iT邦幫忙

0

怪異tcp..netstat

螢幕忽然無預警一閃,很像是遠端遙控的那種閃法,我馬上下了netstat -an去查tcp...結果出現很奇怪的東西.....
TCP [::]:135 [::]:0 LISTENING
UDP [::]:3702 *:*
以往下這種指令並不會出現這些東西啊~~~下方是完整netstat -an的結果

TCP 192.168.1.12:53027 202.153.186.101:10092 ESTABLISHED
TCP 192.168.1.12:53097 69.171.229.36:443 TIME_WAIT
TCP 192.168.1.12:53131 66.220.149.50:443 ESTABLISHED
TCP 192.168.1.12:53135 60.199.168.203:25757 ESTABLISHED
TCP 192.168.1.12:53188 74.125.31.99:80 ESTABLISHED
TCP 192.168.1.12:53191 202.153.186.101:80 ESTABLISHED
TCP 192.168.1.12:53195 69.63.190.29:80 ESTABLISHED
TCP 192.168.1.12:53196 118.214.242.110:443 ESTABLISHED
TCP [::]:80 [::]:0 LISTENING
TCP [::]:135 [::]:0 LISTENING
TCP [::]:445 [::]:0 LISTENING
TCP [::]:49152 [::]:0 LISTENING
TCP [::]:49153 [::]:0 LISTENING
TCP [::]:49154 [::]:0 LISTENING
TCP [::]:49155 [::]:0 LISTENING
TCP [::]:49157 [::]:0 LISTENING
UDP 0.0.0.0:68 *:*
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:3702 *:*
UDP 0.0.0.0:4500 *:*
UDP 0.0.0.0:5355 *:*
UDP 0.0.0.0:49483 *:*
UDP 0.0.0.0:59680 *:*
UDP 127.0.0.1:53219 *:*
UDP 192.168.1.12:137 *:*
UDP [::]:500 *:*
UDP [::]:3702 *:*
UDP [::]:4500 *:*
UDP [::]:5355 *:*
UDP [::]:49484 *:*

cheaster iT邦新手 4 級 ‧ 2012-01-03 16:59:58 檢舉
你也可以用
netstat -ano

加上o,可以得知是哪個pid(處理程序id)所使用…

2 個回答

8
folkdancer
iT邦新手 3 級 ‧ 2012-01-03 15:10:55
最佳解答

那個寫法是IPV6 的網路位置
代表的是全為0 的未指定位址(等同於IPv4 的 0.0.0.0)
可以參考下面的內容

未指定位址
::/128- 所有位元皆為零的位址稱作未指定位址。這個位址不可指定給某個網路介面,並且只有在主機尚未知道其來源IP時,才會用於軟體中。路由器不可轉送包含未指定位址的封包。

如果比較擔心有異常連線,建議使用cports 或是WhatsRunning 等程式來觀看連線
這些程式除了連線資訊外也會包含是那支程式在進行連線或Listen

magician iT邦研究生 2 級 ‧ 2012-01-05 08:55:23 檢舉

原來有不錯的工具...來玩玩看..

6
chi0541
iT邦新手 4 級 ‧ 2012-01-04 23:58:41

直接下這個指令,netstat -anb,這樣就會知道那些程式開啟那些埠口.

看更多先前的回應...收起先前的回應...
magician iT邦研究生 2 級 ‧ 2012-01-05 08:56:43 檢舉

C:\Users\ANDY>netstat -anb
要求的作業需要提升的權限。

可我是系統管理者啊....要提升哪種權限??(win7)

cheaster iT邦新手 4 級 ‧ 2012-01-05 10:14:43 檢舉

有可能是要你使用「系統管理員身份」…

vista以後…只有administrator才是「系統管理者」…

不過,在下自己使用netstat -anb…系統也沒有提示要我提升權限…
不然你就在命令提示字元的圖示上按右鍵,點「以系統管理員身分執行」看看…

cheaster iT邦新手 4 級 ‧ 2012-01-05 10:20:19 檢舉

抱歉…上面的指令我給錯了…

是使用 netstat -ano
不是 netstat -anb

抱歉 netstat -anb 是可以在cmd下秀出那一個應用程式正在傾聽哪一個port…
因為這會讓系統主動對應出程式列表與名稱,的確所需要的層級要高一些…
而 netstat -ano 是秀出pid,看到pid使用「工作管理員」,在欄位中增加pid(處理程序識別碼)就可以對應了…只不過麻煩了點…

netstat -anb 比較省一點操作時間

magician iT邦研究生 2 級 ‧ 2012-01-05 11:26:10 檢舉

在命令提示字元的圖示上按右鍵,點「以系統管理員身分執行」可以出現訊息...
不過現在應該沒人在監控...所有port都正常...

所以現在帳號設系統管理也沒用喔~~~那administrator改名也會失效嗎?

其實使用netstat 來看listen 的port 及使用的程式是一種方法
但是如果要抓木馬或後門就不建議用這招
原因如下:
1.有時連線太多,資訊難以盤查(其實 cports 看到的資訊差不多,但是它可以過瀘掉某些連線,像我的opera 有時一次就開了幾十個連線看網頁,不過濾..整面都是opera...)
2.它只能顯示程式的檔名,但是不能顯示路徑,所以很難保証是"正確"的檔案(Whats Running 可以直接去看檔案資訊)
3.像是svchost.exe 可以對照去看是那些service 的dll 使用svchost.exe 來進行連線
但是基本的排查是ok 的,只是針對木馬或後門時略顯無力...

補回應...
現在很多木馬不會"一直"listen...
so....
帳號改名不影響權限,重點還是在所屬的群組...
如果會系統管理,還是可以加出Administrators 群組權限的user 的(XP 確定 Win7 我沒玩)

我要發表回答

立即登入回答