Ubuntu14.04下Netstat命令的实战演练

如果你想成为一名黑客，那么Netstat命令是你不可或缺的一项技能包。

它能让你监控整个TCP/IP网络，可以用来显示活动的TCP连接、路由器以及网络接口信息。

通过了解系统中哪些网络连接正常，从而协助你来进行一次黑客行动。并且如果你怀疑自己的计算机被木马或是病毒入侵，也可以通过这个来查看。

本文主要对Netstat的相关命令做出了解释。并在ubuntu14.04LTS上通过Netstat -t查看一个网页的打开和关闭过程中的tcp的连接状态

 

一、Netstat相关命令：

功能说明：Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，一般用于检验本机各端口的网络连接情况

参　　数：
-a或–all 显示所有连线中的Socket。
-A<网络类型>或–<网络类型> 列出该网络类型连线中的相关地址。
-c或–continuous 持续列出网络状态。
-C或–cache 显示路由器配置的快取信息。
-e或–extend 显示网络其他相关信息。
-F或–fib 显示FIB。
-g或–groups 显示多重广播功能群组组员名单。
-h或–help 在线帮助。
-i或–interfaces 显示网络界面信息表单。
-l或–listening 显示监控中的服务器的Socket。
-M或–masquerade 显示伪装的网络连线。
-n或–numeric 直接使用IP地址，而不通过域名服务器。
-N或–netlink或–symbolic 显示网络硬件外围设备的符号连接名称。
-o或–timers 显示计时器。
-p或–programs 显示正在使用Socket的程序识别码和程序名称。
-r或–route 显示Routing Table。
-s或–statistice 显示网络工作信息统计表。
-t或–tcp 显示TCP传输协议的连线状况。
-u或–udp 显示UDP传输协议的连线状况。
-v或–verbose 显示指令执行过程。
-V或–version 显示版本信息。
-w或–raw 显示RAW传输协议的连线状况。
-x或–unix 此参数的效果和指定”-A unix”参数相同。
–ip或–inet 此参数的效果和指定”-A inet”参数相同。

 

二、ubuntu14.04LTS上通过Netstat -t查看一个网页的打开和关闭过程中的tcp的连接状态

调用Netstat -t后展示的信息说明如下：

Proto :连接方式，主要包括tcp和udp

local Address:本地连接地址

Foreign Address:和本地建立连接的地址

state：包括5种状态：

SYN_SENT:表示请求连接

ESTABLISHED:正在共享，两者正在连接中

TIME_WAIT:结束了这次连接。

LISTENING:处于监听状态(若是udp连接的话，肯定是木马),监听该端口的信息

CLOSE_WAIT:连接没有正确关闭

 

测试过程：

(1)初始状态开机联网后(未连接vpn)

分析：可以看到电脑目前没有其他tcp连接，仅有的一个tcp6(用于ipv6地址的传输)处于CLOSE_WAIT状态，未打开VPN。

 

(2)打开火狐浏览器并随意点开一个界面：

分析：刚打开的一瞬间，按道理所有的tcp连接应该都是处于SYN_SENT状态(表示请求连接，发送同步信号给要请求的计算机端口)

由于建立连接的时间很短，查看tcp连接状态时，不能做到实时查看，有的已经跳转到了ESTABLISHED状态。

 

(3)打开网页一段时间后：

分析：可以看到网页上所有的tcp连接都已经跳转到ESTABLISHED状态了，也有的已经处于TIME_WAIT。

 

(4)刚关闭网页：

分析：可以看到大部分tcp连接已经处于TIME_WAIT状态，即已经结束该连接。

 

(5)关闭网页一段时间后：

分析:完全恢复到了初始状态。