netstat -an及其结果分析...docVIP

netstat -an及其结果分析. netstat -an及其结果分析 netstat, 结果 前言： 这几天由于病毒的日益流行，许多朋友开始对防毒和防黑重视起来，装了不少的 病毒或网络防火墙。诚然，通过防火墙我们可以得到许多有关我们计算机的信息，不过 windows自带的netstat更加小巧玲珑，可以让你不费吹灰之力就可以对本机的开放端口 和连接信息一览无余。 针对netstat命令的用法及相关结果，个人搜集了一些文章，加以整理总结，写了 这篇文章，希望对同学们有多帮助。 1.netstat命令用法 关于该命令的用法你可以很容易的从netstat /?中获取，这里不再做无意义的复制 粘贴了，朋友们自己看一下吧。这里重点提一下-a和-n选项。-a选项意在显示 所有连接，当不附加-n选项时，它显示的是本地计算机的netbios名字+端口号。而 加了-n选项后，它显示的是本地IP地址+端口号。 For example: [netstat -a] TCP fdlpw:ftp fdlpw:0 LISTENING [netstat -an] TCP :21 :0 LISTENING 2.端口的基本知识 端口基本上可分为三大类：公用端口，注册端口和动态/私有端口。 公认端口（Well Known Ports）：从0到1023，它们紧密绑定于一些服务。通常这些端 口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯。 注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。也就 是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统 处理动态端口从1024左右开始。 动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上， 不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外： SUN的RPC端口从32768开始。 特别的要注意以下几点： ＊ICMP没有端口概念，防火墙中的所谓端口指的是是其type. ICMP只有两个域：即type和code. ＊0端口通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效 　　端口，当你试图使用一种通常的闭合端口连接它时将产生不同的结果。 　＊1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪 　　个端口连接网络，它们请求操作系统为它们分配“下一个闲置端口”。基于这一点 　　分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端 口1024。为了验证这一点，你可以重启机器，打开Telnet，再打开一个窗口运行 “netstat -”,你将会看到Telnet被分配1024端口。请求的程序越多，动态端口 也越多,操作系统分配的端口将逐渐变大。再来一遍，当你浏览Web页时用“netstat 查看，每个Web页需要一个新端口。 ＊一些系统所经常用到的公用和动态端口在\system32\drivers\etc目录下的services 文件中定义，你可以在notepad中打开该文件。 ３.netstat结果信息的结构 　 　TCP :21 :0 LISTENING 　针对这个子项： 　TCP:所用协议，传输控制协议。 　:21:是表示本机ip,如果是动态端口的话通常用本地ip表示而不是全０ 　　　　　 21表示本机上该服务分配的端口号 　:0:表示外部任何主机的任何端口 　LISTENING:表示该服务处于监听状态。 　对于netstat -a的结果，通常是用服务名来代替其端口，如： 　TCP fdlpw:ftp fdlpw:0 LISTENING 　这里fdlpw替代了,ftp替代了端口21 通常情况下在\system32\etc\services文件中对相应服务名有相关说明，下面给出更 　详尽的描述： # lt;服务名gt; lt;端口号gt;/lt;协议gt; [别名] [#lt;注释gt;] echo 7/tcp #回应 echo 7/udp