常用参数
# 协议相关
- t : tcp连接
-u : UDP连接
- row: RAW类型
-- uninx: UNIX域类型
--ax25:AX25类型
--ipx:IPX类型
--netrom:netrom类型
#网卡相关 和路由
-i: 列出所有网卡
-r: 显示路由信息
-g:显示多重官博功能的群组组员名单那
# 其他
-a: 显示所有连接
-l:显示监听状态下的Socket
-p:显示程序名称和PID
-s: 显示统计信息
-n:使用IP名称显示,不使用域名
-c:持续输出网络状态
状态说明
CLOSED:无连接状态
LISTEN:处于监听状态,等待接入
ESTABLISHED:正常传输数据,打开了一个连接,这中状态需要特别注意,如果被入侵留下后门,一般都会建立持续的连接,会是这个状态
SYN-SENT:发送数据包,一般中招的服务器,可能有病毒程序进行端口探测然后寻找新的存在漏洞主机,window下中了勒索会在445端口持续发包
SYN-RECEVIED:接收或者收到一个连接请求后,等待连接方的请求确认,如果发现有大量的这种状态,可能是flood攻击
LAST-ACK:LAST_ACKTCP状态是TCP建立链接过程中的等待原来的发向远程TCP的连接中断请求的确认状态,出现这个也需要排查是否被攻击
FIN-WAIT-1:等待远程TCP连接中断请求,或先前的连接中断请求的确认
FIN-WAIT-2:从远程TCP等待连接中断请求
CLOSE-WAIT:等待从本地用户发来的连接中断请求
TIME-WAIT:等待足够的时间以确保远程TCP接收到连接中断请求的确认
常用组合
#应急使用
netstat -anplt
# 查看网卡列表
netstat -i
#显示 路由信息
netstat -r
route -n
#列出端口
列出所有端口: netstat -a
列出所有tcp端口: netstat -at
列出所有udp端口: netstat -au
# 列出监听状态下的连接
只显示监听端口: netstat -l
只列出所有监听tcp端口: netstat -lt
只列出所有监听udp端口: netstat -lu
只列出所有监听UNIX端口: netstat -lx
# 列出每个协议下的统计信息,显示 TCP 或 UDP 端口的统计信息
netstat -s
netstat -st
netstat -su
#每隔2秒输出一次网络信息
netstat -t -c 2
一些需要被重视的状态
- flood攻击:SYN-RECEVIED
- 勒索病毒攻击:SYN-SEND 445端口,或者其他端口持续的大量的SYN-SEND都需要注意i
- ESTABLISHED ,LISTEN,LAST-ACK:需要重点排查对应的端口和程序,以及连接的IP地址,确认是否安全
1255
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
