این دستور که با سویچ های دیگری هم استفاده میشه یکی از دستورایی هست که همه هکر ها اول باهاش آشنا میشن.که با تایپ این دستور شما متوجه آی پی سیستمها و پورتهایی که با آنها در ارتباط هستید میشوید و مشاهده میکنید که چه پورتهایی Listening و یا Established هستن این باعث میشود اگر پورتی مخصوص یک تروجن مثل 27374 که پورت اصلی Sub7 هست در سیستم شما باز بود شما متوجه این پورت باز بروی سیستمتان بشوید. اگر در قسمت Foreign Address هم یک آی پی بوسیله پورتی به سیستم شما وصل بود شما به سرعت متوجه می شوید که یک نفر با آن آیپی در سیستم شماست ، پس این راهیست که متوجه گردید سیستمتان آسیب پذیر است یا نه ، برای مثال من با تایپ دستور Netstat در Ms-Dos پس از اتصال به اینتر نت نتایج زیر را گرفتم : C:\WINDOWS>netstat Active Connections Proto Local Address Foreign Address State TCP Midia:1454 cs33.msg.sc5.yahoo.com:5050 ESTABLISHED TCP Midia:1488 63.123.44.222:80 ESTABLISHED TCP Midia:1491 opi1.vip.sc5.yahoo.com:80 TIME_WAIُT TCP Midia:1497 64.187.54.23:80 ESTABLISHED TCP Midia:1498 64.187.54.23:80 ESTABLISHED
همانطور که ملاحظه میکنید این دستور گاهی اوقات اسم صاحب سیستم کلاینتی که شما با آن در ارتباط هستید را نیز میدهد و چون اینجا من با کسی در PM نبودم اسم کسی را نمیبینید ولی اگر کسی با من چت کند و دستور Netstat را اجرا کند اسم را میبیند و متوجه میشود کهMidia صاحب آن سیستم کلاینتی می باشدکه در حال چت کردن با آن است و همچنین در این قسمت مشخص است که من با پورت 5050 با یاهو مسنجر ارتباط برقرار کرده ام و نیز نتایجی که در زیر Local Address مشخص است اطلاعاتی درباره خود من می باشد . و نتایجی که در Foreign Address بدست میاد مشخص میکند که ما با چه سرور یا کلاینتی در ارتباط هستیم . که در سطر پنجم مثال بالا یعنی 63.123.44.222:80 آیپی سایت یاهو میباشد و مشخص میکند که من در سایت یاهو بوده و به وسیله پورت 80 که پورت Http میباشد با این وب سرور ارتباط برقرار کرده ام و در قسمت Status هم مشخص میشود که شما با چه پورتهایی Established هستید یعنی ارتباط برقرار کرده و وصل هستید و چه پورتهایی Listening یا منتظر Request و در حال شنیدن می باشید ، بنابراین با دستور Netstat می شود یک عمل مانیتورینگ از تمام آیپی ها - پورتها و ماشینهایی که شما با آنها در ارتباط هستید گرفت .
دستور Netstat/? : Help برنامه Netstat را معرفی میکند و سویچ های که ازش میتوان استفاده کرد و در مقابل هر سویچ در مورد کار آن توضیح مختصری میدهد.
دستور Netstat -n :
با این دستور میتوان آیپی و پورت سیستمی که شما با آن در ارتباط هستید را بدست آورد . برای مثال وقتی شما با یک نفر در یاهو مسنجر چت میکنید پورت ۵۰۵۰ روی سیستم open هست چون یاهو از پورت ۵۰۵۰ استفاده میکند پس با تایپ netstat -n خواهید داشت: Active Connections Proto Local Address Foreign Address State TCP 217.219.223.21:1425 216.136.175.226:5050 TIME_WAIT TCP 217.219.223.21:1431 64.242.248.15:80 ESTABLISHED TCP 217.219.223.21:1437 217.219.223.38:5101 ESTABLISHED
همانطور که ملاحظه میکنید من در این لحظه با آیپی 217.219.223.38 در حال چت کردن بودم که اشتراکش هم از رایان روش بوده (مثل خودم)و آی پی خود نیز پروتکلی که ما بوسیله آن با یک سیستم ارتباط برقرار کردیم Proto مشخص میشود در قسمت Local Address من هم TCPارتباط برقرار شده است.
دستور Netstat -na :
با تایپ کردن این دستور در MS-DOS Prompt تمام پورتهایی که داده ها و بسته ها را میفرستند مشخص میشود ، نشان " na " در تمام دستورات به معنی نمایش همه پورتها و لیست کردن آدرسهای شبکه و شماره فرمها در یک قالب عددی می باشد ، برای مثال من با تایپ این فرمان در MS-DOS این نتایج را گرفتم :
C:\WINDOWS>netstat -na Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:1954 0.0.0.0:0 LISTENING TCP 0.0.0.0:5101 0.0.0.0:0 LISTENING TCP 217.219.223.21:1954 207.46.106.21:1863 ESTABLISHED TCP 217.219.223.21:1971 216.136.225.36:5050 ESTABLISHED TCP 217.219.223.21:2031 63.121.106.74:80 TIME_WAIT TCP 127.0.0.1:1025 0.0.0.0:0 LISTENING *:* UDP 0.0.0.0:1958 *:* UDP 64.110.148.59:9 *:* UDP 64.110.148.59:137 *:* UDP 64.110.148.59:138
خب میبینید که پورتهای باز روی سیستم من لیست شده است. مثل 1954-1971-2031
دستور Netstat -a : این دستور نیز مثل دستور Netstat -an یا -na عمل میکنه فقط فرقش در اینه که این دستور پورتها را با معادل اسمیشان نشان میدهد ، برای مثال پورت 139 را با معادل اسمیش یعنی Netbios نشان میدهد و همچنین مانند دستور Netstat اسم صاحب سیستم را پرینت میکند .(این دستور برای تست کردن نقطه ضعفها و پورتهای باز در سیستم های خودمان بسیار مفید میباشد و اگر سیستم آلوده به تروجن بود میشود از این دستورها و کلاً برنامه Netstat این موضوع را فهمید ، پس آنهایی که سوال میکنند ما چگونه بفهمیم سیستم خودمان آلوده به تروجن هست یا نه ، استفاده از این دستور و کلاً دستورات Netstat میتواند خیلی به آنها کمک کند )
دستور Netstat -p xxx : منظور از xxx یعنی آن پروتکلی که شما در نظر دارید که میتواند TCP و UDP باشد.
دستور Netstat -e : این دستور نیز یکی از دستورات Netstat است که آماری از ارتباطها و بسته ها و شماره های ارسال و ذخیره بسته ها و داده ها را نشان میدهد .(این دستور بیشتر برای ویندوزهای 98 , me و همینطور مودمهایی که آمار بسته ها را نمیدهند خوب
و مفید است چون در ویندوز 2000 – XP- قسمتی از این آمار براحتی در اختیار User قرار میگیرد ، و شما میتونید با استفاده از این دستور ترافیک ISP و شبکه را ببینید و همینطور برنامه هایی که در حال دانلود هستسد را چک کنید و یا اگر بسته ای در ارسالش مشکلی پیش بیاد میتوانید در قسمت Errors مشاهده کنید ، ...)
دستور Netstat -r : این دستور توسط کاربران معمولی اینترنت زیاد بکار گرفته نمیشود چون درک بعضی از گزینه هاش برای کاربران عادی دشوار ، بحرحال این دستور جزییات دقیقی مثل آدرس Gateway - Interface Metric -Netmask , ... درباره آدرس آی پی شما در شبکه میدهد ، همچنین در ویندوزهای8 9 - ME کار دستور Netstat -a را هم انجام میدهد .
