سایت تخصصی کامپیوتر و شبکه
(جدیدترین اخبار، مقالات و آموزش‌ها در زمینه فناوری اطلاعات | خرید و فروش تجهیزات شبکه)
آموزش netstat نویسنده: مهندس عبدالهی پور - شنبه ۱٠ بهمن ۱۳۸۸

در این مقاله میخوام راجب برنامه Netstat و دستورات آن کمی توضیح بدمتا شما یک آشنایی با این برنامه داشته باشین ، خب بچه ها هر وقت صحبت از Netstat میشه همه به یاد فرمان Netstat -n می افتن غافل از اینکه Netstat دستورات زیادیداره که بعضی از آنها به یک هکر کمکهای زیادی میکنه که من تمام دستورها را براتونتوضیح میدم ولی قبلش باید بفهمیم که اصلاً Netstat چیه و چکار میکنه ؟


Netstat هم مثل Netbios یک برنامه خدماتی هست که در خود سیستم عاملها گذاشته شده ، مثلاً در ویندوز 9x و Me در پوشه Windows با اسم Netstat.exe قرار گرفته و در ویندوزهای بر پایه NT مثل 2000 نیز در پوشه D:WinNTSystem32 قرار گرفته و کلاً برای نمایش تمام ارتباطات ما در شبکه و فهمیدن پورتها و آیپی های سیستمها و ماشین هایی که ما با آنها در ارتباط هستیم بکار میره ، برای استفاده از Netstat احتیاج به هیچ برنامه کمکی و اضافی ندارین فقط کافیه به MS-DOS Prompt برین و دستوراتی که در ادامه این مقاله میگم را تایپ کنید ، ولی خب برنامه های زیادی برای استفاده آسان تر از Netstat آمده که احتیاجی به رفتن در Ms-Dos نداره و کار کاربران اینترنت و شبکه را راحت تر کرده که یکی از بهترین برنامه ها برای اینکار X-Netstat هست که اطلاعات زیادی از ارتباطهای شما وقتی که به شبکه وصل هستین میده ، درست مثل برنامه Netstat.exe ولی به صورت گرافیکی و تحت ویندوز . این برنامه همچنین سیستمهایی که از خارج سعی میکنن به سیستم شما وصل بشن را هم نشان میده و آیپی آنها را مشخص میکنه ، درست مثل یک فایروال و همچنین پورتهای Local و Remote و پروتکل هایی که شما با آنها ارتباط دارین را مشخص میکنه . X-Netstat بر_c7ی کاربران معمولی نسخه Standard را عرضه کرده که جدیدترین نسخه X-Netstat Standard ورژین 5.0 Beta هست و برای کاربران حرفه ای مثل شما نیز X-Netstat Professional را ارائه داده که جدیدترین نسخه آن 4.0 هست که برای مدیران شرکتها نیز مفیده ، شما میتون_http://www.freshsw.com/files/xnsp400.exe خب این یکی از برنامه های مفیدی هست که مربوط به Netstat بود ولی حالا توضیح درباره دستورات خود Netstat : دستور Netstat : دستور Netstat فرمان اصلی این برنامه هست که با تایپ این دستور شما متوجه آیپی سیستمها و پورتهایی که با آنها در ارتباط هستین بدست میارین و همچنین مشاهده میکنین که پورتهایی Listening و یا Established هستن و چه چیزی روی پورتهای مختلف در حال شنیده شدن هست که خب این باعث میشه اگر پورتی مخصوص یک تروجن مثل 27374 که پورت اصلی Sub7 هست در سیستم شما باز بود شما متوجه این پورت باز بروی سیستمتان بشین. اگر در قسمتForeign Address هم یک آیپی بوسیله آن پورت به سیستم شما وصل بود شما میفهمین که یک نفر با آن آیپی در سیستم شماست ، پس این یک راهی هست که متوجه بشین سیستمتان آسیب پذیر هست یا نه ، برای مثال من با تایپ دستور Netstat در Ms-Dos این نتایج را گرفتم : C:WINDOWS>netstat Active Connections Proto Local Address Foreign Address State TCP behrooz:1454 cs33.msg.sc5.yahoo.com:5050 ESTABLISHED TCP behrooz:1488 63.123.44.222:80 ESTABLISHED TCP behrooz:1491 opi1.vip.sc5.yahoo.com:80 TIME_WAIT TCP behrooz:1497 64.187.54.23:80 ESTABLISHED TCP behrooz:1498 64.187.54.23:80 ESTABLISHED همانطور که ملاحظه میکنید این دستور گاهی اوقات اسم صاحب سیستم کلاینتی که شما با آن در ارتباط هستین را نیز میده و چون اینجا من با کسی در PM نبودم اسم کسی را نمیبینید ولی اگر کسی با من چت کنه و دستور Netstat را بزنه اسم بهروز را میبینه و متوجه میشه که این صاحب آن سیستم کلاینتی هست که داره با آن چت میکنه و همچنین مشخصه که من با پورت 5050 با یاهو مسنجر ارتباط برقرار کردم و همچنین نتایجی که در زیر Local Address مشخص اطلاعاتی درباره خود من هست : IP/Hostname:Port open ===> behrooz:1488 و نتایجی که در Foreign Address بدست میاد مشخص میکنه که ما با چه سرور یا کلاینتی در ارتباطیم که در سطر دوم مثال بالا یعنی 63.123.44.222:80 که آیپی سایت یاهو هست من در سایت یاهو بودم و به وسیله پورت 80 که پورت Http هست من با این وب سرور ارتباط برقرار کردم و در قسمت Status هم مشخص میشه که شما با چه پورتهایی Established هستین. یعنی ارتباط برقرار کردین و وصل هستین و چه پورتهایی Listening یا منتظر Request و در حال شنیدن هستن ، بنابراین میشه با دستور Netstat یک عمل مانیتورینگ از تمام آیپی ها - پورتها و ماشینهایی که شما با آنها در ارتباطین گرفت . دستور Netstat -n : همانطور که در بالا توضیح دادم میشه با استفاده از Netstat آیپی و پورت سیستمی که شما با آن در ارتباطین را بدست آورد حتا میشه آیپی کسی داره با شما از طریقه PM در مسنجر چت میکنه را هم بدست آورد چون وقتی شما مسنجرها را باز میکنید با یک پورت خاصی شما با مسنجر ارتباط برقرار میکنین که مثلاً شما با پورت 5050 با یاهو مسنجر ارتباط برقرار میکنین . شما با استفاده از دستور Netstat -n که در MS-DOS تایپ میکنین میتونین آیپی طرف را بدست بیارین اگرچه من چند وقت پیش برنامه ProPort را معرفی کردم که اینکار را با قابلیتهای بیشتری انجام میده ولی با این دستور هم میشه اینکار را کرد . اگر شما بعد از تایپ این دستور و در نتیجه بدست آمده در قسمت Foreign Address با آیپی سیستمی بوسیله پورت 5101 ارتباط برقرار کرده بودین مطمئن باشین آن آیپی برای کسی هست که داره با شما چت میکنه مثلاً من با تایپ دستور Netstat -n این نتایج را گرفتم : Active Connections Proto Local Address Foreign Address State TCP 207.117.93.43:1425 216.136.175.226:5050 TIME_WAIT TCP 207.117.93.43:1431 64.242.248.15:80 ESTABLISHED TCP 207.117.93.43:1437 213.102.29.137:5101 ESTABLISHED همانطور که ملاحظه میکنید من در این لحظه با آیپی 213.102.29.137 در حال چت کردن بودم که اشتراکش هم از البرز بوده و آیپی خود من هم در قسمت Local Address مشخص میشه ، در قسمت Proto نیز پروتکلی که ما بوسیله آن با یک سیستم ارتباط برقرار کردیم مشخص میشه که اینجا از طریقه پروتکل TCP هستش . دستور Netstat/? : شاید بهتر بود من این دستور را قبل از 2 دستور Netstat و Netstat -n معرفی میکردم چون این دستور راهنما یا Help برنامه Netstat هست که با تایپ کردن آن شما یک صفحه کامل راجب فرمان Netstat میبینین و توضیح مختصری هم در جلوی هر دستور مشاهده میکنید ، شما با تایپ این دستور به این نتایج میرسین : C:WINDOWS>netstat /? Displays protocol statistics and current TCP information once. البته ابن تمام دستورات Netstat نیست و کلاً Help کاملی نیست ولی برای کسانی که میخواهن دانش سطحی از Netstat بدست بیارن مفید و میتونن از این دستور و help آن کمک بگیرن ولی من توضیح بیشتری راجب هر دستور میدم . دستور Netstat -na : با تایپ کردن این دستور در MS-DOS Prompt تمام پورتهایی که داده ها و بسته ها را میفرستن مشخص میشه ، نشان " na " در تمام دستورات به معنی نمایش همه پورتها و لیست کردن آدرسهای شبکه و شماره فرمها در یک قالب عددی هستش ، برای مثال من با تایپ این فرمان در MS-DOS این نتایج را گرفتم : C:WINDOWS>netstat -na Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:1954 0.0.0.0:0 LISTENING TCP 0.0.0.0:1971 0.0.0.0:0 LISTENING TCP 0.0.0.0:5101 0.0.0.0:0 LISTENING TCP 64.110.148.59: 1954 207.46.106.21 :1863 ESTABLISHED TCP 64.110.148.59 :1971 216.136.225.36 :5050 ESTABLISHED TCP 64.110.148.59 :2031 63.121.106.74 :80 TIME_WAIT TCP 127.0.0.1 :1025 0.0.0.0:0 LISTENING UDP 0.0.0.0:1958 *:* UDP 64.110.148.59:9 *:* UDP 64.110.148.59:137 *:* UDP 64.110.148.59:138 *:* UDP 127.0.0.1:1037 *:* UDP 127.0.0.1:1074 *:* خب میبینید که پورتهای باز روی سیستم من لیست شده مثل 1854-1971-2031 ... این دستور همان دستور Netstat -an هست که هر 2 تا یک عمل را انجام میدن و کارشون اینه که پورتها را با معادل عددیشان نشان میدن مثلاً پورت Netbios را با معادل عددیش یعنی 139 نشان میدن ، درست مثل دستور Netstat -n که آیپی ها را با معادل عددیشان نشان میداد ، این دستور پورتها را با معادل عددی نشان میده . دستور Netstat -a : این دستور نیز مثل دستور Netstat -an یا -na عمل میکنه فقط فرقش در اینه که این دستور پورتها را با معادل اسمیشان نشان میده ، برای مثال پورت 139 را با معادل اسمیش یعنی Netbios نشان میده و همچنین مانند دستور Netstat اسم صاحب سیستم را هم نشان میده ، مثلاً من با تایپ این دستور در MS-DOS به این نتایج سیدم : C:WINDOWS>netstat -a Active Connections Proto Local Address Foreign Address State TCP behrooz:2055 BEHROOZ:0 LISTENING TCP behrooz:5101 BEHROOZ:0 LISTENING TCP behrooz:2047 BEHROOZ:0 LISTENING TCP behrooz:2055 cs43.msg.sc5.yahoo.com:5050 ESTABLISHED TCP behrooz:nbsession BEHROOZ:0 LISTENING TCP behrooz:2047 baym-cs21.msgr.hotmail.com:1863 ESTABLISHED TCP behrooz:1025 BEHROOZ:0 LISTENING UDP behrooz:2053 *:* UDP behrooz:discard *:* UDP behrooz:nbname *:* UDP behrooz:nbdatagram *:* UDP behrooz:nfs *:* UDP behrooz:1037 *:* خب همانطور که ملاحظه میکنید بعضی از پورتهای اصلی با معادل اسمی نشان داده شدن مثل پورت nbsession ولی این دستور برای تست کردن نقطه ضعفها و پورتهای باز در سیستم خودمان خیلی مفیده و اگر سیستم آلوده به تروجن بود میشه از این دستورها و کلاً برنامه Netstat این موضوع را فهمید ، پس آنهایی که سوال میکنن ما چطوری بفهمیم سیستم خودمان آلوده به تروجن هست یا نه ، استفاده از این دستور و کلاً دستورات Netstat میتونه خیلی بهشون کمک کنه . خب تا اینجا شد 4 تا دستور ، این 4 تا دستور تمام ارتباطهای شما در شبکه را در MS-DOS نشان میده ولی مخصوص پروتکل خاصی نبود ، یعنی آیپی و پورتها را در TCP - UDP , ... نشان میداد ولی حالا میخوام یک دستور دیگه Netstat را بهتون معرفی کنم که باید خود شما پروتکل را انتخاب کنید تا ارتباطهای شما را در آن پروتکل نشان بده . دستور Netstat -p xxx : منظور از xxx یعنی آن پروتکلی که شما در نظر دارین که میتونه TCP و UDP باشه ، من با تایپ این دستور در MS-DOS به این نتیجه رسیدم : C:WINDOWS>netstat -p TCP Active Connections Proto Local Address Foreign Address State TCP behrooz:1030 baym-cs12.msgr.hotmail.com:1863 ESTABLISHED TCP behrooz:1036 cs46.msg.sc5.yahoo.com:5050 TIME_WAIT TCP behrooz:1059 svcs.microsoft.com:80 TIME_WAIT TCP behrooz:1060 msntoday.msn.com:80 TIME_WAIT TCP behrooz:1063 207.46.134.30:80 TIME_WAIT TCP behrooz:1067 207.46.134.30:80 TIME_WAIT TCP behrooz:1073 digital-island-bos-37.focaldata.net:80 CLOSE_WAIT IT TCP behrooz:1074 digital-island-bos-37.focaldata.net:80 CLOSE_WAIT IT TCP behrooz:1077 cs46.msg.sc5.yahoo.com:5050 ESTABLISHED TCP behrooz:1087 64.124.82.13.akamai.com:80 ESTABLISHED TCP behrooz:1111 64.124.82.21.akamai.com:80 ESTABLISHED که همانطور که مشاهده میکنید من ارتباطم را در پروتکل TCP امتحان کردم برای مثال با MSN Messanger با پورت 1863 و با آدرس baym-cs12.msgr.hotmail.com ارتباط برقرار کردم و شما اگر میخواین آیپی این سرور را بفهمین میتونین از دستور Netstat -n استفاده کنید و آیپی که قبل از پورت 1863 در آن دستور مشاهده میکنید آیپی این سرور هست . دستور Netstat -e : این دستور نیز یکی از دستورات Netstat هستش که آماری از ارتباطها و بسته ها و شماره های ارسال و ذخیره بسته ها و داده ها را نشان میده ، من با تایپ دستور Netstat -e در MS-DOS Prompt این نتایج را گرفتم : C:WINDOWS>netstat -e Interface Statistics Received Sent Bytes 628308 224952 Unicast packets 2288 2218 Non-unicast packets 111 111 Discards 0 0 Errors 0 0 Unknown protocols 74 این دستور بیشتر برای ویندوزهای 9x - ME و همینطور مودمهایی که آمار بسته ها را نمیدن خوبه چون در ویندوز 2000 - XP قسمتی از این آمار براحتی در اختیار User قرار میگیره ، شما میتونین با استفاده از این دستور ترافیک ISP و شبکه را ببینید و همینطور برنامه هایی که دارین دانلود میکنید را چک کنید و یا اگر بسته ای در ارسالش مشکلی پیش بیاد میتونین در قسمت Errors مشاهده کنید ، ... دستور Netstat -r : این دستور توسط کاربران معمولی اینترنت زیاد بکار گرفته نمیشه چون درک بعضی از گزینه هاش برای کاربران عادی دشوار ، بحرحال این دستور جزییات دقیقی مثل آدرس Gateway - Interface Metric -Netmask , ... درباره آدرس آیپیتون در شبکه میده ، همچنین در ویندوزهای 9x - ME کار دستور Netstat -a روهم انجام میده ، برای هکینگ نیز این دستور و کلاً اطلاعات Routing Tables مهم و مفیده ، من با تایپ این دستور این نتایج را گرفتم : D:>netstat -r Route Table =================================== Interface List 0x1 ........................... MS TCP Loopback interface 0x2000003 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface =================================== =================================== Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 64.110.148.61 64.110.148.61 1 64.110.148.48 255.255.255.255 64.110.148.61 64.110.148.61 1 64.110.148.61 255.255.255.255 127.0.0.1 127.0.0.1 1 64.255.255.255 255.255.255.255 64.110.148.61 64.110.148.61 1 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 224.0.0.0 224.0.0.0 64.110.148.61 64.110.148.61 1 Default Gateway: 64.110.148.61 ================================== Persistent Routes: None که البته این دستور را من در ویندوز 2000 استفاده کردم و اگر شما در ویندوز ME یا 9x این دستور را تایپ کنید نتایج بیشتری از ارتباطهایتان خواهیذ گرفت . خب دوستان این دستورهایی که راجبشون توضیح دادم معروفترین و پرکاربردترین دستورهای Netstat بود ولی بجز اینها دستورهای دیگری هم وجود داره که دیگه فکر نکنم توضیح راجب آنها ضروری بنظر برسه ولی برای اینکه خود شما هم تمرینی کرده باشین این دستور را تست کنید : Netstat -s و ببینید که چه اطلاعاتی میتونید با دادن این دستور بدست بیارین .

  نظرات ()
موضوعات فروش تجهیزات شبکه (٧٩) شبکه (٤۸) سخت افزار (٤٦) ترفند‌های ویندوز (۳۸) هک و امنیت (۳٢) اینترنت (٢٧) ویندوز (۱۸) فناوری (۱۱) تاریخچه و زندگینامه (۱٠) سئو (۸) برنامه نویسی (٧) طراحی وب (٧) موبایل (٧) گرافیک (٦) مقالات کاربردی (٦) لینوکس (۳)
دوستان من فروش تجهیزات شبکه