و دستورات آنNetstatآشنایی با

در این مقاله میخواهم راجع به برنامه Netstat و دستورات آن کمی توضیح بدم تا شما یک آشنایی با این برنامه داشته باشین ، خب بچه ها هر وقت صحبت از Netstat میشه همه به یاد فرمان Netstat n می افتن غافل از اینکه Netstat دستورات زیادی داره که بعضی از آنها به یک هکر کمکهای زیادی میکنه که من تمام دستورها را براتون توضیح میدم ولی قبلش باید بفهمیم که اصلاً Netstat چیه و چکار میکنه ؟
Netstat هم مثل Netbios یک برنامه خدماتی هست که در خود سیستم عاملها گذاشته شده ، مثلاً در ویندوز ۹x و Me در پوشه Windows با اسم Netstat.exe قرار گرفته و در ویندوزهای بر پایه NT مثل ۲۰۰۰ نیز در پوشه D:WinNTSystem۳۲ قرار گرفته و کلاً برای نمایش تمام ارتباطات ما در شبکه و فهمیدن پورتها و آیپی های سیستمها و ماشین هایی که ما با آنها در ارتباط هستیم بکار میره ، برای استفاده از Netstat احتیاج به هیچ برنامه کمکی و اضافی ندارین فقط کافیه به MS DOS Prompt برین و دستوراتی که در ادامه این مقاله میگم را تایپ کنید ، ولی خب برنامه های زیادی برای استفاده آسان تر از Netstat آمده که احتیاجی به رفتن در Ms Dos نداره و کار کاربران اینترنت و شبکه را راحت تر کرده که یکی از بهترین برنامه ها برای اینکار X Netstat هست که اطلاعات زیادی از ارتباطهای شما وقتی که به شبکه وصل هستین میده ، درست مثل برنامه Netstat.exe ولی به صورت گرافیکی و تحت ویندوز .
این برنامه همچنین سیستمهایی که از خارج سعی میکنن به سیستم شما وصل بشن را هم نشان میده و آیپی آنها را مشخص میکنه ، درست مثل یک فایروال و همچنین پورتهای Local و Remote و پروتکل هایی که شما با آنها ارتباط دارین را مشخص میکنه .
X Netstat بر_c۷ی کاربران معمولی نسخه Standard را عرضه کرده که جدیدترین نسخه X Netstat Standard ورژین ۵/۰ Beta هست و برای کاربران حرفه ای مثل شما نیز X Netstat Professional را ارائه داده که جدیدترین نسخه آن ۴/۰ هست که برای مدیران شرکتها نیز مفیده http://www.freshsw.com/files/xnsp۴۰۰.exe
خب این یکی از برنامه های مفیدی هست که مربوط به Netstat بود ولی حالا توضیح درباره دستورات خود Netstat :
▪ دستور Netstat : دستور Netstat فرمان اصلی این برنامه هست که با تایپ این دستور شما متوجه آیپی سیستمها و پورتهایی که با آنها در ارتباط هستین بدست میارین و همچنین مشاهده میکنین که پورتهایی Listening و یا Established هستن و چه چیزی روی پورتهای مختلف در حال شنیده شدن هست که خب این باعث میشه اگر پورتی مخصوص یک تروجن مثل ۲۷۳۷۴ که پورت اصلی Sub۷ هست در سیستم شما باز بود شما متوجه این پورت باز بروی سیستمتان بشین.
اگر در قسمتForeign Address هم یک آیپی بوسیله آن پورت به سیستم شما وصل بود شما میفهمین که یک نفر با آن آیپی در سیستم شماست ، پس این یک راهی هست که متوجه بشین سیستمتان آسیب پذیر هست یا نه ، برای مثال من با تایپ دستور Netstat در Ms Dos این نتایج را گرفتم :

C:WINDOWS>netstat
Active Connections
Proto Local Address Foreign Address State
TCP behrooz:۱۴۵۴ cs۳۳.msg.sc۵.yahoo.com:۵۰۵۰ ESTABLISHED
TCP behrooz:۱۴۸۸ ۶۳.۱۲۳.۴۴.۲۲۲:۸۰ ESTABLISHED
TCP behrooz:۱۴۹۱ opi۱.vip.sc۵.yahoo.com:۸۰ TIME_WAIT
TCP behrooz:۱۴۹۷ ۶۴.۱۸۷.۵۴.۲۳:۸۰ ESTABLISHED
TCP behrooz:۱۴۹۸ ۶۴.۱۸۷.۵۴.۲۳:۸۰ ESTABLISHED
 

همانطور که ملاحظه میکنید این دستور گاهی اوقات اسم صاحب سیستم کلاینتی که شما با آن در ارتباط هستین را نیز میده و چون اینجا من با کسی در PM نبودم اسم کسی را نمیبینید ولی اگر کسی با من چت کنه و دستور Netstat را بزنه اسم بهروز را میبینه و متوجه میشه که این صاحب آن سیستم کلاینتی هست که داره با آن چت میکنه و همچنین مشخصه که من با پورت ۵۰۵۰ با یاهو مسنجر ارتباط برقرار کردم و همچنین نتایجی که در زیر Local Address مشخص اطلاعاتی درباره خود من هست :

IP/Hostnameport open ===> behrooz:۱۴۸۸
 

و نتایجی که در Foreign Address بدست میاد مشخص میکنه که ما با چه سرور یا کلاینتی در ارتباطیم که در سطر دوم مثال بالا یعنی ۶۳/۱۲۳/۴۴/۲۲۲:۸۰ که آیپی سایت یاهو هست من در سایت یاهو بودم و به وسیله پورت ۸۰ که پورت Http هست من با این وب سرور ارتباط برقرار کردم و در قسمت Status هم مشخص میشه که شما با چه پورتهایی Established هستین.
یعنی ارتباط برقرار کردین و وصل هستین و چه پورتهایی Listening یا منتظر Request و در حال شنیدن هستن ، بنابراین میشه با دستور Netstat یک عمل مانیتورینگ از تمام آیپی ها پورتها و ماشینهایی که شما با آنها در ارتباطین گرفت .

▪ دستور Netstat n :
 

همانطور که در بالا توضیح دادم میشه با استفاده از Netstat آیپی و پورت سیستمی که شما با آن در ارتباطین را بدست آورد حتا میشه آیپی کسی داره با شما از طریقه PM در مسنجر چت میکنه را هم بدست آورد چون وقتی شما مسنجرها را باز میکنید با یک پورت خاصی شما با مسنجر ارتباط برقرار میکنین که مثلاً شما با پورت ۵۰۵۰ با یاهو مسنجر ارتباط برقرار میکنین .
شما با استفاده از دستور Netstat n که در MS DOS تایپ میکنین میتونین آیپی طرف را بدست بیارین اگرچه من چند وقت پیش برنامه ProPort را معرفی کردم که اینکار را با قابلیتهای بیشتری انجام میده ولی با این دستور هم میشه اینکار را کرد .
اگر شما بعد از تایپ این دستور و در نتیجه بدست آمده در قسمت Foreign Address با آیپی سیستمی بوسیله پورت ۵۱۰۱ ارتباط برقرار کرده بودین مطمئن باشین آن آیپی برای کسی هست که داره با شما چت میکنه مثلاً من با تایپ دستور Netstat n این نتایج را گرفتم :

Active Connections
Proto Local Address Foreign Address State
TCP ۲۰۷.۱۱۷.۹۳.۴۳:۱۴۲۵ ۲۱۶.۱۳۶.۱۷۵.۲۲۶:۵۰۵۰ TIME_WAIT
TCP ۲۰۷.۱۱۷.۹۳.۴۳:۱۴۳۱ ۶۴.۲۴۲.۲۴۸.۱۵:۸۰ ESTABLISHED
TCP ۲۰۷.۱۱۷.۹۳.۴۳:۱۴۳۷ ۲۱۳.۱۰۲.۲۹.۱۳۷:۵۱۰۱ ESTABLISHED
 

همانطور که ملاحظه میکنید من در این لحظه با آیپی ۲۱۳/۱۰۲/۲۹/۱۳۷ در حال چت کردن بودم که اشتراکش هم از البرز بوده و آیپی خود من هم در قسمت Local Address مشخص میشه ، در قسمت Proto نیز پروتکلی که ما بوسیله آن با یک سیستم ارتباط برقرار کردیم مشخص میشه که اینجا از طریقه پروتکل TCP هستش .

▪ دستور Netstat/? :
 

شاید بهتر بود من این دستور را قبل از ۲ دستور Netstat و Netstat n معرفی میکردم چون این دستور راهنما یا Help برنامه Netstat هست که با تایپ کردن آن شما یک صفحه کامل راجب فرمان Netstat میبینین و توضیح مختصری هم در جلوی هر دستور مشاهده میکنید ، شما با تایپ این دستور به این نتایج میرسین :

C:WINDOWS>netstat /?
Displays protocol statistics and current TCP information once.
 

البته ابن تمام دستورات Netstat نیست و کلاً Help کاملی نیست ولی برای کسانی که میخواهن دانش سطحی از Netstat بدست بیارن مفید و میتونن از این دستور و help آن کمک بگیرن ولی من توضیح بیشتری راجب هر دستور میدم .

▪ دستور Netstat na :
 

با تایپ کردن این دستور در MS DOS Prompt تمام پورتهایی که داده ها و بسته ها را میفرستن مشخص میشه ، نشان ” na ” در تمام دستورات به معنی نمایش همه پورتها و لیست کردن آدرسهای شبکه و شماره فرمها در یک قالب عددی هستش ، برای مثال من با تایپ این فرمان در MS DOS این نتایج را گرفتم :

C:WINDOWS>netstat na
Active Connections
Proto Local Address Foreign Address State
TCP ۰.۰.۰.۰:۱۹۵۴ ۰.۰.۰.۰:۰ LISTENING
TCP ۰.۰.۰.۰:۱۹۷۱ ۰.۰.۰.۰:۰ LISTENING
TCP ۰.۰.۰.۰:۵۱۰۱ ۰.۰.۰.۰:۰ LISTENING
TCP ۶۴.۱۱۰.۱۴۸.۵۹: ۱۹۵۴ ۲۰۷/۴۶/۱۰۶/۲۱ :۱۸۶۳ ESTABLISHED
TCP ۶۴.۱۱۰.۱۴۸.۵۹ :۱۹۷۱ ۲۱۶/۱۳۶/۲۲۵/۳۶ :۵۰۵۰ ESTABLISHED
TCP ۶۴.۱۱۰.۱۴۸.۵۹ :۲۰۳۱ ۶۳/۱۲۱/۱۰۶/۷۴ :۸۰ TIME_WAIT
TCP ۱۲۷.۰.۰.۱ :۱۰۲۵ ۰/۰/۰/۰:۰ LISTENING
UDP ۰.۰.۰.۰:۱۹۵۸ *:*
UDP ۶۴.۱۱۰.۱۴۸.۵۹:۹ *:*
UDP ۶۴.۱۱۰.۱۴۸.۵۹:۱۳۷ *:*
UDP ۶۴.۱۱۰.۱۴۸.۵۹:۱۳۸ *:*
UDP ۱۲۷.۰.۰.۱:۱۰۳۷ *:*
UDP ۱۲۷.۰.۰.۱:۱۰۷۴ *:*
 

خب میبینید که پورتهای باز روی سیستم من لیست شده مثل ۱۸۵۴ ۱۹۷۱ ۲۰۳۱ … این دستور همان دستور Netstat an هست که هر ۲ تا یک عمل را انجام میدن و کارشون اینه که پورتها را با معادل عددیشان نشان میدن مثلاً پورت Netbios را با معادل عددیش یعنی ۱۳۹ نشان میدن ، درست مثل دستور Netstat n که آیپی ها را با معادل عددیشان نشان میداد ، این دستور پورتها را با معادل عددی نشان میده .

▪ دستور Netstat a :
 

این دستور نیز مثل دستور Netstat an یا na عمل میکنه فقط فرقش در اینه که این دستور پورتها را با معادل اسمیشان نشان میده ، برای مثال پورت ۱۳۹ را با معادل اسمیش یعنی Netbios نشان میده و همچنین مانند دستور Netstat اسم صاحب سیستم را هم نشان میده ، مثلاً من با تایپ این دستور در MS DOS به این نتایج سیدم :

C:WINDOWS>netstat a
Active Connections
Proto Local Address Foreign Address State
TCP behrooz:۲۰۵۵ BEHROOZ:۰ LISTENING
TCP behrooz:۵۱۰۱ BEHROOZ:۰ LISTENING
TCP behrooz:۲۰۴۷ BEHROOZ:۰ LISTENING
TCP behrooz:۲۰۵۵ cs۴۳.msg.sc۵.yahoo.com:۵۰۵۰ ESTABLISHED
TCP behrooz:nbsession BEHROOZ:۰ LISTENING
TCP behrooz:۲۰۴۷ baym cs۲۱.msgr.hotmail.com:۱۸۶۳ ESTABLISHED
TCP behrooz:۱۰۲۵ BEHROOZ:۰ LISTENING
UDP behrooz:۲۰۵۳ *:*
UDP behrooz:discard *:*
UDP behrooz:nbname *:*
UDP behrooz:nbdatagram *:*
UDP behrooz:nfs *:*
UDP behrooz:۱۰۳۷ *:*
 

خب همانطور که ملاحظه میکنید بعضی از پورتهای اصلی با معادل اسمی نشان داده شدن مثل پورت nbsession ولی این دستور برای تست کردن نقطه ضعفها و پورتهای باز در سیستم خودمان خیلی مفیده و اگر سیستم آلوده به تروجن بود میشه از این دستورها و کلاً برنامه Netstat این موضوع را فهمید ، پس آنهایی که سوال میکنن ما چطوری بفهمیم سیستم خودمان آلوده به تروجن هست یا نه ، استفاده از این دستور و کلاً دستورات Netstat میتونه خیلی بهشون کمک کنه .
خب تا اینجا شد ۴ تا دستور ، این ۴ تا دستور تمام ارتباطهای شما در شبکه را در MS DOS نشان میده ولی مخصوص پروتکل خاصی نبود ، یعنی آیپی و پورتها را در TCP UDP , … نشان میداد ولی حالا میخوام یک دستور دیگه Netstat را بهتون معرفی کنم که باید خود شما پروتکل را انتخاب کنید تا ارتباطهای شما را در آن پروتکل نشان بده .

▪ دستور Netstat p xxx :
 

منظور از xxx یعنی آن پروتکلی که شما در نظر دارین که میتونه TCP و UDP باشه ، من با تایپ این دستور در MS DOS به این نتیجه رسیدم :

C:WINDOWS>netstat p TCP
Active Connections
Proto Local Address Foreign Address State
TCP behrooz:۱۰۳۰ baym cs۱۲.msgr.hotmail.com:۱۸۶۳ ESTABLISHED
TCP behrooz:۱۰۳۶ cs۴۶.msg.sc۵.yahoo.com:۵۰۵۰ TIME_WAIT
TCP behrooz:۱۰۵۹ svcs.microsoft.com:۸۰ TIME_WAIT
TCP behrooz:۱۰۶۰ msntoday.msn.com:۸۰ TIME_WAIT
TCP behrooz:۱۰۶۳ ۲۰۷.۴۶.۱۳۴.۳۰:۸۰ TIME_WAIT
TCP behrooz:۱۰۶۷ ۲۰۷.۴۶.۱۳۴.۳۰:۸۰ TIME_WAIT
TCP behrooz:۱۰۷۳ digital island bos ۳۷.focaldata.net:۸۰ CLOSE_WAIT
IT
TCP behrooz:۱۰۷۴ digital island bos ۳۷.focaldata.net:۸۰ CLOSE_WAIT
IT
TCP behrooz:۱۰۷۷ cs۴۶.msg.sc۵.yahoo.com:۵۰۵۰ ESTABLISHED
TCP behrooz:۱۰۸۷ ۶۴.۱۲۴.۸۲.۱۳.akamai.com:۸۰ ESTABLISHED
TCP behrooz:۱۱۱۱ ۶۴.۱۲۴.۸۲.۲۱.akamai.com:۸۰ ESTABLISHED
 

که همانطور که مشاهده میکنید من ارتباطم را در پروتکل TCP امتحان کردم برای مثال با MSN Messanger با پورت ۱۸۶۳ و با آدرس baym cs۱۲.msgr.hotmail.com ارتباط برقرار کردم و شما اگر میخواین آیپی این سرور را بفهمین میتونین از دستور Netstat n استفاده کنید و آیپی که قبل از پورت ۱۸۶۳ در آن دستور مشاهده میکنید آیپی این سرور هست .

▪ دستور Netstat e :
 

این دستور نیز یکی از دستورات Netstat هستش که آماری از ارتباطها و بسته ها و شماره های ارسال و ذخیره بسته ها و داده ها را نشان میده ، من با تایپ دستور Netstat e در MS DOS Prompt این نتایج را گرفتم :

C:WINDOWS>netstat e
Interface Statistics
Received Sent
Bytes ۶۲۸۳۰۸ ۲۲۴۹۵۲
Unicast packets ۲۲۸۸ ۲۲۱۸
Non unicast packets ۱۱۱ ۱۱۱
Discards ۰ ۰
Errors ۰ ۰
Unknown protocols ۷۴
 

این دستور بیشتر برای ویندوزهای ۹x ME و همینطور مودمهایی که آمار بسته ها را نمیدن خوبه چون در ویندوز ۲۰۰۰ XP قسمتی از این آمار براحتی در اختیار User قرار میگیره ، شما میتونین با استفاده از این دستور ترافیک ISP و شبکه را ببینید و همینطور برنامه هایی که دارین دانلود میکنید را چک کنید و یا اگر بسته ای در ارسالش مشکلی پیش بیاد میتونین در قسمت Errors مشاهده کنید ، …

▪ دستور Netstat r :
 

این دستور توسط کاربران معمولی اینترنت زیاد بکار گرفته نمیشه چون درک بعضی از گزینه هاش برای کاربران عادی دشوار ، بحرحال این دستور جزییات دقیقی مثل آدرس Gateway Interface Metric Netmask , … درباره آدرس آیپیتون در شبکه میده ، همچنین در ویندوزهای ۹x ME کار دستور Netstat a روهم انجام میده ، برای هکینگ نیز این دستور و کلاً اطلاعات Routing Tables مهم و مفیده ، من با تایپ این دستور این نتایج را گرفتم :

Dnetstat r
Route Table
===================================
Interface List
۰×۱ ……………………… MS TCP Loopback interface
۰×۲۰۰۰۰۰۳ …۰۰ ۵۳ ۴۵ ۰۰ ۰۰ ۰۰ …… WAN (PPP/SLIP) Interface
===================================
===================================
▪ Active Routes:
Network Destination Netmask Gateway Interface Metric
۰.۰.۰.۰ ۰.۰.۰.۰ ۶۴.۱۱۰.۱۴۸.۶۱ ۶۴.۱۱۰.۱۴۸.۶۱ ۱
۶۴.۱۱۰.۱۴۸.۴۸ ۲۵۵.۲۵۵.۲۵۵.۲۵۵ ۶۴.۱۱۰.۱۴۸.۶۱ ۶۴.۱۱۰.۱۴۸.۶۱ ۱
۶۴.۱۱۰.۱۴۸.۶۱ ۲۵۵.۲۵۵.۲۵۵.۲۵۵ ۱۲۷.۰.۰.۱ ۱۲۷.۰.۰.۱ ۱
۶۴.۲۵۵.۲۵۵.۲۵۵ ۲۵۵.۲۵۵.۲۵۵.۲۵۵ ۶۴.۱۱۰.۱۴۸.۶۱ ۶۴.۱۱۰.۱۴۸.۶۱ ۱
۱۲۷.۰.۰.۰ ۲۵۵.۰.۰.۰ ۱۲۷.۰.۰.۱ ۱۲۷.۰.۰.۱ ۱
۲۲۴.۰.۰.۰ ۲۲۴.۰.۰.۰ ۶۴.۱۱۰.۱۴۸.۶۱ ۶۴.۱۱۰.۱۴۸.۶۱ ۱
Default Gateway: ۶۴.۱۱۰.۱۴۸.۶۱
==================================
▪ Persistent Routes:
None
 

که البته این دستور را من در ویندوز ۲۰۰۰ استفاده کردم و اگر شما در ویندوز ME یا ۹x این دستور را تایپ کنید نتایج بیشتری از ارتباطهایتان خواهیذ گرفت .
خب دوستان این دستورهایی که راجبشون توضیح دادم معروفترین و پرکاربردترین دستورهای Netstat بود ولی بجز اینها دستورهای دیگری هم وجود داره که دیگه فکر نکنم توضیح راجب آنها ضروری بنظر برسه ولی برای اینکه خود شما هم تمرینی کرده باشین این دستور را تست کنید : Netstat s و ببینید که چه اطلاعاتی میتونید با دادن این دستور بدست بیارین .
منبع:www.aftabir.com
ارسال توسط کاربر محترم سایت : mohamadaminsh