وصف أمر NETSTAT (إحصائيات اتصالات TCP النشطة). مراقبة الشبكة باستخدام الأدوات المساعدة TCPView وnetstat

14.04.2019

    الفريق نتستاتتم تصميمه للحصول على معلومات حول حالة اتصالات الشبكة ومنافذ TCP وUDP التي يتم الاستماع إليها على هذا الكمبيوتر، بالإضافة إلى عرض البيانات الإحصائية حول واجهات الشبكة والبروتوكولات.

تنسيق سطر الأوامر:

NETSTAT [-a] [-b] [-e] [-f] [-n] [-o] [بروتوكول -p] [-r] [-s] [-t] [فاصل زمني]

خيارات سطر الأوامر:

- يعرض كافة الاتصالات ومنافذ الانتظار.
- يعرض الملف القابل للتنفيذ المتضمن في إنشاء كل اتصال، أو منفذ الاستماع. في بعض الأحيان تحتوي الملفات القابلة للتنفيذ المعروفة على مكونات مستقلة متعددة. ثم يتم عرض تسلسل المكونات المشاركة في إنشاء الاتصال أو منفذ الانتظار. في هذه الحالة، يكون اسم الملف القابل للتنفيذ في الأسفل بين قوسين، وفي الجزء العلوي يوجد المكون الذي يستدعيه، وهكذا حتى يتم الوصول إلى TCP/IP. يرجى ملاحظة أن هذا الأسلوب قد يستغرق وقتًا طويلاً ويتطلب أذونات كافية.
- عرض إحصائيات إيثرنت. يمكن استخدامه مع الخيار -s.
-F- يعرض اسم المجال المؤهل بالكامل (FQDN) للعناوين الخارجية.
- عرض العناوين وأرقام المنافذ بتنسيق رقمي.
- عرض رمز العملية (ID) لكل اتصال.
بروتوكول -p- يعرض اتصالات البروتوكول المحدد بواسطة هذه المعلمة. القيم الصالحة هي TCP أو UDP أو TCPv6 أو UDPv6. يُستخدم مع المعلمة -s لعرض إحصائيات البروتوكول. القيم الصالحة هي IP أو IPv6 أو ICMP أو ICMPv6 أو TCP أو TCPv6 أو UDP أو UDPv6.
- عرض محتويات جدول الطريق.
- عرض إحصائيات البروتوكول. افتراضيًا، يتم عرض إحصائيات بروتوكولات IP وIPv6 وICMP وICMPv6 وTCP وTCPv6 وUDP وUDPv6. يتيح لك الخيار -p تحديد مجموعة فرعية من المخرجات.
- عرض الاتصال الحالي في حالة نقل الحمل من المعالج إلى محول الشبكة أثناء نقل البيانات ("إلغاء التحميل").
-الخامس- إخراج المعلومات التفصيلية، إن أمكن.
فاصلة- تكرار إخراج البيانات الإحصائية في فترة زمنية محددة بالثواني. لإيقاف إخراج البيانات، اضغط على CTRL+C. إذا لم يتم تحديد المعلمة، فسيتم عرض معلومات حول التكوين الحالي مرة واحدة.

في الممارسة العملية، فائدة netstat.exeمناسب للاستخدام في سلسلة مع أوامر إخراج الصفحة ( أكثر)، إعادة توجيه الإخراج القياسي إلى ملف ( > ) والبحث عن نص في نتائج الإخراج ( يجد).

نتستت -أ | أكثر- عرض جميع الاتصالات في وضع العرض صفحة تلو الأخرى.

نتستت -a -n| أكثر- كما هو الحال في المثال السابق، ولكن مع عرض أرقام المنافذ وعناوين IP بتنسيق رقمي. على عكس المثال السابق، الأمر netstatمع المعلمة يعمل بشكل أسرع بكثير.

نتستت -a -f | أكثر- نفس المثال السابق ولكن مع عرض أسماء DNS الكاملة للعقد المشاركة في الاتصال.

netstat -a > C:\netstatall.txt- عرض كافة الاتصالات وتسجيل النتائج في الملف C:\netstatall.txt.

نتستت -أ | العثور على / أنا "الاستماع"- عرض كافة الاتصالات مع حالة الاستماع، أي. عرض قائمة بواجهات الشبكة والمنافذ التي تستمع للاتصالات الواردة (منافذ "الاستماع"). مفتاح /أنافي فريق يجديشير إلى أنه عند البحث عن نص، ليس من الضروري مراعاة حالة الأحرف.

نتستت -أ | ابحث عن /I "الاستماع" > C:\listening.txt- عرض جميع الاتصالات بحالة الاستماع وكتابة النتائج في الملف C:\listening.txt.

مثال للمعلومات المعروضة:

اتصالات نشطة

اسم- اسم البروتوكول.

العنوان المحلي- عنوان IP المحلي المشارك في الاتصال أو المرتبط بالخدمة في انتظار الاتصالات الواردة (الاستماع إلى المنفذ). إذا تم عرض 0.0.0.0 كعنوان، فهذا يعني "أي عنوان"، أي أنه يمكن استخدام جميع عناوين IP الموجودة على جهاز كمبيوتر معين في الاتصال. العنوان 127.0.0.1 عبارة عن واجهة استرجاع تُستخدم كوسيلة لبروتوكول IP للاتصال بين العمليات دون نقل البيانات فعليًا.

العنوان الخارجيعنوان IP الخارجي المتضمن في إنشاء الاتصال.

ولاية- حالة الإتصال. ولاية الاستماعيشير إلى أن شريط الحالة يعرض معلومات حول خدمة الشبكة التي تنتظر الاتصالات الواردة عبر البروتوكول المناسب للعنوان والمنفذ المعروضين في عمود "العنوان المحلي". ولاية مقرريشير إلى اتصال نشط. في عمود "الحالة" للاتصالات عبر بروتوكول TCP، يمكن عرض المرحلة الحالية من جلسة TCP، والتي يتم تحديدها من خلال معالجة قيم العلامة في رأس حزمة TCP (Syn، Ask، Fin ...). الحالات المحتملة:

مغلق انتظر- في انتظار إغلاق الاتصال.
مغلق- الاتصال مغلق.
مقرر- تم تأسيس الاتصال.
الاستماع- من المتوقع الاتصال (منفذ الاستماع)
وقت الانتظار- تجاوز زمن الاستجابة.

يتم عرض اسم وحدة البرنامج المرتبطة بهذا الاتصال إذا تم تحديد المعلمة في سطر الأوامر عند تشغيل netstat.exe.

نتستت -أ-ب- الحصول على قائمة بجميع اتصالات الشبكة والبرامج ذات الصلة.

تأسيس بروتوكول التعاون الفني 192.168.0.3:3389 89.22.52.11:5779
كريبتسفك

يعرض هذا المثال معلومات حول الاتصال الذي تشارك مكونات البرنامج في إنشائه. كريبتسفكو ملف ملف Svchost.exe.

نتستت-أب- يمكن دمج معلمات سطر الأوامر. معامل -أبمقابل -أ -ب

نتستت -e- تلقي البيانات الإحصائية للتبادل عبر بروتوكول إيثرنت. يعرض إجمالي قيم البايتات المستلمة والمستلمة لجميع محولات شبكة Ethernet.

إحصائيات الواجهة

نتستت -e -v- بالإضافة إلى الإحصائيات الموجزة، يتم عرض معلومات حول تبادل البيانات من خلال واجهات الشبكة الفردية.

نتستت -e -s- بالإضافة إلى إحصائيات Ethernet، يتم عرض إحصائيات بروتوكولات IP وICMP وTCP وUDP

إحصائيات الواجهة

إحصائيات IPv4

تم استلام الحزم
تم تلقي أخطاء الرأس
تم تلقي أخطاء في العناوين
تم إرسال مخططات البيانات

تم إسقاط الحزم المستلمة

طلبات السحب
الطرق المهملة
انخفضت حزم الإخراج

التجمع المطلوبة
بناء ناجح
بناء الفشل


شظايا تم إنشاؤها
= 10877781
= 0
= 27307
= 0
= 0
= 448
= 11384479
= 11919871
= 0
= 1517
= 6
= 0
= 0
= 0
= 5918
= 0
= 11836

إحصائيات IPv6

تم استلام الحزم
تم تلقي أخطاء الرأس
تم تلقي أخطاء في العناوين
تم إرسال مخططات البيانات
تم استلام بروتوكولات غير معروفة
تم إسقاط الحزم المستلمة
تم تسليم الطرود المستلمة
طلبات السحب
الطرق المهملة
انخفضت حزم الإخراج
حزم الإخراج بدون طريق
التجمع المطلوبة
بناء ناجح
بناء الفشل
تم تجزئة مخطط البيانات بنجاح
فشل تجزئة مخطط البيانات
شظايا تم إنشاؤها
= 0
= 0
= 0
= 0
= 0
= 0
= 391
= 921
= 0
= 0
= 14
= 0
= 0
= 0
= 0
= 0
= 0

إحصائيات ICMPv4

إحصائيات ICMPv6

إحصائيات TCP لـ IPv4

إحصائيات TCP لـ IPv6

إحصائيات UDP لـ IPv4

إحصائيات UDP لـ IPv6

netstat -s -p icmp- الحصول على الإحصائيات فقط عبر بروتوكول ICMP

مثال على الإحصائيات المعروضة:

إحصائيات ICMPv4

لاستقصاء حالة اتصالات الشبكة بشكل دوري، يتم تشغيل البرنامج، مع الإشارة إلى الفاصل الزمني لعرض البيانات الإحصائية بالثواني.

نتستت -e 3- عرض إحصائيات إيثرنت على فترات 3 ثانية.

نتستت – ف 10- عرض إحصائيات اتصال الشبكة كل 10 ثوانٍ باستخدام أسماء مضيفي DNS الكاملة.

نتستت-ن 5 | ابحث عن /i "تم التأسيس"- عرض إحصائيات الاتصالات القائمة كل 5 ثواني.


أرز. 19.12.

لسرد جميع اتصالات TCP النشطة ومنافذ TCP/UDP التي يستمع إليها الكمبيوتر، أدخل الأمر netstat(الشكل 19.13). نرى العناوين المحلية (هذا هو جهاز الكمبيوتر الخاص بك) تستمع إلى 6 منافذ. هناك حاجة إليها لدعم الشبكة. على منفذين نرى الوضع مقرر- يتم إنشاء الاتصالات، أي. خدمات الشبكة قيد التشغيل (قيد الاستخدام). يتم استخدام أربعة منافذ في الوضع وقت الانتظار- الاتصال في انتظار قطعه.


أرز. 19.13.

قم بتشغيل الإنترنت على جهاز الكمبيوتر الخاص بك وانتقل، على سبيل المثال، إلى www.yandex.ru. قم بتشغيل الأمر مرة أخرى netstat(الشكل 19.14). كما ترون، تمت إضافة العديد من المنافذ النشطة الجديدة بحالاتها المختلفة.


أرز. 19.14.

فريق netstatلديه الخيارات التالية - الجدول. 10.1.

الجدول 19.1. مفاتيح الأمر netstat
الخيار (المفتاح) غاية
إظهار حالة جميع المقابس؛ عادةً، لا يتم عرض المقابس المستخدمة بواسطة عمليات الخادم.
إظهار عناوين أي كتل تحكم في البروتوكول مرتبطة بالمقابس؛ تستخدم لتصحيح الأخطاء.
-أنا إظهار حالة الواجهات التي تم تكوينها تلقائيًا. لا يتم عرض الواجهات التي تم تكوينها بشكل ثابت على النظام ولكن لم يتم العثور عليها أثناء التمهيد.
إظهار عناوين الشبكة كأرقام. عادةً ما يعرض netstat العناوين كأحرف. يمكن استخدام هذا الخيار مع أي تنسيق عرض.
عرض جداول التوجيه. عند استخدامه مع الخيار -s، يعرض إحصائيات التوجيه.
عرض معلومات إحصائية عن البروتوكولات. عند استخدامه مع الخيار -r، يعرض إحصائيات التوجيه.
-f عنوان_العائلة قصر عرض الإحصائيات أو عناوين كتلة التحكم على عنوان_العائلة المحدد فقط، والذي يمكن أن يكون:

آينتلعائلة من العناوين AF_INET,

أو يونيكسلعائلة من العناوين AF_UNIX.
-أنا واجهة حدد معلومات حول الواجهة المحددة في عمود منفصل؛ افتراضيًا (بالنسبة للشكل الثالث من الأمر)، يتم استخدام الواجهة التي تحتوي على أكبر قدر من المعلومات المنقولة منذ آخر عملية إعادة تشغيل للنظام. يمكن أن تكون الواجهة أيًا من الواجهات المدرجة في ملف تكوين النظام، على سبيل المثال، emd1 أو lo0.
اعرض معرف/اسم العملية التي أنشأت المقبس (-p, --programs يعرض اسم PID/البرنامج للمآخذ)

برنامج وكيل NetStat

تخيل الموقف: أصبح اتصالك بالإنترنت بطيئًا، ويقوم جهاز الكمبيوتر الخاص بك بتنزيل شيء ما من الإنترنت باستمرار. سيساعدك برنامج NetStat Agent. بمساعدتها، يمكنك العثور على سبب المشكلة وحظرها. بعبارة أخرى، وكيل نتستات- مجموعة مفيدة من الأدوات لمراقبة اتصالات الإنترنت وتشخيص الشبكة. يتيح لك البرنامج مراقبة اتصالات TCP وUDP على جهاز الكمبيوتر، وإغلاق الاتصالات غير المرغوب فيها، وإنهاء العمليات، وتحديث وإصدار إعدادات محول DHCP، وعرض إحصائيات الشبكة للمحولات وبروتوكولات TCP / IP، وكذلك إنشاء الرسوم البيانية للأوامر بينغو تتبع الطريق(الشكل 19.15).


أرز. 19.15.

يتضمن برنامج NetStat Agent الأدوات المساعدة التالية:

  • نتستات- يراقب اتصالات TCP وUDP للكمبيوتر الشخصي (يعرض هذا الموقع الجغرافي للخادم البعيد واسم المضيف).
  • تكوين IP- يعرض خصائص محولات الشبكة وتكوين الشبكة.
  • بينغ- يسمح لك بالتحقق من توفر المضيف على الشبكة.
  • تتبع الطريق- يحدد المسار بين جهاز الكمبيوتر الخاص بك والمضيف الوجهة، مع الإبلاغ عن جميع عناوين IP الخاصة بأجهزة التوجيه.
  • استعلام DNS- يتصل بخادم DNS ويجد جميع المعلومات المتعلقة بالمجال (عنوان IP للخادم، وسجلات MX (تبادل البريد)، وما إلى ذلك).
  • طريق- يعرض ويسمح لك بتغيير مسارات IP على جهاز الكمبيوتر الخاص بك.
  • ARP- يراقب تغييرات ARP في الجدول المحلي.
  • الذي هو- يتيح لك الحصول على جميع المعلومات المتاحة حول عنوان IP أو المجال.
  • مدقق HTTP- يساعدك على التحقق مما إذا كان يمكن الوصول إلى مواقع الويب الخاصة بك.
  • إحصائيات- يعرض إحصائيات واجهات الشبكة وبروتوكولات TCP/IP.

ماسح منفذ Nmap (Zenmap)

نمابهو ماسح ضوئي شائع للمنافذ يقوم بمسح الشبكة وإجراء عمليات تدقيق الأمان. تم استخدامه في فيلم "The Matrix Reloaded" أثناء اختراق الكمبيوتر. مهمتنا ليست الاختراق، ولكن حماية جهاز الكمبيوتر، حيث يمكن استخدام نفس السلاح للدفاع والهجوم. وبعبارة أخرى، ماسح ضوئي للميناء nmapيمكنك تحديد المنافذ المفتوحة لجهاز الكمبيوتر، ولأمان الشبكة، يُنصح المستخدمون بحظر الوصول إلى هذه المنافذ باستخدام جدار الحماية (الشكل 19.16).


أرز. 19.16.

عادةً، من أجل فحص جميع منافذ الكمبيوتر على الشبكة، أدخل الأمر نماب –p1-65535 عنوان IP_الكمبيوتر أو nmap –sV عنوان IP للكمبيوتر،ولمسح الموقع - الأمر nmap –sS –sV –O -P0 عنوان الموقع.

مراقب منفذ TCPView

TCPView- يعرض كافة العمليات باستخدام اتصالات الإنترنت. إطلاق TCPView، يمكنك معرفة المنفذ المفتوح والتطبيق الذي يستخدمه، وإذا لزم الأمر، قم بإنهاء الاتصال على الفور -

20/02/2004 روجر غرايمز

دعنا نقول "توقف!" برامج معادية!

من بين الأسئلة التي يتعين على المتخصصين في مجال الأمن الإجابة عليها غالبًا هي: "إذا وجدت منفذًا مفتوحًا على نظامي، فهل يعني ذلك أن لدي بالفعل حصان طروادة؟" تمتلئ القوائم البريدية الأمنية بتنوعات حول هذا الموضوع، والإجابة على كل هذه الأسئلة هي نفسها دائمًا: تتبع رقم المنفذ مرة أخرى إلى البرنامج الذي فتحه، ثم تحقق من هذا البرنامج. تسمى عملية تتبع المنفذ المفتوح إلى البرنامج الذي فتحه بالمطابقة. بالطبع، تفترض هذه الإجابة أن المستخدم على دراية جيدة بأرقام المنافذ، وأن لديه وسيلة مناسبة للحصول على قائمة بالمنافذ المفتوحة، وأنه يستطيع تحديد ما إذا كان البرنامج الموجود خطيرًا. دعونا نلقي نظرة أولاً على مشكلة تحديد المنافذ المفتوحة بشكل عام، وبعد ذلك سأقدم أداة فحص المنافذ الـ 11 لبيئة Windows.

البرنامج التعليمي لبروتوكولات TCP/UDP

للتحقق من حالة المنفذ، يجب أن يكون لديك بعض الفهم لبروتوكول TCP/IP واتصالات الشبكة. حاليًا، يتم استخدام بروتوكول شبكة TCP/IP عالميًا تقريبًا لتنظيم الاتصال بين أجهزة الكمبيوتر. أهم بروتوكولي نقل المستوى الأعلى لـ TCP/IP (الاتصال البيني للنظام المفتوح، OSI، الطبقة 4) هما TCP وUDP. عادةً ما يكون أحد هذين البروتوكولين مكلفًا بنقل المعلومات المتبادلة بين جهازي كمبيوتر (أو عمليتين على نفس النظام). يقوم كل من TCP وUDP بتفويض وظيفة توجيه الحزم من كمبيوتر إلى آخر إلى بروتوكول IP ذي المستوى الأدنى. من بين البيانات الأخرى، يحتوي رأس حزمة IP على عنوان IP المصدر بالإضافة إلى عنوان IP الوجهة (أو عناوين البث المتعدد أو البث عند الضرورة) لجهازي الكمبيوتر، بالإضافة إلى رقم البروتوكول (على سبيل المثال 6 لـ TCP و17 لـ UDP) . يقوم بروتوكول الطبقة السفلية - IP - بتوجيه الحزمة عبر شبكة منطقية من الجهاز المصدر إلى الجهاز المتلقي. عندما تصل الحزمة إلى وجهتها، تتجاهل حزمة IP المرتبطة ببطاقة NIC إطار حزمة IP وتفحص بروتوكول الطبقة العليا (أي TCP أو UDP). تم توضيح الاختلافات بين بروتوكولي TCP وUDP في الشريط الجانبي "UDP وTCP".

حول المنافذ

تحتوي حزم TCP وUDP على أرقام منافذ المصدر والوجهة. المنفذ هو نقطة إدخال/إخراج تربط الشبكة بتطبيق (أو خدمة أو برنامج خفي). تحتوي المنافذ على أرقام من 0 إلى 65535. وقد تم اختيار نظام الترقيم هذا لأن رؤوس حزم TCP وUDP تخصص 16 (216) بت لأرقام منفذ المصدر والوجهة (216 يتوافق مع 65336 رقم منفذ محتمل). يعد ترقيم نقاط الإدخال/الإخراج طريقة ملائمة لمساعدة كل من أجهزة الكمبيوتر والمستخدمين على تتبع المنفذ الذي ينتمي إلى أي برنامج.

في فجر عصر الإنترنت، قررت هيئة الإنترنت للأرقام المخصصة (IANA)، المسؤولة عن تخصيص الأرقام، حجز أرقام المنفذ 1024 الأولى (أي الأرقام من 0 إلى 1023) للكيانات الطالبة. تقوم IANA بتخصيص ما يسمى بأرقام المنافذ المعروفة (تظهر بعض أرقام المنافذ النموذجية المعروفة في الجدول 1). على الرغم من أن جميع قوائم أرقام المنافذ المعروفة تقريبًا أصبحت الآن قديمة ولم تعد دقيقة بنسبة 100%، إلا أن أرقام المنافذ الشائعة للخدمات والبروتوكولات الأكثر استخدامًا ظلت كما هي لأكثر من 10 سنوات.

تسمى أرقام المنافذ من 1024 إلى 49151 بأرقام المنافذ المسجلة، وتسمى المنافذ من 49152 إلى 65535 بأرقام المنافذ الديناميكية أو الخاصة. عمليًا، يتم إنشاء المنافذ من 1024 إلى 65535 ديناميكيًا ويمكن استخدامها بواسطة أي برنامج تطبيقي. عند بدء تشغيل برنامج أو خدمة تطبيقية، فإنه يتحقق عادةً لمعرفة ما إذا كان يمكن استخدام رقم منفذ معين، وإذا لم يكن الرقم قيد الاستخدام بالفعل، فسيقوم البرنامج أو الخدمة بفتح هذا المنفذ. يمكن أن تكون أرقام المنافذ التي يفتحها التطبيق هي نفسها دائمًا، ولكن يمكن أيضًا إنشاؤها بشكل عشوائي. كلما زاد شعبية التطبيق، زاد احتمال قيام مطوري برامج الإنترنت بمنح هذا البرنامج القدرة على استخدام رقم منفذ حصري. في الجدول يسرد الجدول 2 بعض أرقام المنافذ للتطبيقات الشائعة، ويسرد الجدول. 3 يحتوي على قائمة بأرقام المنافذ النموذجية لنظام التشغيل Windows.

مثال على التواصل

من المهم أن نفهم أن ميناء المنشأ وميناء الوجهة ليسا نفس الشيء. في معظم الحالات، عندما يقوم المسؤول بتحليل حركة مرور المنفذ، يكون مهتمًا بأرقام منفذ الوجهة. عادةً ما يكون المنفذ الوجهة منفذًا معروفًا، في حين أن المنافذ الأصلية (بمعنى آخر، منافذ المصدر) يمكن أن تحتوي على أرقام يتم إنشاؤها عشوائيًا أكبر من 1023. ومع ذلك، في الممارسة العملية، يتم إنشاء أرقام عشوائية عادةً في النطاق من 1024 إلى 3000. وبالتالي ، عندما يتصل المستخدم الذي يستخدم متصفح Microsoft Internet Explorer (IE) بموقع ويب، يكون رقم المنفذ الوجهة هو 80، في حين أن رقم المنفذ الأصلي هو رقم يتم إنشاؤه عشوائيًا. تُظهر الصورة جلسة تجريبية بدأت عندما اتصل المتصفح الخاص بي بالعقدة http://www.secadministrator.com. عنوان IP الوجهة هو 63.88.172.127 ورقم المنفذ هو TCP 80. عنوان IP للنظام الأصلي هو 192.168.168.160 ورقم المنفذ هو TCP 2335.

تم إدراج عنوان IP الخاص 192.168.168.160 لأن جهاز الكمبيوتر الخاص بي يقع خلف جدار حماية يصله بالإنترنت ويتم تعيين عنوان IP عام له. في كل مرة يتم فيها إجراء اتصال أو تحديث من خلال المتصفح، يتم إنشاء رقم منفذ مصدر جديد (يتم التعبير عنه عادةً برقم أعلى). بالإضافة إلى ذلك، نظرًا لأن صفحة الويب قد تحتوي على روابط وإعلانات مضمنة مستضافة على مواقع ويب أخرى، فقد تحتوي صفحة متصفح واحدة على عدة اتصالات ذات منافذ مفتوحة؛ يمكنهم جميعًا الإشارة إلى عنوان IP نفسه أو إلى عناوين IP مختلفة.

سر سفتشوست

بالإضافة إلى ذلك، يقوم نظام التشغيل Windows 2000 وأنظمة التشغيل الأحدث بفتح العديد من المنافذ الأخرى (مثل 500 أو 123) المخصصة لخدمة Svchost.exe. توجد هذه العملية التي تم إنشاؤها في المجلد \%windir%system32. يتم تشغيله عند تهيئة Windows وتحميل خدمة واحدة أو أكثر في الذاكرة المحددة في مفتاح التسجيل HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost.

أثناء عملية تحديد المنافذ المفتوحة، يكتشف المسؤولون غالبًا أن خدمة svchost.exe هي التي تبدأ فتح العديد من المنافذ الفردية. على سبيل المثال، في الوقت الحالي، بينما أكتب هذه المقالة، يتم تحميل ملف Svchost.exe في ذاكرة جهاز الكمبيوتر الخاص بي أربع مرات؛ فهو يدعم RPCSS وEventSystem وNetman وNtmsSvc وRasMan وSENS بالإضافة إلى خدمات TapiSrv وقد فتح المنافذ 123 و135 و1025 و1026 و1900 و5000. أثناء البحث عن البرامج الضارة، قد تشعر بالدفء من فكرة أن المنافذ المرتبطة مع ملف Svchost.exe لا يمكن الوصول إليه بالنسبة لأولئك الذين ليس لديهم أي خير. ومع ذلك، بالطبع، لا يمكننا استبعاد احتمال حدوث هجمات خارجية ضد هذه المنافذ (على سبيل المثال، الهجمات باستخدام استدعاءات الإجراءات عن بعد، RPC).

منافذ حصان طروادة

نحن نعلم أن هناك برامج تستخدم منافذ معروفة، وأن هناك منافذ يستخدمها Windows بشكل نشط. غالبًا ما تستخدم أحصنة طروادة أيضًا أرقام منافذ محددة. لسوء الحظ، هناك بالفعل المئات من "أحصنة طروادة" المنتشرة على نطاق واسع، لذلك من المستحيل وصفها في مقال واحد. لكن بالنسبة لأولئك الذين يعتزمون اكتشاف البرامج الضارة باستخدام أداة مساعدة تسرد المنافذ المفتوحة، سيكون من المفيد أن يكون لديهم قائمة بمنافذ حصان طروادة في متناول اليد في حالة مواجهتهم لأرقام منافذ غير مألوفة. للحصول على قائمة بمواقع الويب التي تستضيف قوائم كاملة بمنافذ حصان طروادة، راجع الشريط الجانبي "موارد لمنافذ حصان طروادة".

وبما أن أرقام المنافذ الأعلى من 1023 لم يتم تعيينها رسميًا، فيمكن استخدام هذه الأرقام بواسطة أي برنامج. في أغلب الأحيان، تستخدم البرامج المنافذ على أساس "من يأتي أولاً يخدم أولاً". ولذلك، إذا استخدم أحد المطورين رقم المنفذ الخاص ببرنامج شائع لبرنامج جديد، فقد لا يعمل البرنامج الجديد بشكل صحيح. يمكن لبرنامجين استخدام نفس المنفذ في نفس الوقت، ولكن إذا كان الكود لا يسمح بذلك، فقد يتعارضان مع بعضهما البعض. إذا كان هناك تطبيقان يستخدمان نفس المنفذ، فقد يتم فقدان بروتوكولي TCP وUDP وستواجه الشبكة مشاكل في الاتصال. ومع ذلك، فمن المعروف أن بعض البرامج، بما في ذلك البرامج الضارة، تكون مضمنة في أنظمة الكمبيوتر بحيث تكون قادرة على استخدام منفذ أو آخر بالتزامن مع برنامج آخر.

يجب ألا يستخدم برنامجان نفس رقم المنفذ. يعد المنفذ 80 استثناءً مهمًا لهذه القاعدة. تحتوي معظم جدران الحماية على هذا المنفذ مفتوحًا؛ يعد هذا ضروريًا حتى يتمكن العملاء من استكشاف موارد الويب. تقوم العديد من البرامج بتوجيه حركة المرور الخاصة بها عبر المنفذ 80 لتجاوز جدران الحماية. وبالتالي، غالبًا ما تقوم برامج المراسلة الفورية بتوجيه حركة المرور الخاصة بها تلقائيًا إلى المنفذ 80 (باستخدام بروتوكول HTTP) إذا كانت منافذها القياسية محظورة. قد تحتوي هذه البرامج أيضًا على إجراءات تقوم بفحص جدران الحماية بحثًا عن المنافذ الصادرة المفتوحة التي يمكنها استخدامها.

نتستات

تحتوي جميع إصدارات Windows منذ Windows 95 (بما في ذلك Windows 3.11 مع الوظيفة الإضافية Microsoft TCP/IP32) على أداة مساعدة جيدة لـ TCP/IP تسمى Netstat. تم تطويره (لكل من Windows وUNIX) في بداية عصر الإنترنت. باستخدام Netstat، يمكنك تحديد منافذ UDP وTCP المفتوحة والنشطة. يمكن للقراء معرفة المزيد عن Netstat من الشريط الجانبي "فن تفسير Netstat". في نظامي التشغيل Windows Server 2003 وWindows XP، يمكنك استخدام الأداة المساعدة Netstat لعرض قائمة بالمنافذ المفتوحة والبرامج المرتبطة بها.

جلسة TCP

لتنشيط Netstat، تحتاج إلى فتح نافذة موجه الأوامر عن طريق فتح قائمة "ابدأ" واختيار "تشغيل". في نافذة سطر الأوامر، تحتاج إلى إدخال الأمر

واضغط على مفتاح الإدخال. للحصول على قائمة بمعلمات Netstat، يمكنك استخدام الأمر Nestat -؟، ولكن لأغراض هذه المقالة سوف نقوم بإدخال الأمر

نتستت -انو

حيث يعرض الخيار -a الاتصالات النشطة، ويعرض الخيار -n الاتصالات بعناوين IP وأرقام المنافذ بدلاً من الأسماء، ويعرض الخيار -o معرف العملية (PID) للتطبيق الذي يمتلك المنفذ المحدد.

إذا لم يتم استخدام الخيار -n، فسيعرض النظام أسماء النطاقات الخاصة بأجهزة الكمبيوتر المتصلة بها. يستبدل الأمر Netstat -ao أرقام المنافذ بأسماء تطبيقاتها أو خدماتها العادية، ولكن هذه الوظيفة ليست دقيقة دائمًا (على سبيل المثال، يتم إعطاء كل حركة المرور التي تستخدم المنفذ 80 اسم HTTP، حتى لو كان محتوى حركة المرور يحتوي على عناصر لا علاقة لها بـ HTTP). بالإضافة إلى ذلك، يقوم Nestat -ao بتغيير كافة عناوين IP المحلية إلى أسماء NetBIOS للأنظمة المحلية المقابلة. بدون الخيار -n، من المستحيل تحديد الواجهة التي يستمع إليها البرنامج حاليًا. يجب تشغيل Netstat -ao فقط عندما تحتاج إلى معرفة اسم الكمبيوتر البعيد (على سبيل المثال، www.yahoo.com). إذا كان النظام يعمل بإصدار Windows أقدم من XP، فلن يعمل الخيار -o، ولن يتمكن Netstat من تحديد البرامج التي تستخدم أي المنافذ.

الشاشة 1: إخراج الأمر Netstat -ano

يوضح الشكل 1 نتائج تشغيل Netstat -ano كما هو معروض على جهاز الكمبيوتر الخاص بي. ينتج الأمر خمسة أعمدة من البيانات. يسرد العمود الأول جميع بروتوكولات الشبكة، ويعرض جميع اتصالات TCP أولاً. يعرض العمود الثاني عنوان IP المحلي ورقم المنفذ للاتصال المقابل. يسرد العمود الثالث عناوين IP الوجهة وأرقام المنافذ. إذا لم يتم تحديد رقم المنفذ بعد، فسيتم وضع علامة النجمة (*) في العمود. يشير العمود الرابع إلى حالات منافذ TCP. تشير الحالات ESTABLISHED وLISTENING وSYN_SENT إلى الجلسات المفتوحة والنشطة؛ ولا تندرج جميع الحالات الأخرى ضمن هذه الفئات. بالنسبة لمنافذ UDP، لا يتم إدراج الحالات لأن بروتوكول UDP لا يقوم بتخزين بيانات الحالة. في طاولة 4يعرض حالات Netstat المختلفة (يشير الخادم الموجود في الجدول إلى البرنامج أو الخدمة المحلية التي تمتلك المنفذ).

يعرض العمود الخامس من البيانات التي توفرها الأداة المساعدة Netstat معرفات PID للعمليات التي فتحت المنفذ المقابل. يمكنك ربط هذه المعلومات ببرنامج أو خدمة معينة باستخدام إدارة المهام. بالنسبة لأولئك الذين لم يستكشفوا بعد معرّفات PID باستخدام إدارة المهام، أود أن أذكرك أنك بحاجة إلى إنشاء عمود PID إضافي في نافذة إدارة المهام. للقيام بذلك، اضغط على مجموعة المفاتيح Ctrl+Alt+Del؛ ستظهر نافذة إدارة المهام على الشاشة. يجب عليك الانتقال إلى علامة التبويب "عمليات إدارة المهام"، ثم النقر فوق "عرض وتحديد الأعمدة". مع تحديد زر الاختيار PID للعملية المطلوبة، انقر فوق OK (موافق). يعرض مدير المهام الآن معرف المنتج (PID) بجوار اسم الصورة الخاص بالبرنامج الذي يمتلك المنفذ، كما يوضح الشكل 2. لمطابقة معرفات العمليات مع أسماء العمليات، يمكنك التبديل بين شاشة Netstat ونافذة إدارة المهام.

الشاشة 2: معالجة معرفات PID في إدارة المهام

يعد Netstat -ano أداة مساعدة جيدة لإدراج المنافذ المفتوحة، ولكن به بعض العيوب. وهو يعمل فقط على نظامي التشغيل Windows 2003 وWindows XP، وإذا أراد المستخدم تعيين منافذ للبرامج، فيجب عليه التبديل بين الشاشتين. في الأنظمة التي بها العديد من المنافذ المفتوحة، يمكن أن يكون أداء Netstat بطيئًا للغاية، كما أنه ليس دقيقًا مثل بعض منافسيه. Netstat عبارة عن أداة مساعدة لسطر الأوامر ولا تحتوي على واجهة مستخدم رسومية سهلة الاستخدام ولا توفر بيانات في الوقت الفعلي. يجب تشغيل هذه الأداة عندما تحتاج إلى تحديث المعلومات حول منفذ معين. وأخيرًا، لا يعرض Netstat عناوين IP البعيدة وأرقام المنافذ (المعروفة أيضًا باسم نقاط النهاية) المتصلة بمنافذ UDP النشطة.

تدفع كل هذه المشكلات العديد من المستخدمين إلى اللجوء إلى أدوات مساعدة تابعة لجهات خارجية تعرض قوائم بالمنافذ المفتوحة. دعنا ننتقل إلى مراجعة المنتجات في هذه الفئة. بعد ذلك، سأسلط الضوء على بعض أكثرها إثارة للاهتمام وأذكر المرافق التي لا تستحق الاهتمام.

المرافق لاستكشاف الموانئ المفتوحة من الشركات المستقلة

هناك العديد من الأدوات المجانية والتجارية المتاحة، بدءًا من الأدوات المساعدة لسطر الأوامر وحتى أدوات واجهة المستخدم الرسومية ذات المظهر الاحترافي. لقد قمت باختبار 10 من هذه البرامج على نظام التشغيل Windows 2000 Professional. يحتوي الكمبيوتر على مجموعة قياسية من الخدمات والمنافذ (على وجه التحديد، نحن نتحدث عن المنافذ 135 و 137 و 138 و 139 و 445 و 500)، وهي سمة من سمات النظام الذي تم تشغيله للتو.

قررت أن أتبنى تكتيك أحصنة طروادة، التي تستخدم أحرفًا غير قابلة للطباعة في أسمائها (لتجنب إدراجها كمنافذ مفتوحة)، وبذلت قصارى جهدي لجعل اسم خدمة Telnet Server غير مرئي. وباستخدام هذه الخدعة، يأمل المهاجمون أن يرى المسؤولون المنشغلون بفحص قوائم طويلة من العمليات مساحة فارغة وعدم إزعاجهم بمعرفة ما يكمن وراءها. كان علي أن أعمل بجد لإبعاد خدمات Telnet Server عن الأنظار. أولاً، باستخدام سلسلة من أحرف ASCII السداسية (ASCII 32h هو حرف المسافة)، قمت بتسمية الملف tlntsvr.exe file.exe. ثم قمت بإجراء تغييرات على التسجيل بحيث عند تهيئة Windows، يتم تشغيل ملف باسم جديد بدلاً من الملف المعتاد باسم الخدمة.

بالإضافة إلى ذلك، قمت بإطلاق اثنين من أحصنة طروادة المشهورة - Back Orifice 2000 (BO2K) وNetBus بهدف إنشاء منافذ مفتوحة معادية. كنت أرغب في معرفة ما إذا كانت الأدوات المساعدة ستعتبر "أحصنة طروادة" المذكورة مشبوهة - وقد فعل ذلك أحد البرامج على الأقل (Port Explorer). لقد كنت حريصًا على التأكد من تشغيل نفس التطبيقات والعمليات طوال الاختبارات. في المجمل، كان لدي 14 عملية TCP نشطة و7 عمليات UDP قيد التشغيل. ثم سأطلق منتجات الاختبار وأجري الاختبارات.

مراقب الشبكة النشط

تعد الأداة المساعدة Active Network Monitor، التي أنشأها متخصصو SmartLine، أداة بسيطة وفعالة للغاية لفحص المنافذ. يتم التثبيت دون أي صعوبات ولا يتطلب إعادة تشغيل النظام. تم تجهيز النافذة الرئيسية بعدد صغير من الوظائف، لكن المنتج مستقر وفعال. يوفر Active Network Monitor للمستخدم المعلومات الأساسية: PIDs وعناوين IP المحلية والبعيدة والمنافذ والبروتوكولات وأسماء البرامج بما في ذلك مسارات الوصول. يمكن للأداة المساعدة تصدير قائمة العمليات إلى ملف خارجي.txt أو.csv مفصولة بفواصل أو علامات تبويب. لجذب الانتباه إلى الاستخدامات الجديدة للمنافذ، تقوم الأداة بتسليط الضوء على التغييرات في الحالة باستخدام علامات ملونة. يتيح مراقب الشبكة النشط إمكانية إنهاء العمليات. يعد الإعداد الافتراضي دائمًا في المقدمة مزعجًا بعض الشيء. بالطبع، من السهل التغيير، ولكن بشكل عام، يتداخل هذا الوضع مع العمل.

محلل حركة المرور في الموانئ

كان مُحلل حركة المرور في Atelier Web (32.50 دولارًا) أحد أدواتي المفضلة. لقد كانت واحدة من أولى الأدوات المساعدة الرسومية التي وجدت منافذ مفتوحة. كان من السهل تركيبه وتشغيله. لسوء الحظ، عندما قمت بتثبيت الإصدار الحالي على نظام اختبار، لم يتمكن Port Traffic Analyzer من اكتشاف أي نشاط للمنفذ، على الرغم من أن عملية التثبيت بدت وكأنها تسير بسلاسة. لقد قمت بإلغاء تثبيت هذه الأداة المساعدة عدة مرات وقمت بتثبيتها مرة أخرى، وحاولت إعادة تشغيل النظام - ولكن دون جدوى. في موقع الويب Atelier، يوثق الجزء الأول - والأطول - من قسم الأسئلة الشائعة مشكلات التثبيت. يبدو أن معظم المستخدمين يواجهون مشكلات لأن الأداة المعنية تستخدم موفر خدمة طبقة API (LSP) المقترح من Microsoft لجمع المعلومات. يتم توفير الدعم الفني عبر الويب فقط، ولكن يمكنك الحصول على الرد بسرعة. بقدر إعجابي بهذا المنتج في الماضي، أجد صعوبة في التوصية به الآن بسبب مشكلات التثبيت المستمرة.

فبورت

ربما يكون برنامج Fport المجاني الخاص بـ Foundstone هو الأداة المساعدة الأكثر شيوعًا لاختبار منافذ سطر الأوامر الموصى بها في الصناعة. إنه منتج موثوق وصغير الحجم، كما أنه سريع التثبيت. يقوم Fport بإنشاء قوائم بمعرفات PID وأسماء العمليات وأرقام المنافذ المحلية والبروتوكولات والملفات التنفيذية للعملية ومسارات الوصول. ولكن في حين أن الكثير من الناس يمتدحون هذه الفائدة للسماء، فلا بد من القول إنها تفتقر إلى بعض الوظائف المهمة. وبالتالي، فهو غير قادر على إنشاء قوائم بعناوين IP المحلية، ولا يعرض عناوين IP البعيدة وأرقام المنافذ، ولا يعكس الحالات أو العمليات التي تحدث حاليًا. من كمبيوتر بعيد، قمت بالاتصال بجهازي من خلال عميل BO2K مصاب بفيروس طروادة، لكن برنامج Fport لم يلاحظ أي تغييرات. لقد رأيت Fport يتخطى بعض المنافذ المفتوحة من قبل. كانت Fport ذات يوم أداة إضافية جديرة بالاهتمام بالنسبة لي، ولكن بعد التعرف على بعض المنتجات المنافسة، توصلت إلى استنتاج مفاده أنه في المستقبل سأستخدم على الأرجح أداة مختلفة في بحثي.

من الداخل

الميزة الأبرز في Inzider، والذي يتم توزيعه مجانًا بواسطة NTSecurity.nu، هي إجراء الإزالة البسيط الخاص به. لقد بدأت أواجه مشاكل في اللحظة التي قمت فيها بتنشيط هذه الأداة المساعدة. بدت لي الواجهة بمثابة اختلاف رسومي في موضوع نافذة سطر أوامر DOS. عندما قمت بتشغيل البرنامج للتنفيذ، انخفض أداء النظام على الفور، وتساءلت عما إذا كان قد تجمد. ومع ذلك، بعد بضع دقائق، بدأ Insider في عرض قائمة العمليات على الشاشة. لسوء الحظ، لم يكن للعملية الأولى في هذه القائمة منفذ شبكة مفتوح؛ تم توفير معرف المنتج (PID) واسم العملية ومسار الوصول فقط. ربما كان ينبغي على الأداة المساعدة تقديم رقم المنفذ أو عنوان IP بعد مرور بعض الوقت، لكن لم تتح لي الفرصة لرؤيتهما مطلقًا. بعد خمس دقائق، أظهر Insider عمليتين فقط، لذلك قمت بالإلغاء.

من الواضح أن هذا البطء يرجع إلى الطريقة الفريدة التي يسرد بها Inzider العمليات - وتسمى هذه الطريقة حقن DLL. ليس من المستغرب أن لا يتم استخدام هذه التقنية في أي مدقق منفذ آخر. بعد كل شيء، حتى مطوري الأداة المساعدة Inzider أنفسهم لاحظوا في الوثائق أن البرنامج غير مستقر. بالإضافة إلى ذلك، يقرون بأن Insider لا يوفر التحقق من العمليات التي يتم بدئها كخدمات. بمعنى آخر، يتبين أن هذا الحل لا يحقق الكثير.

صافي النطاق

أما شركة Net-Scope، التي طورتها شركة Delta Design UK، فهي شركة خارجية أخرى. أثناء الاختبار، تم تضمين العديد من العمليات في القائمة التي لم تكن برامج ذات اتصالات بالشبكة. فاتت الأداة العديد من برامج فتح المنافذ، وسجلت بشكل غير صحيح البرامج التي لم تفتح المنافذ، وكانت تقاريرها غير دقيقة حول استخدام المنفذ. على سبيل المثال، على الرغم من أن Net-Scope أدرج IE ضمن البرامج التي تحتوي على منافذ مفتوحة في اختباره، إلا أنه أدرج 127.0.0.1 باعتباره عنوان IP المصدر والوجهة. عند إنشاء اتصال IE بالخادم http://www.google.com لم يعرض البرنامج اتصالاً نشطًا أو عنوان IP بعيد. بدون معالجة إضافية، يتم عرض الواجهة الرسومية للأداة المساعدة قليلا. للحصول على معلومات مفصلة حول عملية معينة، تحتاج إلى النقر نقرًا مزدوجًا على أيقونة العملية والانتظار حتى يتم عرض النتائج في أسفل الشاشة. في كثير من الأحيان لا تظهر النتائج الصحيحة أبدًا. النسخة التجريبية المجانية تمنحك الحق في استخدام البرنامج 15 مرة، ولكن الحقيقة هي أن كل تحديث للشاشة يعتبر جلسة واحدة، لذلك تم استنفاد فرص الاستخدام المجاني للأداة المساعدة المخصصة لي بسرعة كبيرة.

مستكشف المنفذ

مما لا شك فيه أن Port Explorer (DiamondCS) من Diamond Computer Systems (40 دولارًا) هو أفضل منتج تمت مراجعته هنا. يحتوي على واجهة مستخدم مصممة جيدًا، وسهل التثبيت، ومستقر للغاية، ويوفر ثروة من المعلومات المفيدة (حيث يمكن للمستخدم العثور بسهولة على المعلومات التي يحتاجها)، ويأتي مع مجموعة من أدوات الاختبار، ويوفر تمييزًا مرمزًا بالألوان من البرامج المشبوهة إذا وجد Port Explorer أمورًا شاذة في سلوك أحد البرامج، فسيتم تمييز المنفذ الخاص به باللون الأحمر. أثناء الاختبار، سلط المنتج الضوء على منافذ كل من حصان طروادة - كل من BO2K وNetBus. عند تنشيط Port Explorer لأول مرة بعد التثبيت، يتم فتح ملف المساعدة الخاص بالبرنامج، وهو ما يعد بوضوح إحدى مزاياه. هذا هو مدقق المنفذ الوحيد الذي يحتوي على لوحة المناقشة الخاصة به. يبدو أن مطوريها مصممون على جعل Port Explorer أفضل منتج في فئته.

يبدو أن Port Explorer يستخدم خمس طرق منفصلة على الأقل لمراقبة العمليات وتحديدها - SNMP، وLSP، وتقنية واجهة برنامج تشغيل النقل غير الموثقة (TDI)، وطرق IPHelper الموثقة وغير الموثقة. في اختباراتي، كان Port Explorer هو الأداة الأكثر دقة وكان واحدًا من اثنين من أدوات فحص المنافذ التي أظهرت عناوين IP عن بعد واتصالات UDP على الشاشة وفي السجل.

يوفر Port Explorer تحديثات في الوقت الفعلي لحركة مرور المنفذ، ولكن يمكن أيضًا تكوين البرنامج لإيقاف التحديثات مؤقتًا وجعل عرض البيانات ثابتًا. بالإضافة إلى ذلك، تجدر الإشارة إلى أن هذه الأداة تسجل كل ما يحدث في ملف محلي يمكن للمستخدم عرضه باستخدام واجهة رسومية. لقد قمت بتعريض Port Explorer لأحمال شديدة، والتي كانت عادةً كافية لجعل Netstat يعمل بسرعة بطيئة أو يتوقف تمامًا، لكن Port Explorer يعرض على الفور البيانات الخاصة بكل منفذ فور تشغيله دون أي تأخير.

واجهة المستخدم الرسومية والميزات الخاصة بـ Port Explorer قابلة للتخصيص. اعتمادا على رغبات المستخدم، يمكن للأداة المساعدة عرض اسم الملف أو مسار الوصول الكامل إلى ملف البرنامج الذي يمتلك المنفذ المحدد. الميزة الأخيرة مريحة للغاية في الحالات التي يتعين عليك فيها "التخلص من" برنامج بعيد المنال. تحتوي النافذة الرئيسية على عدة أعمدة من البيانات التي يمكن فرزها من خلال النقر على الصف العلوي من عمود الفرز؛ بالإضافة إلى ذلك، يمكن سحب الأعمدة بالماوس إلى مناطق مختلفة من الشاشة دون مقاطعة البرنامج. من خلال الانتقال إلى واحدة أو أخرى من علامات التبويب الموجودة في الجزء العلوي من الشاشة الرئيسية، يمكن للمستخدم اختيار إحدى طرق العرض المتعددة. من الممكن تخصيص الألوان ومعدل تحديث الصورة وحتى تحديد اللغة. يستطيع Port Explorer تقديم المعلومات بثماني لغات؛ وبصرف النظر عن Netstat، فهذه هي الأداة الوحيدة للعثور على المنافذ المفتوحة المجهزة بمثل هذه الأدوات. وبالإضافة إلى ذلك، يمكن للبرنامج عرض إحصائيات الشبكة.

يتضمن Port Explorer العديد من الأدوات المساعدة للتشخيص والاختبار التي تسهل العثور على جهاز كمبيوتر بعيد. وتشمل هذه البرامج Ping، وLookup، وWhois، وTraceroute، وحتى أداة شم الحزم التي تسمى Jack Spy. عن طريق كتابة معرفات PID المناسبة، يمكن للمستخدم إصدار تعليمات لمحلل Jack Spy لاعتراض المعلومات من حزم البرامج المحلية. بالإضافة إلى ذلك، يمكنك إنهاء أي عملية يتعرف عليها Port Explorer. مما لا شك فيه أن Port Explorer هو الأداة الأسرع والأكثر استقرارًا والأكثر إثارة للإعجاب التي اختبرتها للعثور على المنافذ المفتوحة.

المنافذ المفتوحة

أصدرت DiamondCS مؤخرًا أداة مساعدة لسطر الأوامر تسمى OpenPorts، والتي يمكن استخدامها مجانًا من قبل مالكي أجهزة الكمبيوتر المنزلية والمستخدمين التعليميين. مبدأ تشغيل هذه الأداة هو نفس مبدأ تشغيل برنامج FPort؛ علاوة على ذلك، في نافذة سطر الأوامر، يمكن للمستخدم إدخال الأمر fport، ثم ستبدأ الأداة المساعدة في عرض البيانات في نفس طريقة العرض مثل Fport. بالإضافة إلى ذلك، يمكن تغيير تنسيق عرض بيانات OpenPorts باستخدام المفتاح -netstat. من الغريب أنه في الوضع القياسي للتشغيل، يقوم OpenPOrts، عند إدراج المنافذ، بفرزها حسب أسماء العمليات - وهي ميزة مريحة للغاية تتيح لك رؤية جميع المنافذ (TCP وUDP) المرتبطة ببرنامج معين. لفهم مدى فائدة هذه الميزة، فقط تخيل موقفًا يقوم فيه المتصفح بإنشاء اتصال بموقع ويب يحتوي على روابط لـ 15 موقعًا آخر، ويفتح كل منها منفذًا مختلفًا. يوفر OpenPOrts اسم العملية (ولكن ليس مسار العملية)، وعنوان IP المحلي ورقم المنفذ، وعنوان IP البعيد ورقم المنفذ، ومعلومات الحالة. بالإضافة إلى ذلك، يمكن لهذه الأداة تصدير البيانات إلى ثلاثة تنسيقات ملفات. ولأن OpenPorts توفر معلومات حول عناوين IP البعيدة، وأرقام المنافذ البعيدة، والحالة، فإن هذه الأداة المجانية تتفوق على منتج Fport.

مالك منفذ المقبس

يوفر مالك منفذ مقبس Fly Ya Software (14.99 دولارًا) معلومات أكثر قليلاً من Fport. تذكرني الواجهة الرسومية البسيطة لهذا المنتج بنافذة Active Network Monitor الرئيسية. تعرض الأداة المساعدة مالك منفذ المقبس معلومات حول معرفات PID والمسار القابل للتنفيذ وعناوين IP المحلية والبعيدة والمنافذ والبروتوكولات. تحتوي الواجهة على عمود "الموقع البعيد"، حيث حدد البرنامج، بشكل غريب بما فيه الكفاية، عن طريق الخطأ عنوان IP الخاص الخاص بي على أنه موجود في هولندا (ومع ذلك، من الممكن أن يكون هذا الخطأ نموذجيًا فقط للإصدار التجريبي). أما العمود الآخر، الاستماع، فيحتوي على قيمتين فقط، نعم أو لا، وهي ليست الطريقة الأفضل لتمثيل معلومات الحالة. وأخيرًا، لا يحتوي مالك منفذ المقبس على ملف تعليمات.

TCPView

تعتبر الأداة المساعدة TCPView من Sysinternals (الموزعة مجانًا) منتجًا "متقنًا" بدون أي زخرفة. تم تصميمه كوحدة واحدة قابلة للتنفيذ. توفر الواجهة الرسومية للأداة المساعدة المعلومات الضرورية في الوقت الفعلي، وتعرضها حيث يحتاج المستخدم لرؤيتها. يوفر البرنامج اسم العملية، ومعرف العملية، والبروتوكول، وعناوين IP المحلية والبعيدة، بالإضافة إلى أرقام المنافذ ومعلومات الحالة. من خلال النقر على أيقونة اتصال العملية، يمكن للمستخدم الحصول على مسار الوصول الكامل إلى المكان الذي يتم تشغيله فيه واتخاذ الإجراء اللازم لإنهاء العملية. ولتسهيل على المستخدم تتبع الأحداث الجديدة، يقوم البرنامج بتمييزها بالألوان.

منتج مجاني يمكنه توفير الوظائف الأساسية - ما الذي يمكن أن يكون أفضل؟ ولكن يجب أن أقول أنه أثناء الاختبار، لم يعمل برنامج TCPView دائمًا بشكل موثوق في بيئة NT Server 4.0. لذلك، عندما حاولت حفظ نتائج الشاشة في ملف نصي، كانت تختفي أو تتجمد. كما أنني واجهت مشاكل مماثلة في الماضي. لقد حدث أنه عند تثبيت TCPView على محطات عمل NT 4.0، لوحظت ظواهر عدم الاستقرار: على وجه الخصوص، مباشرة بعد إعادة التشغيل الأولى، نشأت مشاكل مع "الشاشة الزرقاء". ومع ذلك، يعمل البرنامج بثبات على منصات Windows الحديثة. أنتجت Sysinternals وWininternals Software عددًا كبيرًا من البرامج المجانية والتجارية عالية الجودة، ولكن إذا قرر أي شخص استخدام هذه الأداة المساعدة في بيئة Windows NT، فإنه يفعل ذلك على مسؤوليته الخاصة.

عند البدء في إعداد هذه المقالة، كنت أنوي كتابة مراجعة لبرنامج TCPView Pro، الذي يتمتع بمجموعة أكثر ثراءً من الوظائف وهو "ابن عم" تجاري للأداة المساعدة TCPView. ولكن لم يتم نشر نسخة تقييمية لهذا المنتج على موقع الشركة على الويب. يبدو أنه لا يمكن الحصول على TCPView Pro إلا كجزء من حزمة المسؤول (أي كجزء من مجموعة من خمس أدوات مساعدة).

اكس نتستات بروفيشنال 4.0

تم تطوير X-NetStat Professional 4.0 (20 دولارًا) بواسطة Fresh Software، وهو سريع وسهل التثبيت، ولكنه يحتوي على واجهة رسومية قديمة. من الصعب تحديد كيفية الوصول إلى المعلومات التي تحتاجها. يحتوي الجزء العلوي من الشاشة على قائمة بالاتصالات، بالإضافة إلى العناوين المحلية والبعيدة والمنافذ المحلية والبعيدة والبروتوكول والحالة (والتي يشير إليها منشئو البرنامج بالحالة). يوجد في أسفل الشاشة عدة نوافذ؛ يحتوي كل واحد منهم على منفذ مفتوح (في بعض الحالات يكون منفذ UDP، وفي حالات أخرى يكون منفذ TCP). للحصول على معلومات عامة حول البرنامج الذي يستخدم منفذًا معينًا، تحتاج إلى النقر بزر الماوس الأيمن على إحدى هذه النوافذ وتحديد معلومات المنفذ من القائمة التي تفتح. بشكل عام، لا بد من القول أن البرنامج يحتوي على العديد من الأخطاء وغير مناسب للاستخدام. الميزة الوحيدة هي أن X-NetStat Professional 4.0 يوفر التقاط رأس الحزمة لكل منفذ، وهو ما أثبت أنه مفيد في بعض الأحيان في تحديد المنفذ.

لقد عثرت على إعلان على موقع ويب Fresh Software يفيد بأنه سيتم إصدار الإصدار 5.0 من المنتج في نوفمبر 2002، ولكن لم يظهر هذا الإصدار مطلقًا. لكن الموقع قصفني حرفيًا بكومة كاملة من الإعلانات المنبثقة. أعتقد أن الشركة توقفت عن العمل على هذا المنتج وتحاول الاستفادة من مجالات أخرى من أعمالها.

الأفضل

عند البحث عن البرامج التي يمكن أن تسبب ضررًا لنظامك، من المفيد أن يكون لديك قائمة بمنافذ TCP/IP المفتوحة، بالإضافة إلى البرامج أو الخدمات التي فتحتها. تتمتع Netstat بقدرات محدودة، ولكن يتم تثبيتها مع كل إصدار من Windows، لذا يمكنك دائمًا استخدام هذه الأداة عند استكشاف أسباب المشكلات وإصلاحها. لسوء الحظ، فإنه لا يسهل حل مشكلة إنشاء مراسلات بين المنفذ المفتوح والبرنامج المصدر. ومع ذلك، إذا لزم الأمر، يمكن لمشغلي أجهزة الكمبيوتر التي تعمل بنظامي التشغيل Windows 2003 وWindows XP استخدام الأمر Netstat-ano - حيث يمكن مقارنة البيانات التي تم الحصول عليها بمساعدته مع قائمة معرفات PID الخاصة بإدارة المهام. ولكن سيتعين على أولئك الذين يستخدمون منصات Windows الأخرى البحث عن حلول بديلة. إذا تحدثنا عن المنتجات المقدمة في مراجعتنا المقارنة، فإن المنافس الأقوى هو DiamondCS وبرامجه - وهو منتج يعتمد على الواجهة الرسومية Port Explorer والأداة المساعدة لسطر أوامر OpenPorts. يعد منتج TCPView الخاص بـ Sysinternals هو المنافس الثاني، ولكن فقط لأولئك الذين يمكنهم تجنب مشكلات الاستقرار التي واجهتها أثناء تشغيل نظام التشغيل Windows NT. من بين أدوات سطر الأوامر المساعدة، هناك بديل لـ OpenPorts وهو Foundstone’s Fport. لكن أولئك الذين يتعاملون بشكل احترافي مع مشاكل أمان الشبكة أو إدارة النظام يجب أن يكون لديهم بالتأكيد نسخة من برنامج Port Explorer.

روجر غرايمز- مستشار الحماية من الفيروسات. حصل على شهادات CPA وMCSE وCNE وA+ وهو مؤلف كتاب "رمز الهاتف المحمول الضار: الحماية من الفيروسات لنظام التشغيل Windows" (O?Reilly & Associates). عنوانه: [البريد الإلكتروني محمي]

UDP وTCP

تستخدم جميع البرامج تقريبًا أحد بروتوكولي الاتصال - UDP أو TCP. يعد بروتوكول TCP أداة أكثر كفاءة. إنه موجه نحو الاتصال ويوفر نقلًا موثوقًا للبيانات. أولاً، يتأكد TCP من أن الكمبيوتر الذي يستقبل البيانات جاهز لاستقبالها. يجري البروتوكول جلسة تفاوض مكونة من ثلاث حزم يتفق خلالها المرسل والمتلقي على استعدادهما لتبادل البيانات. للقيام بذلك، يتم تضمين إشارات الحالة في حزمة TCP؛ بمساعدتهم، تتبادل العقد البيانات حول الحالة الحالية للإرسال (البدء، والانتهاء، والاستمرار). حركة مرور TCP ذات حالة. ثم يتأكد TCP من وصول البيانات إلى وجهتها. إذا لم يتعرف المستلم على الحزمة، يستأنف TCP إرسالها تلقائيًا، ويكرر ذلك عادةً ثلاث مرات. عند الضرورة، يقوم TCP بتقسيم الحزم الكبيرة إلى حزم أصغر بحيث يمكن تبادل المعلومات بين المرسل والمستلم دون التعرض لخطر فقدان البيانات. يتجاهل TCP الحزم المكررة ويستعيد ترتيب الحزم التي تصل خارج التسلسل.

UDP ليس بروتوكولًا موجهًا للاتصال. إنه أكثر ملاءمة لنقل الحزم ذات السعة المحدودة. لا يحتوي UDP على آلية فحص ذاتي للتأكد من استلام البيانات أو التأكد من وصولها بالترتيب الذي تم إرسالها به. ومع ذلك، غالبًا ما يتم إجراء هذا الفحص بواسطة تطبيق يستخدم UDP؛ ويمكنه أيضًا إرسال طلب إلى الكمبيوتر المرسل لإعادة إرسال المعلومات المفقودة. بالإضافة إلى ذلك، لا يقوم البروتوكول المعني بتخزين بيانات الحالة؛ لذلك، لا يقوم UDP بإجراء جلسة تفاوض، ولا تحتوي حزم UDP على إشارات حالة.

تستخدم بعض البرامج كلا البروتوكولين - UDP وTCP. وبالتالي، يستخدم خادم RealAudio من RealNetworks منفذ TCP 7070 لتهيئة الاتصال لتنزيل البيانات لاحقًا لعميل RealAudio Player. بمجرد إنشاء الاتصال، ينقل خادم RealAudio دفق البيانات على منافذ UDP من 6980 إلى 7170. مثال آخر: يستخدم Microsoft DNS منفذ UDP 53 للتواصل بين خوادم DNS إذا قرر خادم DNS آخر أن خادم DNS آخر هو أيضًا خادم Microsoft DNS ، فقد تقرر تبديل اتصال الشبكة إلى منفذ TCP 53 لتتمكن من حمل كميات أكبر من بيانات اسم المجال.

فن تفسير Netstat

تعتبر قراءة قراءات Netstat المكونة من خمسة أعمدة بمثابة فن. بادئ ذي بدء، يجب عليك الانتباه إلى عمود العنوان المحلي. عادةً، سيعرض بيانات مثل 0.0.0.0 أو 127.0.0.1، أو ربما عنوان IP لإحدى واجهات الشبكة الفعلية (على سبيل المثال، بطاقة واجهة الشبكة أو المودم). إذا كان هذا التطبيق مرتبطًا بـ 0.0.0.0، يكون البرنامج جاهزًا لقبول الاتصالات من أي واجهة. إذا كان التطبيق مرتبطًا بعنوان IP محدد، فإن البرنامج يعتزم قبول الاتصالات بهذا المنفذ فقط من تلك الواجهة المحلية. العنوان 127.0.0.1 هو عنوان الاسترجاع المحلي؛ أي أن هذا التطبيق سيقبل الاتصالات التي يبدأها جهاز كمبيوتر معين فقط. يُستخدم العنوان 127.0.0.1 غالبًا عند تبادل البيانات أثناء استدعاءات الإجراءات عن بعد بين العمليات وعند الاتصال بأجهزة المساعد الرقمي الشخصي. بشكل عام، تعتبر اتصالات 127.0.0.1 آمنة لأن البرامج الضارة لا تفتح أبدًا الاتصال المحلي فقط. ولذلك، ينبغي إيلاء الاهتمام للاتصالات المتبقية.

والخطوة التالية هي عادةً أن يلجأ المسؤولون إلى أبحاث الدولة. يجب ألا تحتوي جلسات الاتصال في وضع الاستماع على عناوين IP بعيدة مرتبطة بها، ولكن على العكس من ذلك، يجب أن تحتوي الجلسات في الوضع المؤسس (أو في حالة نشطة أخرى) على مثل هذه العناوين. عادةً ما يكون عنوان IP البعيد هو 127.0.0.1 أو عنوان بعض أجهزة الكمبيوتر الخارجية. مرة أخرى، يمكن تجاهل الاتصال 127.0.0.1، لكن يجب عليك التركيز على تحليل الجلسات النشطة باستخدام عناوين IP البعيدة. هل هناك أي عناوين بينهم بدت غير عادية بالنسبة لك؟ إذا كانت الإجابة بنعم، فأنت بحاجة إلى مطابقة الجلسة مع معرف العملية (PID) الخاص بها والتحقق من هذا البرنامج. يجب عليك ملاحظة رقم منفذ الوجهة البعيدة ومحاولة ربطه ببروتوكول معروف (مثل HTTP).

عند البحث عن البرامج الضارة، أوصي بإيلاء اهتمام خاص للمنافذ التالية: الاتصالات المنشأة غير المبررة لعناوين الإنترنت البعيدة، ومنافذ TCP غير المعروفة في وضع الاستماع، ومنافذ UDP غير المعروفة. تحتوي العديد من منافذ UDP على إدخال وضع استماع TCP "مكرر" لأن التطبيق الذي يفتح المنفذ يمكنه استخدام UDP أو TCP، حسب الموقف. إذا لم يكن لدى منفذ UDP إدخال مناظر في TCP، فأنت بحاجة إلى التحقق من ذلك. إذا كان منفذ UDP يحتوي على إدخال TCP مكرر، فيمكنك جعل منفذ TCP هو الهدف الرئيسي لبحثك.

موارد ميناء حصان طروادة

من المفيد أن تكون قوائم المنافذ التي يمكن أن تستهدفها أحصنة طروادة في متناول اليد في المواقف التي يتم فيها اكتشاف المنافذ المفتوحة فجأة. ويمكن العثور على هذه القوائم على العناوين التالية:



في كل مرة تقوم فيها بفتح موقع ويب أو تنزيل ملفات، يتم إنشاء اتصالات TCP/UDP بين جهاز الكمبيوتر الخاص بك والمضيف البعيد. تقوم العديد من البرامج أيضًا باستقبال البيانات وإرسالها. ولكن كيف يمكنك معرفة البرنامج الذي فتح المنفذ والخادم الذي تم إنشاء الاتصال به؟

نحن نقدم برنامجًا قويًا وسهل الاستخدام لمراقبة اتصالات الإنترنت وتشخيص الشبكة على جهاز الكمبيوتر الخاص بك. NetStat Agent عبارة عن مجموعة لا غنى عنها من أدوات مساعدة الشبكة، والتي تتكون من أدوات مساعدة معروفة مثل netstat، ping، traproute، whois، الطريق، ipconfig، arpولكن في واجهة رسومية مريحة وبسيطة. هذه أداة ضرورية ومفيدة للمسؤولين ومستخدمي الإنترنت.

نتستات

يراقب اتصالات الإنترنت على جهاز الكمبيوتر الخاص بك. تعرض هذه الأداة المساعدة جميع اتصالات TCP وUDP النشطة، والمنافذ المحلية المفتوحة، وحالة الاتصال، والعملية التي فتحت الاتصال. والأهم من ذلك أن البرنامج يعرض البلد واسم الشبكة للخادم البعيد. سيسمح لك NetStat Agent بتمييز أو إخفاء أو إغلاق الاتصالات غير المرغوب فيها.

تكوين IP

يعرض خصائص محول الشبكة وتكوين الشبكة. يتيح لك Ipconfig تحديث عنوان IP لمحول معين أو إرسال رسالة إلى خادم DHCP لتحرير تكوين DHCP الحالي وحذف تكوين عنوان IP. ستكون هذه الأداة مفيدة لأجهزة الكمبيوتر التي تتلقى عنوان IP الخاص بها تلقائيًا.

بينغ

هذه الأداة مفيدة جدًا لتحليل شبكات TCP/IP. يساعد في التحقق من توفر المضيف على الشبكة. من أجل التحقق مما إذا كان المضيف على قيد الحياة، يرسل البرنامج طلب صدى وإذا جاء الرد، فهذا يعني أن المضيف متاح.

يحدد المسار بين جهاز الكمبيوتر الخاص بك والمضيف الوجهة، مع الإبلاغ عن جميع عناوين IP الخاصة بأجهزة التوجيه. يحدد NetStat Agent بلد كل جهاز توجيه.

يتصل بخادم DNS ويجد جميع المعلومات حول المجال، بما في ذلك عنوان IP للخادم وسجلات MX (Mail Exchange) وخادم اسم السلطة ( ن.س.) ، بداية منطقة السلطة ( الخدمية)، مؤشر اسم المجال ( بتر) وإدخالات أخرى. كما أنه يتحقق من وظائف خادم DNS نفسه.

طريق

يعرض ويسمح لك بتغيير مسارات IP على جهاز الكمبيوتر الخاص بك. يحدد جدول توجيه IP واجهة الشبكة التي سيتم استخدامها لمعالجة حزمة IP.

ARP

يراقب تغييرات ARP في الجدول المحلي. لا يسمح لك البرنامج بإضافة وحذف إدخالات ARP فحسب، بل يسمح لك أيضًا باستعادة عنوان MAC في حالة استبداله.

الذي هو

باستخدام هذه الأداة، يمكنك الحصول على جميع المعلومات المتاحة حول عنوان IP أو المجال: من هو مالك المجال، ومتى تم تسجيل النطاق، وجهات اتصال المسؤولين والدعم الفني.

مدقق HTTP

يساعدك على التحقق مما إذا كان يمكن الوصول إلى مواقع الويب الخاصة بك. إذا كان الموقع قابلاً للوصول، يعرض البرنامج رمز HTTP المستلم من الموقع. يعرض NetStat Agent أيضًا عنوان IP الخاص بالخادم، وموقعه الجغرافي، بالإضافة إلى وقت التشغيل ووقت الاستجابة الأخيرة من الخادم.

إحصائيات

يعرض إحصائيات واجهات الشبكة وبروتوكولات TCP/IP. باستخدام هذه الأداة، يمكنك معرفة: عدد حزم TCP وUDP وIP التي تم إرسالها أو استلامها، والحد الأقصى لعدد الاتصالات، وقيمة TTL، وعدد رسائل ICMP، وما إلى ذلك.

مرحبًا بالجميع، لقد بدأت سابقًا قصة عن الأدوات المساعدة للشبكة الخاصة بمسؤول النظام في المقالة "الأداة المساعدة للمسار أو كيفية تشخيص مشكلة في الطريق إلى الموقع، الأدوات المساعدة للشبكة، الجزء 3"، فلننتقل وننظر إلى أداة مساعدة أخرى netstatأو كيفية تحديد المنافذ التي يستمع إليها جهاز الكمبيوتر الخاص بك. سيكون هذا البرنامج أداة لا يمكن الاستغناء عنها في أمتعة البرامج لأي مهندس نظام؛ فهو سيساعده على تشخيص الموقف بسرعة واكتشاف عدد من المشكلات المختلفة المتعلقة بالخدمات وتوافرها.

أوامر نتستت

نتستات- يعرض اتصالات TCP النشطة، والمنافذ التي تستمع على الكمبيوتر، وإحصائيات Ethernet، وجدول توجيه IP، وإحصائيات IPv4 (لبروتوكولات IP وICMP وTCP وUDP) وIPv6 (لـ IPv6 وICMPv6 وTCP عبر IPv6 وUDP عبر بروتوكولات IPv6)

لنتخيل موقفًا: قمت بتثبيت، على سبيل المثال، الأداة المساعدة MSM LSI لعرض معلمات وحدة تحكم RAID، وقمت بتشغيل الأداة المساعدة، لكنها لم تجد أي شيء، لأن المنفذ مغلق ولا تعرف أي منفذ ، وليس من الممكن دائمًا العثور بسرعة على معلومات حول هذا الأمر على الإنترنت، ولهذا يمكنك تشغيل netstat ومعرفة المنفذ الذي يستمع إليه خادمك مع عملية MSM.

افتح سطر أوامر Windows وأدخل netstat؟. سوف تظهر تعليمات الأداة المساعدة.

C:\Users\sem>netstat ؟

يعرض إحصائيات البروتوكول واتصالات شبكة TCP/IP الحالية.

NETSTAT [-a] [-b] [-e] [-f] [-n] [-o] [بروتوكول -p] [-r] [-s] [-x] [-t]
[فاصلة]

  • -a يعرض كافة الاتصالات ومنافذ الاستماع.
  • -b عرض الملف القابل للتنفيذ المتضمن في الإنشاء
  • كل اتصال أو منفذ الاستماع. في بعض الأحيان تحتوي الملفات القابلة للتنفيذ المعروفة على العديد من المكونات المستقلة. يتم بعد ذلك عرض تسلسل المكونات المشاركة في إنشاء اتصال أو منفذ استماع. في هذه الحالة، يكون اسم الملف القابل للتنفيذ في الأسفل بين قوسين، وفي الأعلى يوجد المكون الذي يطلق عليه، وهكذا حتى يتم الوصول إلى TCP/IP. يرجى ملاحظة أن هذا الأسلوب قد يستغرق وقتًا طويلاً ويتطلب أذونات كافية.
  • -e عرض إحصائيات إيثرنت. يمكن استخدامه مع الخيار -s.
  • -f عرض اسم المجال المؤهل بالكامل () للعناوين الخارجية.
  • -n عرض العناوين وأرقام المنافذ بتنسيق رقمي.
  • -o عرض معرف العملية لكل اتصال.
  • -p Protocol عرض الاتصالات للبروتوكول المحدد بواسطة هذه المعلمة. القيم الصالحة هي TCP أو UDP أو TCPv6 أو UDPv6. عند استخدامها مع خيار -s لعرض إحصائيات البروتوكول، تكون القيم الصالحة هي: IP أو IPv6 أو ICMP أو ICMPv6 أو TCP أو TCPv6 أو UDP أو UDPv6.
  • -r عرض محتويات جدول التوجيه.
  • -s عرض إحصائيات البروتوكول. افتراضيًا، يتم عرض إحصائيات بروتوكولات IP وIPv6 وICMP وICMPv6 وTCP وTCPv6 وUDP وUDPv6. يتيح لك الخيار -p تحديد مجموعة فرعية من المخرجات.
  • -t عرض حالة إلغاء التحميل للاتصال الحالي.
  • -x يعرض اتصالات NetworkDirect والمستمعين ونقاط النهاية المشتركة.
  • -y عرض قالب اتصال TCP لجميع الاتصالات. لا يمكن استخدامها مع خيارات أخرى. الفاصل الزمني عرض متكرر للإحصائيات المحددة مع توقف مؤقت بين شاشات العرض المحددة بواسطة الفاصل الزمني بالثواني. لإيقاف عرض الإحصائيات بشكل متكرر، اضغط على CTRL+C. إذا تم حذف هذا الخيار، فسيقوم netstat بطباعة معلومات التكوين الحالية مرة واحدة.

دعونا نلقي نظرة على المفاتيح المثيرة للاهتمام للأداة المساعدة netstat. أول شيء ندخل

وستظهر إحصائيات حزم شبكة إيثرنت على شاشتنا.

إذا أضفنا رمز التبديل -s، فسنحصل على إحصائيات حول البروتوكولات.

من المفيد جدًا رؤية كل ما يستمع إليه مضيفك، ولهذا نكتب

يحتوي إخراج الأمر على نوع البروتوكول، إما TCP أو UDP، والعنوان المحلي مع المنفذ الذي يستمع والعنوان الخارجي مع المنفذ، وحالة الإجراء.

لفهم المعلومات المقدمة بواسطة هذا الأمر بشكل كامل، من الضروري فهم مبادئ إنشاء الاتصال في بروتوكول TCP/IP. فيما يلي الخطوات الرئيسية في عملية إنشاء اتصال TCP/IP:

1. عند محاولة إنشاء اتصال، يرسل العميل رسالة SYN إلى الخادم.

2. يستجيب الخادم برسالة SYN الخاصة به وإقرار (ACK).

3. يرسل العميل بعد ذلك رسالة ACK مرة أخرى إلى الخادم، لاستكمال عملية إعداد الاتصال.

تتكون عملية قطع الاتصال من الخطوات التالية:

1. يقول العميل "لقد انتهيت" عن طريق إرسال رسالة FIN إلى الخادم. في هذه المرحلة، يتلقى العميل البيانات من الخادم فقط، لكنه لا يرسل أي شيء بنفسه.

2. يرسل الخادم بعد ذلك رسالة ACK ويرسل رسالة FIN الخاصة به إلى العميل.

3. يرسل العميل بعد ذلك رسالة ACK إلى الخادم لتأكيد طلب خادم FIN.

4. عندما يتلقى الخادم رسالة ACK من العميل، فإنه يغلق الاتصال.

يتيح لك فهم خطوات عملية إعداد الاتصال وإنهائه تفسير حالات الاتصال بشكل أكثر شفافية في مخرجات أمر netstat. يمكن أن تكون الاتصالات الموجودة في القائمة في الحالات التالية:

  • مغلق انتظر- يشير إلى المرحلة السلبية لإغلاق الاتصال، والتي تبدأ بعد أن يتلقى الخادم رسالة FIN من العميل.
  • مغلق- تم قطع الاتصال وإغلاقه من قبل الخادم.
  • مقرر- أنشأ العميل اتصالاً بالخادم عن طريق تلقي رسالة SYN من الخادم.
  • FIN_WAIT_1- بدأ العميل بإغلاق الاتصال (أرسل رسالة FIN).
  • FIN_WAIT_2- تلقى العميل رسائل ACK وFIN من الخادم.
  • LAST_ACK- أرسل الخادم رسالة FIN إلى العميل.
  • يستمع- الخادم جاهز لقبول الاتصالات الواردة.
  • SYN_RECEIVED- تلقى الخادم رسالة SYN من العميل وأرسل لها ردًا.
  • TIMED_WAIT- أرسل العميل رسالة FIN إلى الخادم وينتظر الرد على هذه الرسالة.
  • YN_SEND- الاتصال المحدد نشط ومفتوح.

إذا قمت بإضافة رمز التبديل -f، فسيتم حل أسماء الموارد الخارجية البعيدة



مقالات مماثلة
أنواع
  • أجهزة التوجيه
  • الأقراص الصلبة
  • لا يتم تشغيله
  • الطابعات
  • الفرامل
  • يتجمد
  • الفيروسات
  • أجهزة لوحية
المواد شعبية
مقالات جديدة