想監控特定連線的來源或 Port,在 UNIX 中內建了不少好用的程式,組合各個小工具後更是威力無窮;Windows 在這方面雖然也有相當多類似的程式可安裝,但內建的 Netstat 用起來總是有些缺憾,在 SANS 看到這篇 Fun With Windows Netstat ,提到一些小技巧,用例子講述大家就可明瞭.
netstat指令介紹 :
netstat指令參數非常多,我們一樣可以在CMD視窗下輸入netstat -? 查看相關資訊 :
netstat –a : 顯示TCP 和 UDP 所有連線
netstat -o : 顯示與每個連線相關聯的擁有處理程序識別碼
netstat -b :
顯示涉及建立每個連線或接聽連接埠的可執行檔。在某些情況下,已知可執行檔可主控多個獨立元件,在這些情況下,便會顯示涉及建立連線或接聽連接埠的元件順序。如此,可執行檔名稱位於底部的 [] 中,上方便是它呼叫的元件等,直到已達 TCP/IP。請注意,此選項相當耗時,而且如果您沒有足夠的權限,便會失敗。
使用範例 :
* netstat –na 1 | find "特定IP"
顯示特定 IP 之連線,每隔一秒更新畫面一次 (適用於像是你已鎖定可疑對象,但不知他何時會連過來)
-a 代表列出所有連線
-n 代表僅列出 IP 及 Port,不解析為 hostname 及 service name,速度會快很多
* netstat –nao 1 | find "特定IP"
加上 -o 參數可顯示觸發該連線之 process ID,欲知 process name 則可以透過內建的 tasklist 這程式
* netstat –na 1 | find "4444" | find "ESTABLISHED"
也可以針對特定 Port,不分對象的進行監控,再透過 find "ESTABLISHED" 篩選掉僅 LISTENING 的部份
Youtube 使用說明 :
補充說明 :
* windows常用網路管理指令(二) - netstat
* Windows 內建的 Netstat 小技巧
沒有留言:
張貼留言