ไม่ว่าจะมาจากโปรโตคอล TCP, UDP, ICMP และอื่นๆ รวมไปถึงหมายเลขพอร์ตและ IP
ของผู้ติดต่อ ออกมาให้เราดูเพื่อใช้ในการวิเคราะห์และตรวจสอบการเชื่อมต่อของเครื่องของเรา
สามารถใช้คำสั่งนี้เรียกดูผ่านหน้าต่าง Command Prompt ได้เลยครับ โดยเข้าไปที่
1.คลิกปุ่ม Start > Run > พิมพ์ cmd
2. จะได้หน้าจอ Command Prompt ออกมาให้เราทดลองพิมพ์คำสั่งคำว่า netstat ลงไปแล้วจะได้ผลลัพธ์อย่างภาพซึ่งในแต่ละเครื่องจะไม่เหมือนกันแล้วแต่การเชื่อมต่อที่เราได้เชื่อมต่อเอาไว้โดยหลักๆก็จะมีข้อมูลดังต่อไปนี้
Proto คือโปรโตคอลที่กำลังใช้งานอยู่จะมี TCP และ UDP เป็นหลัก
Local Address (ค่า IP หรือชื่อเครื่อง:พอร์ตที่ใช้งานอยู่) คือจะแสดง หมายเลข IP ของเรา
(ในที่นี้เป็นชื่อเครื่อง) และ พอร์ตที่กำลังใช้งานอยู่
Foreign Address (ค่า IP หรือชื่อเครื่อง:พอร์ตที่ใช้ติดต่ออยู่): อันนี้จะแสดงชื่อหรือ IP addressของ
เครื่องที่เรากำลังติดต่ออยู่ด้วย และหมายเลขพอร์ตที่เราใช้เชื่อมต่อนั้นๆ
State คือ สถานะของการเชื่อมต่อของ netstat นั้นๆจะมีอยู่ด้วยกัน 4 สถานะหลักๆได้แก่
Established เป็นสถานะที่บอกว่าเครื่องนั้นๆได้เกิดการเชื่อมต่อกับ IP address ปลายทาง
ด้วยพอร์ตหมายเลขนั้นแล้ว ซึ่งสถานะนี้เป็นสถานะที่เกิดได้ทั่วไปเพราะการเชื่อมต่อใน internet นั้น
เป็นเรื่องที่ธรรมดาอยู่แล้วแต่ถึงอย่างไรก็ตามเราควรตรวจสอบให้ดีเพราะมีบางพอร์ตที่ไม่จำเป็นก็ไม่ควร
จะมีการเชื่อมต่ออยู่เช่นพอร์ต 23 ซึ่งเป็นพอร์ตของ telnet ซึ่งโดยทั่วไปแล้วนั้นไม่มีใครใช้กันสักเท่าไร
และที่สำคัญอีกอย่างสำหรับสถานะ Established ก็คือควรตรวจสอบก่อนว่าเราไม่ได้ connect ไปหา
IP address แปลกๆเข้าให้เพราะว่าบางที่นั้นอาจเป็นเพราะว่าในเครื่องของเราลักลอบติดต่อไป
ด้วยโปรแกรมอันตรายอย่าง Trojan อยู่ก็เป็นไปได้
Time_wait คือสถานะที่รอการเชื่อมต่อกลับมาอยู่หรือถ้าเราจะมองในแง่ร้ายสุดๆก็คือโดนสแกนพอร์ตอยู่
Listening คือยังไม่มีเครื่องใดติดต่อมาหรือว่ากำลังรอการเชื่อมต่ออยู่นั้นเอง
Close_wait คือปิดการเชื่อมต่อปกติจะไม่พบมากสำหรับสถานะนี้
และสถานะอื่นๆที่อาจพบได้แก่ SYN_SENT , FIN_WAIT เป็นต้น
ค่าพารามิเตอร์ต่างๆของ netstat นอกจากคำสั่งพื้นฐานโดยทั่วไปนั้นแล้ว netstat ยังมีค่าพารามิเตอร์
ต่างๆออกมาเพื่อที่จะทำให้การตรวจสอบนั้นเป็นไปได้อย่างละเอียดมากยิ่งขึ้น ซึ่งพารามิเตอร์เหล่านั้น
เราสามารถดูได้จาก help ของตัว netstat เองซึ่งคำสั่งนั้นก็คือ netstat /? ซึ่งจะเป็นภาษาอังกฤษ
หรือว่าสามารถอ่านความหมายและวิธีการใช้งานเบื้องต้นได้ข้างล่าง
คำสั่งหลักๆของ netstat
-a คือคำสั่งที่ให้แสดงการเชื่อมต่อทั้งหมดออกมาไม่ว่าจะเป็น IP address หรือว่าพอร์ตก็ตาม
ส่วนใหญ่คำสั่งนี้จะแสดงเป็นชื่อแทนที่จะเป็น IP address โดยตรง ตัวอย่างดังภาพด้านล่าง
-e คือ คำสั่งที่แสดงข้อมูลออกมาในรูปแบบของสถิติ เช่น มีการส่งออกไปกี่ Bytes, จำนวนแแพ็คเกจที่ดีๆ, จำนวนแพ็คเกจที่ถูกทิ้ง, ความผิดพลาดที่เกิดขึ้น และอีกหลายๆอย่าง
-n คือคำสั่งที่มีการสั่งให้แสดงเป็นหมายเลข IP address แทนที่จะเป็นแบบชื่อ
-o แสดง process ID ที่มีการเชื่อมต่ออยู่ด้วย
-p proto คือคำสั่งที่ให้แสดงการเชื่อมต่อในโปรโตคอลนั้นออกมาด้วยไม่ว่าจะเป็น TCP, UDP, TCPv6, UDPv6, และถ้าใช้ควบคู่กับคำสั่ง –s จะสามารถแสดง โปรโตคอลอื่นๆได้ด้วย ลักษณะการใช้งาน netstat –p tcp เป็นต้น ถ้าอยากดูโปรโตคอลอื่นก็เปลี่ยนจาก tcp เป็นโปรโตคอลอื่นที่ต้องการ
-r แสดงข้อมูลใน routing Table ของเครื่อง
-s แสดงสถิติของโปรโตคอลอื่นๆออกมาด้วยยกตัวอย่างเช่น IP, IPv6, ICMP, ICMPv6, TCP, TCPv6,UDP, UDPv6 เป็นต้น
netstat (ค่าตัวเลข) คือคำสั่งที่บังคับให้มีการแสดงการเชืื่อมต่อนั้นทุกๆ ค่าตัวเลข วินาที
พารามิเตอร์อื่นๆ –b และ –v ก็มีความสำคัญเช่นเดียวกันและ Tip ที่น่ารู้เกี่ยวกับ netstat นั้นก็คือ
พารามิเตอร์ต่างๆที่เราเห็นนั้นบางพารามิเตอร์เราสามารถใช้งานควบคู่กันได้ยกตัวอย่าง เช่น –a และ –n
ลักษณะการใช้งานเราสามารถใช้ได้ 2 แบบนั้นก็คือ netstat –a –n หรือว่า netstat –an เลยก็ได้
ไม่มีความคิดเห็น:
แสดงความคิดเห็น