Σε ποια πόρτα ακούει τι; (Netstat, Task Manager, Tasklist)

  • Articolo

??? ?a ß?? ??????a p??? p????aµµa ???e? listening p?? ? a? p??spa?e? ?a s??de?e?;

?pa?a?t?ta tools e??a? ta:

netstat – p??ß??e? ??a t?? e?e???? ?a? a????t?? s??d?se?? ?a??? ?a? ?se? p??spa???? ?a ep?te??????

Task Manager – p??ß??e? ??e? t?? d?e??as?e? p?? e?te????ta?

Tasklist – ?d?? µe t?? task manager ap? command prompt

?p? command prompt d????µe:

netstat –ano

netstat

?a switches t?? netstat

a: de???e? ??a t?? s??d?se??

n: de? ???e? resolve ips & ports (1.)

?: eµfa???e? st??? st?? ?p??a a?a???feta? t? PID (Process IDentifier) t?? process p?? e??a? ?pe????? ??a t? connection (2.)

?p?µe?? ß?µa e??a? ?a p?µe st?? ???st? µa? task manager (taskmgr.exe) ?a? eµfa??s??µe t?? st??? µe ta PIDs.

???a????µe View –> Select Columns

taskmgr 

?p??????µe t? PID.

PID

????? d?p?a st?? st??? µe t? ???µa t? e?te??s?µ?? eµfa???eta? t? PID ?a? µp????µe e????a ?a t? s??d??s??µe µe t? ap?t??esµa t?? st???? t?? netstat –ano

?? ???eta? ?µ?? st?? pe??pt?s? p?? t? process de? e??a? ???? ap? t? ???st? svchost (Host Process for Windows Services); ?????? f???? t? svchost ?e????e? pe??ss?te?a ap? ??a services µe t? ?d?? PID ?p?te de? µp????µe ?a e?µaste s??????? ??a p??? ap? ??a µ???µe. ?d? ???eta? ?a ß????se? t? tasklist.

?p? command prompt d????µe tasklist /svc

tasklist .svc

??a??a?t??? se Windows Vista/2008 µp??e? ?a ???s?µ?p????e? ? Task Manager ?p?? µe de?? ???? st? process eµfa???eta? ? ep????? “Go to Service(s)” ?a? µp????µe ?a d??µe ??a p??a services e??a? ?pe????? t? executable.

??st???? t? switch –o st? netstat de? ?p?st????eta? p??? ta Windows XP ?p?te e?e? ? ??s? e??a? t? Tcpview (sysinternals)

tcpview

?? netstat e??a? a??et? ???s?µ? e?t??? ?a? µp????µe µe µ????? µ??f?p???se?? ?a ß?????µe ??????a s?µpe??sµata ??a t?? s??d?se?? p?? ??e? ? p??spa?e? ?a ???e? t? s?st?µa. G?a pa??de??µa t? switch –b eµfa???e? t? executable p?s? ap? ???e connection.

????? p??? s?µa?t??? e??a? ?a? ? st??? t?? state p?? fa??eta? ? ?at?stas? t?? s??des?? (listening, established, SYN_Sent ??p.). ?e??ss?te?a ??a ta states t?? netstat se ?e?te?? d?µ?s?e?s?.

Comments

  • Anonymous
    January 01, 2003
    Υποθέτω πως mypc είναι το όνομα του υπολογιστή. Localhost είναι το στάνταρ όνομα που χρησιμοποιείται από το loopback interface του υπολογιστή σου (127.0.0.1). Στην ουσία μιλάμε για συνδέσεις από τον Η/Υ σου προς τον ίδιο. Τώρα γιατί συμβαίνει αυτό εξαρτάται από τη συγκεκριμένη εφαρμογή.

  • Anonymous
    January 01, 2003
    TCP, UDP είναι το πρωτόκολλο που χρησιμοποιεί η σύνδεση. Όλα τα ports μπορούν να είναι επικίνδυνα, γιαυτό το λόγο και με το netstat -ano βρίσκουμε το process πίσω από το port, ώστε να μπορούμε να καταλάβουμε τι είναι τι. Σε Time_wait μπαίνει κάποια πόρτα για μικρό χρόνο αφού τερματιστεί η σύνδεση. Established είναι οι "ανοικτές" συνδέσεις, αυτές δηλαδή που αυτή τη στιγμή ανταλλάσουν δεδομένα. Τέλος Listening είναι τα ports που περιμένουν κάποια σύνδεση. Παρατηρήστε ότι στα listening η στήλη Foreign Address είναι 0.0.0.0 (περιμένω οποιαδήποτε διεύθυνση) ενώ στην περίπτωση Listening ή Time_Wait σαν Foreign εμφανίζεται κάποια διεύθυνση στο άλλο άκρο.

  • Anonymous
    May 23, 2009
    Τί σημαίνουν οι TCP και UDP connections που μας δείχνει η netstat; Τα ports των πρωτοκόλλων, πως ελέγχω εάν είναι επικίνδυνα; Όταν βλέπουμε μία σύνδεση σε TIME_WAIT, ESTABLISHED, LISTENING, τί σημαίνουν όλ' αυτά; Νομίζω πως, εάν απαντήσω αυτά τα ερωτήματά, θα μπορώ να βγάζω κάποια συμπεράσματα, κάθε φορά που παίρνω το output της εντολής netstat, που θα είναι πολύ χρήσιμα. Ίσως και εάν έχω προσβληθεί από κάποιο trojan. Συμφωνείτε; Ευχαριστώ!

  • Anonymous
    May 24, 2009
    Κάτι ακόμα. Βλέπω ότι στο PID (Process ID) 3528, που αντιστοιχεί στον Firefox, όταν τον έχω ανοιχτό βέβαια, μερικές απ' τις συνδέσεις που είναι ESTABLISHED, είναι όπως δείχνω παρακάτω:    TCP    mypc:1312            localhost:1313         ESTABLISHED     3528  TCP    mypc:1313            localhost:1312         ESTABLISHED     3528  TCP    mypc:1314            localhost:1315         ESTABLISHED     3528  TCP    mypc:1315            localhost:1314         ESTABLISHED     3528 Βλέπετε ότι, ανά ζευγάρι γραμμών, υπάρχει μία διαφορά κατά ένα. Δηλαδή: Στην πρώτη σύνδεση, είναι η πόρτα του υπολογιστή μου 1312 και η πόρτα του site 1313. Στη δεύτερη, η πόρτα του υπολογιστή μου 1313 και η πόρτα του site 1312 (το ζευγάρι Νο1). Ομοίως: Στην τρίτη σύνδεση, είναι η πόρτα του υπολογιστή μου 1314 και η πόρτα του site 1315. Στη δεύτερη, η πόρτα του υπολογιστή μου 1315 και η πόρτα του site 1314 (το ζευγάρι Νο2). Γιατί πηγαίνουν έτσι; Τί σημαίνουν όλ' αυτά; Κάτι άλλο. Εγώ έχω ανοίξει μία φορά τον Firefox. Αλλά οι συνδέσεις είναι περισσότερες από μία. Γιατί; Παίζει μήπως ρόλο ότι έχω ανοιχτές κάποιες σελίδες σε tabs; Επίσης, βλέπω στο output της netstat πολλές εγγραφές: TCP    mypc:1567            localhost:10080        TIME_WAIT       0 TCP    mypc:1581            localhost:10080        TIME_WAIT       0 TCP    mypc:10080          localhost:1567         TIME_WAIT       0 TCP    mypc:10080          localhost:1581         TIME_WAIT       0 Αναφέρομαι στο 10080. Τί είναι αυτό; Ευχαριστώ! (ευχαριστώ και για τη χθεσινή απάντηση!! Με βοήθησε πολύ.)