دنياي شبكه

Netstat Command چيست؟

Netstat مانند دستور Netch يك ابزار خدماتي در سيستم عامل ويندوز مي باشد كه مانند يك دستور خارجي Command Prompt ويندوز عمل ميكند. اين دستور داراي يك فايل اجرايي به نام Netstat.exe است كه در پوشه Windows قرار دارد و در مجموع جهت نمايش تمامي ارتباطات كاربران در شبكه كه شامل پورت ها, آدرس ها ي آي پي، سيستم هايي كه با ما ارتباط دارند، به كار گرفته ميشوند.

به طور كلي در عصر فناوري و تكنولوژي امروزه ابزارها و نرم افزارهاي گوناگون ديگري مانند X Netstat وجود دارد كه تمام اطلاعات و ديتا دستور Netstat را به صورت گرافيكي در محيط ويندوز به شما نمايش ميدهد. با اين حال همچنان اين دستور آموزش Netstat بسيار كاربردي تر و دم دست تر از ساير ابزار هاي گرافيكي است.

 آموزش دستور Netstat:

در محيط CMD كه مخفف شده عبارت Command Prompt عمل ميكند و نتايج و خروجي دستور نيز در همان محيط قابل مشاهده است. دستورات اجرايي همان ابزار Netstat است كه بعد از وارد كردن آن در محيط سي ام دي اطلاعات و ديتاهايي از جمله آدرس آي پي به همراه پورت هاي ارتباطي بين سيستم هاي شما و سيستم هاي ديگر، وضعيت پورت ها و … را به نمايش مي گذارد. در تصوير ما اطلاعاتي را وارد كرده ايم و دستوراتي را به ما نمايش داده است كه در ادامه به توضيحات آن ميپردازيم.

بعد از واردكردن دستورات به صورت پيش فرض به طور كلي شما چهار ستون اصلي را در صفحه مشاهده ميكنيد كه به شرح زير است:

ـ Poroto: ستون Poroto پروتكل ارتباطي بين سيستم شما و سيستم مقصد را نمايش ميدهد.

ـ Local ADDress: آدرس IP فعلي كه كاربران كه درگير ارتباط با سيستم ديگري هستند در ستون Local ADDress نمايش داده ميشود.

ـ Foreign Address: آدرس و پورت ارتباطي سيستم مقصد با سيستم شما در اين ستون نمايش داده ميشود.

ـ State: وضعيت ارتباطات در ستون State به نمايش در خواهد آمد كه نشانه عملياتي هاي فعلي آن پورت مي باشد. اين ستون حالت هاي گوناگوني دارد كه در ادامه مقاله به آن ميپردازيم.

حالات و وضعيت هاي State در دستور Netstat:

1. CLOSED: زماني كه سرور يك سيگنال ACK از كلاينت دريافت كرده و اتصال كاملا بسته مي‌شود، اين وضعيت به نمايش CLOSED در خواهد آمد.
2. CLOSED_WAI: زماني كه از سمت كلاينت، پايان دادن به ارتباط يك سيگنال FIN ارسال مي‌شود، به وضعيت CLOSED_WAI تبديل خواهد شد.
3. ESTABLISHED: زماني كه سيگنال SYN از سمت كلاينت به سرور ارسال شده و ارتباط به صورت كامل برقرار مي‌شود وضعيت ESTABLISHED به وجود مي آيد.
4. FIN_WAIT1: در اين وضعيت ارتباط برقرار است و سيگنالي مبني بر بسته شدن ارتباط دريافت نشده است.
5. FIN_WAIT2: پس از مدتي كه ارتباط در سرور از سمت كلاينت در انتظار بسته شدن مي‌باشد و همچنان سيگنال FIN دريافت نشده است اين وضعيت نمايش داده مي‌شود.
6. LAST_ACK: هنگامي كه سرور در حال ارسال سيگنال FIN خود به سمت كلاينت مي‌باشد اين وضعيت نمايان خواهد شد.
7. LISTENING: در اين وضعيت، سرور آماده دريافت و برقراري ارتباط با كلاينت است.
8. SYN_RECEIVED: در اين حالت سرور تنها سيگنال SYN را از طرف كلاينت دريافت كرده است.
9. SYN_SEND: در اين وضعيت كلاينت درخواست باز كردن و فعال شدن ارتباط را داده است.
10. TIME_WAIT: اين وضعيت در هنگامي نمايش داده مي‌شود كه ارتباط بين كلاينت و سرور شناخته شده ولي ارتباط به صورت كامل برقرار نشده است.

وضعيت‌هايي كه در بالا توضيح داديم، تمام وضعيت‌هايي بود كه ممكن است شما در هنگام وارد كردن دستور Netstat مشاهده كنيد، اما شما به بيشتر از سه الي چهار وضعيت برخورد نخواهيد كرد و بقيه حالت ها به سرعت رد ميشود و بيشتر با سرور مرتبط است.

كاربرد دستور Netstat:

براي بهتر متوجه شدن كاربرد اين دستور آن را با يك مثال توضيح ميدهيم. براي مثال بعد از وارد كردن اين دستور در صورتي كه ديديد از يك IP خاص در بخش Foreign بر روي يك پورت بي ربط ارتباطي برقرار است، شما متوجه خواهيد شد كه اطلاعات و ديتا هايي از سيستم شما در حال جابه‌جا شدن است كه ممكن است با كمي تحقيق متوجه تروجان و يا بدافزار سيستم شويد.

به عنوان مثال تروجاني با نام sub8 از پورت 28384 استفاده مي‌كند و اگر در بخش Foreign Address يك آدرس بيگانه و ناشناس با پورت ذكر شده به شما متصل شده و وضعيت در حال listening است بدانيد اين تروجان در حال فعاليت بر روي سيستم شما مي‌باشد.

پارامترهاي Netstat:

a: تمامي ارتباط‌هاي شبكه سيستم خود را به صورت كامل دريافت خواهيد كرد.

B: نمايش نام برنامه‌هايي كه ارتباطات را ايجاد كرده اند؛ تمامي برنامه‌هاي ويندوز در هنگام اتصال به اينترنت در اين بخش نمايش داده خواهد شد.

E: نمايش وضعيت ارسال و دريافت بسته ها را نشان ميدهد.

F: نام كامل دامنه ( FQDN ) آدرس‌هاي خارجي كه به سيستم شما متصل هستند.

N: ليستي از تمام آدرس هاي TCP كه در حال حاضر برقرار است به صورت عددي استفاده ميشود.

o: جهت نمايش Proccess ID ارتباط‌ها را نمايش ميدهد.

p: اين دستور پروتكل‌هاي TCP ، UDP ، TCPv6 ، UDPv6 ، ICMP و ICMPv6 را پشتيباني مي‌كند.

r: اين دستور جدول مسيريابي ويندوز شما را نمايش مي‌دهد. ( اين دستور همانند route print عمل مي‌كند )

S: پارامتر s يك آمار كلي از وضعيت ارتباط و داده‌هاي دريافتي و ارسالي را  نمايش مي‌دهد. اين دستور همراه با پارمتر p فيلتر خوبي براي نمايش وضعيت يك پروتكل و ارتباط خاص است.

T: ارتباطات offload را نمايش مي‌دهد.

V: فعاليت هرگونه ارتباي شما در شبكه را به شما نمايش مي‌دهد.

منبع : 

آموزش كامل Netstat Command