimo principų supratimo, todėl daugelis atakų, ypač atsisakymo teikti paslaugas, yra plačiai vykdomos.

2.4. Trojos arklys

Sukurta pavogti informaciją arba valdyti nuotolinį kompiuterį.

Trojos arklys skiriasi viena nuo kitos veiksmais, kuriuos atlieka užkrėstame kompiuteryje. Toliau pateikiama Trojos arklių programų klasifikacija pagal „Kaspersky Lab“.

Komanda netstat, įtrauktas į standartinį UNIX tinklo įrankių rinkinį, rodo įvairią su tinklu susijusią informaciją, pvz., tinklo ryšius, sąsajos statistiką, maršruto parinkimo lenteles, maskaradą, daugialypę transliaciją ir kt.

Šiame straipsnyje apžvelgsime dešimt praktinių komandos naudojimo pavyzdžių „netstat“ sistemoje „Linux“..

1. Visų prievadų sąrašas (ir klausomų, ir ne)

Išvardykite visus prievadus: netstat -a

# netstat -a | daugiau Aktyvūs interneto ryšiai (serveriai ir sukurti) Proto Recv-Q Send-Q Vietinis adresas Užsienio adreso būsena tcp 0 0 localhost:domain *:* KLAUSYTI udp6 0 0 fe80::20c:29ff:fe68:ntp [::]:* Aktyvūs UNIX domeno lizdai (serveriai ir nustatyti) Proto RefCnt Žymės Tipas Būsena I-Node Path unix 2 [ ACC ] STREAM LISTENING 20492 /var/run/mysqld/mysqld.sock unix 2 [ ACC ] STREAM LISTENING 23323 /run/php5var -fpm.sock

Išvardykite visus TCP prievadus: netstat -at

# netstat -at Aktyvūs interneto ryšiai (serveriai ir nustatyti) Proto Recv-Q Send-Q Vietinis adresas Užsienio adreso būsena tcp 0 0 localhost:domain *:* LISTEN tcp 0 0 *:ssh *:* LISTEN tcp 0 0 localhost:ipp *:* KLAUSYTI tcp 0 0 *:http *:* KLAUSYTI

Išvardykite visus UDP prievadus: netstat -au

# netstat -au Aktyvūs interneto ryšiai (serveriai ir sukurti) Proto Recv-Q Send-Q Vietinis adresas Užsienio adresas Būsena udp 0 0 localhost:domain *:* udp 0 0 *:bootpc *:* udp6 0 0 fe80::20c: 29ff:fe68:ntp [::]:*

2. LISTEN būsenos lizdų sąrašas

Išvardykite visus klausymosi prievadus: netstat -l

# netstat -l Aktyvūs interneto ryšiai (tik serveriai) Proto Recv-Q Send-Q Vietinis adresas Užsienio adreso būsena tcp 0 0 localhost:domain *:* KLAUSYTI tcp6 0 0 [::]:ssh [::]:* KLAUSYTI udp 0 0 192.168.128.134:ntp *:*

Išvardykite TCP klausymosi prievadus: netstat -lt

# netstat -lt Aktyvūs interneto ryšiai (tik serveriai) Proto Recv-Q Send-Q Vietinis adresas Užsienio adreso būsena tcp 0 0 localhost:domain *:* LISTEN tcp 0 0 localhost:ipp *:* LISTEN tcp6 0 0 [::] :ssh [::]:* KLAUSYKITE

Klausymo UDP prievadų sąrašas: netstat -lu

# netstat -lu Aktyvūs interneto ryšiai (tik serveriai) Proto Recv-Q Send-Q Vietinis adresas Užsienio adresas Būsena udp 0 0 *:bootpc *:* udp6 0 0 [::]:ntp [::]:*

Išvardykite UNIX klausymosi lizdus: netstat -lx

# netstat -lx Aktyvūs UNIX domeno lizdai (tik serveriai) Proto RefCnt Žymės Tipas Būsena I mazgas Kelias unix 2 [ ACC ] STREAM LISTENING 3141 /var/run/fail2ban/fail2ban.sock unix 2 [ ACC ] STREAM LISTENING /var/var 20492 run/mysqld/mysqld.sock unix 2 [ ACC ] STRUTO KLAUSIMAS 23323 /var/run/php5-fpm.sock

3. Peržiūrėkite kiekvieno protokolo statistiką

Rodyti visų prievadų statistiką: netstat -s

# netstat -s Ip: iš viso gauta 11150 paketų 1 su netinkamais adresais 0 persiųsta 0 įeinančių paketų atmesta 11149 gaunamų paketų pristatyta 11635 išsiųstų užklausų Icmp: 13791 ICMP pranešimų gauta 12 įvesties ICMP žinutės nepavyko. Tcp: 15020 aktyvių jungčių angos 97955 pasyvaus ryšio angos 135 nesėkmingi prisijungimo bandymai Udp: gautas 2841 paketas, gautas 180 paketų į nežinomą prievadą. .....

Rodyti tik TCP prievadų statistiką: netstat -st

# netstat -st

Rodyti tik UDP prievadų statistiką: netstat -su

# netstat -su

4. Netstat išvestyje parodykite PID ir proceso pavadinimą

Variantas netstat -p„Netstat“ išvestyje pridės „PID / programos pavadinimą“ ir gali būti derinamas su bet kuriuo kitu parinkčių rinkiniu. Tai labai naudinga derinant, norint nustatyti, kuri programa veikia konkrečiame prievade.

# netstat -pt Aktyvūs interneto ryšiai (be serverių) Proto Recv-Q Send-Q Vietinis adresas Užsienio adresas Būsena PID/programos pavadinimas tcp 0 0 org-ru-putty.vm.udf:www 52-106.plus.kerch :55723 NUSTATYTA 9486/nginx: darbuotojas tcp 0 0 org-ru-putty.vm.udf:www 52-106.plus.kerch:55757 NUSTATYTA 9486/nginx: darbuotojas

5. Vardo skyra netstat išvestyje

Kai jums nereikia nustatyti pagrindinio kompiuterio pavadinimo, prievado pavadinimo, vartotojo vardo, naudokite parinktį netstat -n rodyti vertes skaitmeniniu formatu. Komanda parodys IP adresą vietoj pagrindinio kompiuterio, prievado numerį vietoj prievado pavadinimo, UID vietoj vartotojo vardo.

Tai taip pat pagreitins išvestį, nes netstat neatliks nereikalingų paieškų.

# netstat -an

Norėdami rodyti tik kai kurių iš šių elementų skaitines reikšmes, naudokite šias komandas:

# netsat -a --skaitmeniniai prievadai # netsat -a --skaitiniai-hosts # netsat -a --skaitiniai vartotojai

6. Netstat išvestis nuolat

Variantas netstat -c informaciją išves nuolat, stilingai viršuje, kas kelias sekundes atnaujinamas ekranas.

# netstat -c Aktyvūs interneto ryšiai (be serverių) Proto Recv-Q Send-Q Vietinis adresas Užsienio adreso būsena tcp 0 0 org-ru-putty.vm.udf:www 182.131.74.202:59933 FIN_WAIT2 tcp 0 0 org- ru-putty.vm.udf:www 182.131.74.202:63761 FIN_WAIT2 tcp 0 0 org-ru-putty.vm.udf:www 92-181-66-102-irk.:4585 NUSTATYTA ^C

7. Kreipkitės į šeimas, kurių sistema nepalaiko

Variantas netstat – žodinis parodys išsamią išvestį, o pačioje pabaigoje parodys nepalaikomas adresų šeimas.

Netstat: nepalaikomas „AF IPX“ šioje sistemoje. netstat: nepalaikomas „AF AX25“ šioje sistemoje. netstat: nepalaikomas „AF X25" šioje sistemoje. netstat: nepalaikomas „AF NETROM" šioje sistemoje.

8. Branduolio maršruto parinkimas

Rodyti branduolio maršruto lentelę: netstat -r

# netstat -r Branduolio IP maršruto parinkimo lentelė Paskirties šliuzas Genmask Flags MSS langas irtt Iface numatytasis 192.168.128.2 0.0.0.0 UG 0 0 0 eth0 192.168.128.0 * 255.255.200 eth.

Pastaba: naudokite netstat -rn norėdami peržiūrėti maršrutą skaitmeniniu formatu, neatskleisdami pagrindinio kompiuterio pavadinimų.

9. Uostų ir procesų atitiktis

Sužinokite, kurį prievadą užima tam tikra programa:

# netstat -ap | grep ssh (Ne visi procesai gali būti identifikuoti, informacija apie nepriklausantį procesą nebus rodoma, jūs turite būti root, kad pamatytumėte viską.) tcp 0 0 *:ssh *:* KLAUSYTI - tcp6 0 0 [::] :ssh [::]:* KLAUSI -

Sužinokite, kuris procesas naudoja konkretų prievadą:

# netstat -an | grep ":80"

10. Tinklo sąsajos

Rodyti tinklo sąsajų sąrašą: netstat -i

# netstat -i branduolio sąsajos lentelė Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg eth0 1500 0 1911037 0 0 0 1382056 0 0 1 0 1382056 0 0 1 0 B4382056 0 0 0 0 0 0 0 0 LRU

Rodyti išplėstinę informaciją apie sąsajas (taip pat kaip ifconfig): netstat -ty

# netstat -ie Branduolio sąsajos lentelė eth0 Link encap:Ethernet HWaddr 00:0c:29:68:4c:a4 inet addr:192.168.128.134 Bcast:192.168.128.255 Mask:255.255.25:25:0c inet25:25:0c fe68:4ca4/64 Apimtis: Nuoroda UP TRANSLIAVIMAS VEIKIANTIS MULTICAST MTU:1500 Metrika:1 RX paketai:24278 klaidos:0 nukrito:0 viršijimas:0 kadras:0 TX paketai:11275 klaidos:0 nukrito:0 viršijimas:0 nešiklis:0 susidūrimai: 0 tx eilės: 1000 RX baitų: 33203025 (33,2 MB) TX baitų: 665822 (665,8 KB) Pertraukimas: 19 Bazinis adresas: 0x2000

11. netstat -lnptux

Apibendrinkime tai, kas išdėstyta aukščiau, ir sujunkite klavišus į vieną naudingą komandą, kuri parodys:

-I visi atviri prievadai (KLAUSYTI)
-t per TCP protokolą
-u per UDP protokolą
-x per UNIX Socket protokolą
-n neišsprendus IP/pavadinimų
-p, bet su procesų pavadinimais ir PID

Pastaba: ne visi procesai gali būti identifikuojami pagal paskutinį klavišą, kiti procesai nebus rodomi. Turite būti root, kad viską matytumėte.

# netstat -lnptux Aktyvūs interneto ryšiai (tik serveriai) Proto Recv-Q Send-Q Vietinis adresas Užsienio adresas Būsena PID/Programos pavadinimas tcp 0 0 0.0.0.0:80 0.0.0.0:* KLAUSYTI 9614/nginx tcp 0 0 0.0.0.0. :22 0.0.0.0:* KLAUSYTI 601/sshd udp 0 0 8.8.4.4:123 0.0.0.0:* 574/ntpd udp 0 0 127.0.0.1:123 0.0.0.0:pd0.0p 123 0.0.0.0:* 574/ntpd Aktyvūs UNIX domeno lizdai (tik serveriams) Proto RefCnt Žymės Tipas Būsena I mazgas PID/Programos pavadinimas Kelias unix 2 [ ACC ] STRUTO KLAUSIMAS 4233 826/python /var/run/fail2ban/ sock unix 2 [ ACC ] STREAM LISTENING 8122 2561/mysqld /var/run/mysqld/mysqld.sock unix 2 [ ACC ] STREAM LISTENING 160413 7301/php-fpm.conf /var/fpm.phs

2013 m. sausio mėn., svetainė

Įgalinkite JavaScript

Atidarykite komandų eilutės langą (kaip administratorius). Lauke "Start\Search" įveskite "cmd", tada dešiniuoju pelės mygtuku spustelėkite "cmd.exe" ir pasirinkite "Vykdyti kaip administratorių".

Įveskite šį tekstą ir paspauskite Enter.

netstat -abno

-a Rodo visas jungtis ir klausymosi prievadus.

-b Rodo vykdomąjį failą, susijusį su kiekvieno ryšio arba klausymosi prievado kūrimu. Kai kuriais atvejais žinomas vykdomasis kompiuteris turi kelis nepriklausomus komponentus, o tokiais atvejais kuriant ryšį arba klausymosi prievadą yra įtraukta komponentų seka. Šiuo atveju vykdomojo failo pavadinimas yra apačioje, viršuje yra komponentas, kurį jis pavadino, ir tt. kol bus pasiektas TCP/IP. Atminkite, kad ši parinktis gali užtrukti ilgai ir nepavyks, jei neturėsite pakankamai leidimo.

-n Rodo adresus ir prievadų numerius skaitine forma.

-o Rodo nuosavybės proceso ID, susietą su kiekvienu ryšiu.

Skiltyje „Vietinis adresas“ suraskite prievadą, kurio klausotės

Pažiūrėkite į proceso pavadinimą tiesiai po juo.

PASTABA. Norėdami rasti procesą užduočių tvarkyklėje

Atkreipkite dėmesį į proceso ID (proceso ID) šalia prievado, kurio ieškote.

Atidarykite „Windows“ užduočių tvarkyklę.

Eikite į skirtuką Procesai.

Pažiūrėkite į PID, kurį pažymėjote atlikdami „netstat“ atlikdami 1 veiksmą.

Jei nematote stulpelio PID, spustelėkite Peržiūrėti / pasirinkti stulpelius. Pasirinkite PID.

Įsitikinkite, kad pasirinkta „Rodyti visų vartotojų procesus“.

Gali būti naudinga perskaityti: