netstat

最新推荐文章于 2024-05-12 12:30:47 发布
最新推荐文章于 2024-05-12 12:30:47 发布
阅读量8.1k 收藏 1
点赞数 1
分类专栏: Linux Commands
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/duyiwuer2009/article/details/52728638
版权

子命令

  1. netstat: 不加子命令,可用 ss 代替;
    Display a list of open sockets.

  2. netstat -r: –route, 可用 ip route 代替;
    Display the kernel routing tables.

  3. netstat -i: –interface, 可用 ip -s link 代替;
    Display a table of all network interfaces, or the specified iface.

  4. netstat -s: –statistics
    Display summary statistics for each protocol.

  5. netstat -g: –groups, 可用 ip maddr 代替;
    Display multicast group membership information for IPv4 and IPv6.

常用选项

-a, –all: Show both listening and non-listening (for TCP this means established connections) sockets.(默认)
-l, –listening: Show only listening sockets.

–numeric , -n: Show numerical addresses instead of trying to determine symbolic host, port or user names.

-p, –program: Show the PID and name of the program to which each socket belongs.

-t, –tcp: Display only TCP sockets.
-u, –udp: Display only UDP sockets.
-x, –unix: Display only Unix domain sockets.
-d, –dccp: Display only DCCP sockets.
-w, –raw: Display only RAW sockets.

-c, –continuous: This will cause netstat to print the selected information every second continuously.(类似于 top)

netstat -np(-anp)

netstat -tnp(-tanp)
netstat -unp(-uanp)
netstat -xnp(-xanp)

netstat -tlnp
netstat -ulnp
netstat -xlnp

案例

找到攻击进程

  • 背景
    某天晚上,有台服务器被关闭对外所有端口并受到腾讯云的通知,大概意思是我们的服务器攻击其他服务器,出口端口为 22, 含有政策风险。因此,我们分析是这台服务器被安装了一个程序,被用来扫描外部服务器的 22 端口,也就是被当成肉鸡来尝试 ssh 登陆其他服务器。

  • netstat 找到攻击进程

# netstat -tnp | less 
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      1 10.144.66.170:49774     188.210.132.143:22      SYN_SENT    1420/bash           
tcp        0      1 10.144.66.170:57731     188.210.134.14:22       SYN_SENT    1420/bash           
tcp        0      1 10.144.66.170:45174     188.210.133.89:22       SYN_SENT    1420/bash           
tcp        0      1 10.144.66.170:33414     188.210.134.28:22       SYN_SENT    1420/bash           
tcp        0      1 10.144.66.170:59292     188.210.132.139:22      SYN_SENT    1420/bash           
tcp        0      1 10.144.66.170:50860     188.210.134.173:22      SYN_SENT    1420/bash           
tcp        0      1 10.144.66.170:52392     188.210.132.54:22       SYN_SENT    1420/bash           
tcp        0      1 10.144.66.170:33383     188.210.134.181:22      SYN_SENT    1420/bash           
tcp        0      1 10.144.66.170:37178     188.210.131.223:22      SYN_SENT    1420/bash           
tcp        0      1 10.144.66.170:55516     188.210.132.72:22       SYN_SENT    1420/bash           
tcp        0      1 10.144.66.170:37525     188.210.131.183:22      SYN_SENT    1420/bash           
tcp        0      1 10.144.66.170:59589     188.210.134.8:22        SYN_SENT    1420/bash           
tcp        0      1 10.144.66.170:47897     188.210.133.113:22      SYN_SENT    1420/bash           
tcp        0      1 10.144.66.170:35016     188.210.134.120:22      SYN_SENT    1420/bash           
tcp        0      1 10.144.66.170:38616     188.210.133.248:22      SYN_SENT    1420/bash           
tcp        0      1 10.144.66.170:58764     188.210.134.230:22      SYN_SENT    1420/bash           
tcp        0      1 10.144.66.170:40900     188.210.131.192:22      SYN_SENT    1420/bash           
tcp        0      1 10.144.66.170:42574     188.210.133.86:22       SYN_SENT    1420/bash           
tcp        0      1 10.144.66.170:48334     188.210.133.61:22       SYN_SENT    1420/bash           
tcp        0      1 10.144.66.170:37154     188.210.132.197:22      SYN_SENT    1420/bash           
tcp        0      1 10.144.66.170:34191     188.210.133.170:22      SYN_SENT    1420/bash           
tcp        0      1 10.144.66.170:55259     188.210.134.31:22       SYN_SENT    1420/bash           
tcp        0      1 10.144.66.170:47823     188.210.132.120:22      SYN_SENT    1420/bash           
tcp        0      1 10.144.66.170:32882     188.210.132.126:22      SYN_SENT    1420/bash           
tcp        0      0 10.144.66.170:46992     188.210.99.90:22        TIME_WAIT   -                   
tcp        0      1 10.144.66.170:39483     188.210.134.53:22       SYN_SENT    1420/bash           
tcp        0      1 10.144.66.170:51860     188.210.135.8:22        SYN_SENT    1420/bash           
tcp        0      1 10.144.66.170:50526     188.210.134.237:22      SYN_SENT    1420/bash           
tcp        0      1 10.144.66.170:43818     188.210.133.56:22       SYN_SENT    1420/bash           
tcp        0      1 10.144.66.170:48283     188.210.133.72:22       SYN_SENT    1420/bash           
tcp        0      1 10.144.66.170:54310     188.210.132.102:22      SYN_SENT    1420/bash           
tcp        0      1 10.144.66.170:57509     188.210.134.253:22      SYN_SENT    1420/bash           
tcp        0      1 10.144.66.170:56765     188.210.134.176:22      SYN_SENT    1420/bash           
tcp        0      1 10.144.66.170:59683     188.210.135.22:22       SYN_SENT    1420/bash           
tcp        0      1 10.144.66.170:37218     188.210.131.247:22      SYN_SENT    1420/bash           
tcp        0      1 10.144.66.170:37635     188.210.134.76:22       SYN_SENT    1420/bash

系统中存在大量的 SYN_SENT 状态的连接,并且目标端口是 22, 因此证实了我们的猜想,找到进程 pid 为 1420.
最后的原因是,以为新员工最近创建了一个 test 的用户,并且使用了弱密码,被攻击者用枚举的方式登陆了。

duyiwuer2009
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Netstat 命令
05-21
Netstat 命令 Netstat 命令是一种强大的网络命令工具,用于显示本地的 TCP 和 UDP 连接。在需要的时候,它可以和其他的 DOS 命令联合使用,例如域名解析和反解析命令 nslookup。 Netstat 命令的基本语法为:`...
Netstat命令详解
01-21
netstat 命令的详细说明,凑字数很困难,慢慢凑
netstat命令使用详解
walleva96的博客
03-03 6249
预备知识: 什么是UNIX域套接字 Unix域协议并不是一个实际的协议族,而是在单个主机上执行客户/服务通信的一种方式,是进程间通信(IPC)的一种方式。IP协议栈通过IP地址和端口号来标识客户服务器,UNIX域的协议栈则通过文件系统中的文件路径名来标识客户机和服务器的协议地址, 它提供了两类套接字:字节流套接字(STREAM, 类似TCP)和数据报套接字(DGRAM,类似UDP),UNIX域数据报服务是可靠的,不会丢失消息,也不会传递出错。比如,syslog中的消息服务器则通过**/dev/log文件名*
Linux_netstat命令详解
斗鹰的技术专栏
02-18 2141
netstat 是一款命令行工具,可用于列出系统上所有的网络套接字连接情况,包括 tcp, udp 以及 unix 套接字,另外它还能列出处于监听状态(即等待接入请求)的套接字。主要说一下关于netstat的一些常用参数。
netstat命令详解
最新发布
fengge55的博客
05-12 1342
netstat 是一款命令行工具,主要是用于列出系统上所有的网络套接字连接情况,包括 tcp, udp 以及 unix 套接字,另外它还能列出处于监听状态(即等待接入请求)的套接字。除此之外,netstat 命令还可用于显示路由表,接口状态 (Interface Statistics),masquerade 连接,多播成员 (Multicast Memberships) 等。一个正常的TCP连接,都会有三个阶段:1、TCP三次握手;2、数据传送;3、TCP四次挥手。
Netstat 最常用的指令(最全的查询)
huang714的专栏
12-08 3962
Netstat 最常用的指令(最全的查询)
Linux之netstat命令详解
热门推荐
一口Linux的专栏
08-26 2万+
netstat命令用于显示与IP、TCP、UDP和ICMP协议相关的统计数据,一般用于检验本机各端口的网络连接情况。netstat是在内核中访问网络及相关信息的程序,它能提供TCP连接,TCP和UDP监听,进程内存管理的相关报告。 TCP连接状态详解 LISTEN: 侦听来自远方的TCP端口的连接请求 SYN-SENT: 再发送连接请求后等待匹配的连接请求 SYN-RECEIVED:再收到和发送一个连接请求后等待对方对连接请求的确认 ESTABLISHED: 代表一个打开的连接 FIN-WA.
Linux netstat命令详细解析
09-15
Linux中的`netstat`命令是网络管理员和开发者常用的工具,用于查看系统的网络状态,包括活动的网络连接、路由表、接口统计以及多播成员等信息。这个命令可以帮助诊断网络问题,监控服务器性能,查找可能的安全隐患。...
Netstat命令使用详解
10-01
主要介绍了Netstat命令使用详解,Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据,一般用于检验本机各端口的网络连接情况,需要的朋友可以参考下
netstat命令
09-27
**netstat命令详解** 在计算机网络管理中,`netstat`(Network Statistics)是一个非常实用的命令行工具,它能够显示当前系统网络连接的状态、路由表、接口统计等信息,帮助用户了解网络运行的情况,诊断网络问题。...
Linux下netstat命令的一些常见用法
09-15
Netstat命令是Linux系统中一个非常重要的网络诊断工具,它能够提供关于网络连接、路由表、接口状态等网络相关信息的实时查看。在本文中,我们将深入探讨netstat命令的一些常见用法,帮助用户更好地理解和利用这个...
Linux netstat命令详解.pdf
09-12
从整体上看,netstat的输出结果可以分为两个部分: 一个是Active Internet connections,称为有源TCP连接,其中"Recv-Q"和"Send-Q"指 的是接收队列和发送队列。这些数字一般都应该是0。如果不是则表示软件包正在...
dos.rar_netstat
09-21
本资料"dos.rar_netstat"主要关注的是两个DOS命令:`netstat`和`tasklist`,它们是网络监控和进程管理的实用工具。 `netstat`(Network Statistics)命令是网络管理员常用的工具,用于显示网络连接、路由表、接口...
histstat:netstat的历史记录
05-09
它会显示有关网络连接的有用信息,诸如netstat之类的实用程序通常不会向您提供这些信息,例如建立连接的时间,创建连接的确切命令以及建立连接的用户。 Windows用户注意事项:除非您以NT AUTHORITY\SYSTEM身份运行...
netstat命令简单的使用
问芙的博客
03-11 1572
本文简单总结一下使用netstat对端口号、进程名称、进程ID进行互查netstat命令,全称是network statistics,即网络统计若只知道,端口号、进程名称、进程ID其中之一,那如何进行互查?
netstat原理分析
qq_53058639的博客
08-15 611
netstat 是一款命令行工具,主要是用于列出系统上所有的网络套接字连接情况,包括 tcp, udp 以及 unix套接字,另外它还能列出处于监听状态(即等待接入请求)的套接字。除此之外,netstat 命令还可用于显示路由表,接口状态 (InterfaceStatistics),masquerade 连接,多播成员 (Multicast Memberships)等。
netstat 基本使用方法
玛卡巴卡的博客
08-25 6206
linux 下 netstat 指令的基本使用
netstat win
03-03
Netstat是一个用于显示网络连接和网络统计信息的命令行工具。在Windows系统中可以使用netstat命令来查看当前系统的网络连接状态、监听端口以及网络接口的统计信息等。 以下是netstat命令的一些常用选项和功能: 1. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值