Просмотр активных подключений утилитой Netstat
Команда netstat обладает набором ключей для отображения портов, находящихся в активном и/или пассивном состоянии. С ее помощью можно получить список серверных приложений, работающих на данном компьютере. Большинство серверов находится в режиме LISTEN — ожидание запроса на соединение. Состояние CLOSE_WAIT означает, что соединение разорвано. TIME_WAIT — соединение ожидает разрыва. Если соединение находится в состоянии SYN_SENT, то это означает наличие процесса, который пытается, установить соединение с сервером. ESTABLISHED — соединения установлены, т.е. сетевые службы работают (используются).
Итак, команда netstat показывает содержимое различных структур данных, связанных с сетью, в различных форматах в зависимости от указанных опций. Для сокетов (программных интерфейсов) TCP допустимы следующие значения состояния
- CLOSED — Закрыт. Сокет не используется.
- LISTEN — Ожидает входящих соединений.
- SYN_SENT — Активно пытается установить соединение.
- SYN_RECEIVED — Идет начальная синхронизация соединения.
- ESTABLISHED — Соединение установлено.
- CLOSE_WAIT — Удаленная сторона отключилась; ожидание закрытия сокета.
- FIN_WAIT_1 — Сокет закрыт; отключение соединения.
- CLOSING — Сокет закрыт, затем удаленная сторона отключилась; ожидание подтверждения.
- LAST_ACK — Удаленная сторона отключилась, затем сокет закрыт; ожидание подтверждения.
- FIN_WAIT_2 — Сокет закрыт; ожидание отключения удаленной стороны.
- TIME_WAIT — Сокет закрыт, но ожидает пакеты, ещё находящиеся в сети для обработки
Примечание
|
|
Что такое «сокет» поясняет рис. 11. Пример сокета – 194.86.6..54:21
Рис. 11. Сокет это № порта + IP адрес хоста
Практический пример. Обнаружение открытых на ПК портов утилитой Netstat
Для выполнения практического задания на компьютере необходимо выполнить команду Пуск-Выполнить. Откроется окно Запуск программы, в нем введите команду cmd (рис. 12).
Рис. 12. Окно Запуск программы
Чтобы вывести все активные подключения TCP и прослушиваемые компьютером порты TCP/ UDP введите команду netstat (рис. 13). Мы видим Локального адреса (это ваш ПК) прослушиваются 6 портов. Они нужны для поддержки сети. На двух портах мы видим режим ESTABLISHED — соединения установлены, т.е. сетевые службы работают (используются). Четыре порта используются в режиме TIME_WAIT — соединение ожидает разрыва.
Рис. 13. Список активных подключений на тестируемом ПК
Запустите на вашем ПК Интернет и зайдите, например на www.yandex.ru. Снова выполните команду netstat (рис. 14). Как видим, добавилось несколько новых активных портов с их различными состояниями.
Рис. 14. Активные подключения при работе ПК в Интернет
Команда netstat имеет следующие опции – табл. 1.
|
|
Таблица 1. Ключи для команды netstat | |
Опция (ключ) | Назначение |
-a | Показывать состояние всех сокетов; обычно сокеты, используемые серверными процессами, не показываются. |
-A | Показывать адреса любых управляющих блоков протокола, связанных с сокетами; используется для отладки. |
-i | Показывать состояние автоматически сконфигурированных (auto-configured) интерфейсов. Интерфейсы, статически сконфигурированные в системе, но не найденные во время загрузки, не показываются. |
-n | Показывать сетевые адреса как числа. netstat обычно показывает адреса как символы. Эту опцию можно использовать с любым форматом показа. |
-r | Показать таблицы маршрутизации. При использовании с опцией -s, показывает статистику маршрутизации. |
-s | Показать статистическую информацию по протоколам. При использовании с опцией -r, показывает статистику маршрутизации. |
-f семейство_адресов | Ограничить показ статистики или адресов управляющих блоков только указанным семейством_адресов, в качестве которого можно указывать:inet Для семейства адресов AF_INET,или unix Для семейства адресов AF_UNIX. |
-I интерфейс | Выделить информацию об указанном интерфейсе в отдельный столбец; по умолчанию (для третьей формы команды) используется интерфейс с наибольшим объёмом переданной информации с момента последней перезагрузки системы. В качестве интерфейса можно указывать любой из интерфейсов, перечисленных в файле конфигурации системы, например, emd1 или lo0. |
-p | Отобразить идентификатор/название процесса создавшего сокет (-p, —programs display PID/Program name for sockets) |
Программа NetStat Agent
|
|
Представьте ситуацию: ваше Интернет-соединение стало работать медленно, компьютер постоянно что-то качает из Сети. Вам поможет программа NetStat Agent. С ее помощью вы сможете найти причину проблемы и заблокировать ее. Иначе говоря, NetStat Agent — полезный набор инструментов для мониторинга Интернет соединений и диагностики сети. Программа позволяет отслеживать TCP и UDP соединения на ПК, закрывать нежелательные соединения, завершать процессы, обновлять и освобождать DHCP настройки адаптера, просматривать сетевую статистику для адаптеров и TCP/IP протоколов, а также строить графики для команд Ping иTraceRoute (рис. 15).
Рис. 15. Главное окно программы NetStat Agent
В состав программы NetStat Agent вошли следующие утилиты:
- NetStat — отслеживает TCP и UDP соединения ПК (при этом отображается географическое местоположение удаленного сервера и имя хоста).
- IPConfig — отображает свойства сетевых адаптеров и конфигурацию сети.
- Ping — позволяет проверить доступность хоста в сети.
- TraceRoute — определяет маршрут между вашим компьютером и конечным хостом, сообщая все IP-адреса маршрутизаторов.
- DNS Query — подключается к DNS серверу и находит всю информацию о домене (IP адрес сервера, MX-записи (Mail Exchange) и др.).
- Route — отображает и позволяет изменять IP маршруты на ПК.
- ARP — отслеживает ARP изменения в локальной таблице.
- Whois — позволяет получить всю доступную информацию об IP-адресе или домене.
- HTTP Checker — помогает проверить, доступны ли Ваши веб-сайты.
- Statistics — показывает статистику сетевых интерфейсов и TCP/IP протоколов.
Сканер портов Nmap (Zenmap)
|
|
Nmap — популярный сканер портов, который обследует сеть и проводит аудит защиты. Использовался в фильме «Матрица: Перезагрузка» при взломе компьютера. Наша задача не взломать, а защитить ПК, поскольку одно и то же оружие можно использовать как для защиты, так и для нападения. Иначе говоря, сканером портов nmap можно определить открытые порты компьютера, а для безопасности сети пользователям рекомендуется закрыть доступ к этим портам с помощью брандмауэра (рис. 16).
Рис. 16. Интерфейс программы Nmap
Обычно для того, чтобы просканировать все порты какого-либо компьютера в сети вводится команда nmap –p1-65535 IP-адрес_компьютера или nmap –sV IP-адрес компьютера, а для сканирования сайта — командаnmap –sS –sV –O -P0 адрес сайта.
Монитор портов TCPView
TCPView — показывает все процессы, использующие Интернет-соединения. Запустив TCPView, можно узнать, какой порт открыт и какое приложение его использует, а при необходимости и немедленно разорвать соединение – рис. 17.
Рис. 17. Главное окно программы TCPView
Просмотрите активные сетевые подключения локального ПК с помощью монитора портов tpiview. Определите потенциально возможные угрозы (какие порты открыты, и какие приложения их используют). При необходимости можно закрыть установленное приложением TCP-соединение или процесс правой кнопкой мыши.
Контрольные вопросы:
- Какие уязвимости ОС Windows были устранены в данной лабораторной работе и какими путями?
- Для чего используется утилита утилитой Netstat?
- Перечислите какие утилиты вошли в состав программы NetStat Agent? Для чего используется каждая из утилит?
- Для чего используется программа Nmap? TCPView?
Дата добавления: 2021-04-15; просмотров: 236; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!