netstat -an及其结果分析
netstat, 结果
前言:
这几天由于病毒的日益流行,许多朋友开始对防毒和防黑重视起来,装了不少的
病毒或网络防火墙。诚然,通过防火墙我们可以得到许多有关我们计算机的信息,不过
windows自带的netstat更加小巧玲珑,可以让你不费吹灰之力就可以对本机的开放端口
和连接信息一览无余。
针对netstat命令的用法及相关结果,个人搜集了一些文章,加以整理总结,写了
这篇文章,希望对同学们有多帮助。
1stat命令用法
关于该命令的用法你可以很容易的从netstat /?中获取,这里不再做无意义的复制
粘贴了,朋友们自己看一下吧。这里重点提一下"-a"和"-n"选项。"-a"选项意在显示
所有连接,当不附加"-n"选项时,它显示的是本地计算机的netbios名字+端口号。而
加了"-n"选项后,它显示的是本地IP地址+端口号。
For example:
[netstat -a]
TCP    fdlpw:ftp              fdlpw:0                LISTENING
[netstat -an]
TCP    0.0.0.0:21            0.0.0.0:0              LISTENING
2.端口的基本知识
端口基本上可分为三大类:公用端口,注册端口和动态/私有端口。
公认端口(Well Known Ports):从0到1023,它们紧密绑定于一些服务。通常这些端
口的通讯明确表明了某种服务的协议。例如:80端口实际上总是HTTP通讯。
注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。也就
是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统
处理动态端口从1024左右开始。
动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535。理论上,
不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:
SUN的RPC端口从32768开始。
特别的要注意以下几点:
*ICMP没有端口概念,防火墙中的所谓端口指的是是其type.
ICMP只有两个域:即type和code.
*0端口通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效
  端口,当你试图使用一种通常的闭合端口连接它时将产生不同的结果。
 *1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪
  个端口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点
  分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端
口1024。为了验证这一点,你可以重启机器,打开Telnet,再打开一个窗口运行
“netstat -”,你将会看到Telnet被分配1024端口。请求的程序越多,动态端口
也越多,操作系统分配的端口将
逐渐变大。再来一遍,当你浏览Web页时用“netstat
查看,每个Web页需要一个新端口。
*一些系统所经常用到的公用和动态端口在\system32\drivers\etc目录下的services
文件中定义,你可以在notepad中打开该文件。
3stat结果信息的结构
 TCP    0.0.0.0:21            0.0.0.0:0              LISTENING
 针对这个子项:
 TCP:所用协议,传输控制协议。
 0.0.0.0:21:0.0.0.0是表示本机ip,如果是动态端口的话通常用本地ip表示而不是全0
        21表示本机上该服务分配的端口号
 0.0.0.0:0:表示外部任何主机的任何端口
 LISTENING:表示该服务处于监听状态。
 对于netstat -a的结果,通常是用服务名来代替其端口,如:
 TCP    fdlpw:ftp              fdlpw:0                LISTENING
 这里fdlpw替代了0.0.0.0,ftp替代了端口21
通常情况下在\system32\etc\services文件中对相应服务名有相关说明,下面给出更
 详尽的描述:
# <;服务名>    <;端口号>/<;协议>  [别名]            [#<;注释>]
echo                7/tcp                      #回应
echo                7/udp                      #回应
discard            9/tcp    sink null          #删除
discard            9/udp    sink null          #删除
systat            11/tcp    users              #Active users 活动用户
systat            11/tcp    users              #Active users 活动用户
daytime            13/tcp                      #时间
daytime            13/udp                      #时间
qotd              17/tcp    quote              #Quote of the day 日期的引用
qotd              17/udp    quote              #Quote of the day 日期的引用
chargen            19/tcp    ttytst source      #Character generator 字符生成
chargen            19/udp    ttytst source      #Character generator 字符生成
ftp-data          20/tcp                      #FTP, data 文件传输[默认数据]
ftp                21/tcp                      #FTP. control 文件传输[控制],
连接对话
telnet            23/tcp                      #远程登录
smtp              25/tcp    mail              #Simple Mail Transfer
Protocol 简单邮件传送
time              37/tcp    timserver          #时间
time              37/udp    timserver          #时间
rlp                39/udp    resource          #Resource Location Protocol
资源定位协议
nameserver        42/tcp    name              #Host Name Server 主机名服务
nameserver        42/udp    name              #Host Name Server 主机名服务
nicname            43/tc
p    whois              #哪个用户
domain            53/tcp                      #Domain Name Server 域名服务
domain            53/udp                      #Domain Name Server 域名服务
bootps            67/udp    dhcps              #Bootstrap Protocol Server 动
态主机配置协议/远程启动协议
服务器
bootpc            68/udp    dhcpc            #Bootstrap Protocol Client 动
态主机配置协议/远程启动协议
客户端
tftp              69/udp                      #Trivial File Transfer 普通文
件传输协议
gopher            70/tcp                      #Gopher
finger            79/tcp                      #Finger
http              80/tcp    www www-http      #World Wide Web 万维网超文本
传输协议
kerberos          88/tcp    krb5 kerberos-sec  #Kerberos
kerberos          88/udp    krb5 kerberos-sec  #Kerberos
hostname          101/tcp    hostnames          #NIC Host Name Server NIC主机
名服务器
iso-tsap          102/tcp                      #ISO-TSAP Class 0    IOS传送
层服务访问点
rtelnet          107/tcp                      #Remote Telnet Service 远程
TELlnet服务
pop2              109/tcp    postoffice        #Post Office Protocol -
Version 2 邮局协议版本2
pop3              110/tcp                      #Post Office Protocol -
Version 3 邮件协议版本3
sunrpc            111/tcp    rpcbind portmap    #SUN Remote Procedure Call
SUN远程过程调用
sunrpc            111/udp    rpcbind portmap    #SUN Remote Procedure Call
SUN远程过程调用
auth              113/tcp    ident tap          #Identification Protocol 鉴别
服务协议
uucp-path        117/tcp                      #UUCP路径服务
nntp              119/tcp    usenet            #Network News Transfer
Protocol 网络新闻组传送协议
ntp              123/udp                      #Network Time Protocol 网络时
间协议
epmap            135/tcp    loc-srv            #DCE endpoint resolution 数据
通信设备定位
服务
epmap            135/udp    loc-srv            #DCE endpoint resolution 数据
通信设备定位服务
netbios-ns        137/tcp    nbname            #NETBIOS Name Service
NetBIOS命名服务
netbios-ns        137/udp    nbname            #NETBIOS Name Service
NetBIOS命名服务
netbios-dgm      138/udp    nbdatagram        #NETBIOS Datagram Service
NetBIOS数据报服务
netbios-ssn      139/tcp    nbsession          #NETBIOS Session Service
NetBIOS会话服务
imap              143/tcp    imap4              #Internet Message Access
Protocol Internet邮件存取协
议版本
4pcmail-srv        158/tcp                      #PCMail Server  PC Mail服务器
snmp              161/udp                      #SNMP  简单网络管理协议
snmptrap          162/udp    snmp-trap          #SNMP trap
print-srv        170/tcp                      #Network PostScript 网络
PostScript
bgp              179/tcp                      #Border Gateway Protocol 边际
网关协议
irc              194/tcp                      #Internet Relay Chat
Protocol Internet中继对话协
ipx              213/udp                      #IPX over IP
ldap              389/tcp                      #Lightweight Directory Access
Protocol 轻量目录访问协议
https            443/tcp    MCom              #(暂未翻译)只能理解为:访问
SSL安全站点使用的协议
https            443/udp    MCom              #(暂未翻译)只能理解为:访问
SSL安全站点使用的协议
microsoft-ds      445/tcp                      #IP 上的服务器消息块 (SMB),
即 Microsoft-DS
microsoft-ds      445/udp                      #IP 上的服务器消息块 (SMB),
即 Microsoft-DS
kpasswd          464/tcp                      # Kerberos (v5)
kpasswd          464/udp                      # Kerberos (v5)
isakmp            500/udp    ike                #Internet Key Exchange
Internet密钥交换
exec              512/tcp                      #Remote Process Execution 远
程过程执行
biff      512/udp    comsat
#邮件系统使用它通知用户新邮件的到达;目前仅用于
从同一台计算机上的进程接受信息
login            513/tcp                      #Remote Login  像telnet一样进
行远程登录
who      513/udp    whod                      #维护表明哪些用户登录到一个局
域网的计算机上和上和计算机负
载平均值的数据库
aix系统netstat命令详解
cmd              514/tcp    shell              #类似于exec,但可为登录的服务
器自动执行鉴别
syslog            514/udp                      #(未查阅到资料,暂未翻译)
printer          515/tcp    spooler          #假脱机;打印服务器LPD服务将监
听TCP的515端口上的进入连接
talk              517/udp                      #类似于tenex链接,但它是跨越
计算机的。
ntalk            518/udp                      #(未查阅到资料,暂未翻译)
efs              520/tcp                      #Extended File Name Server 扩
展文件名服务
router            520/udp    route routed      #本地路由进程(在站点上);使
用XeroxNS路由信息协议的变体
timed            525/udp    timeserver        #(未查阅到资料,暂未翻译)
tempo            526/tcp    newdate            #(未查阅到资料,暂未翻译)
courier          530/tcp    rpc                #远程过程调用
conference        531/tcp    chat              #(未查阅到资料,暂未翻译)
netnews          532/tcp    readnews          #读新闻
netwall          533/udp                      #For emergency broadcasts 用
于紧急事件广播
uucp              540/tcp    uucpd              #(未查阅到资料,暂未翻译)
klogin            543/tcp                      #Kerberos login
kshell            544/tcp    krcmd              #Kerberos remote shell
new-rwho          550/udp    new-who            #(未查阅到资料,暂未翻译)
remotefs          556/tcp    rfs rfs_server    #远程文件系统服务器
rmonitor          560/udp    rmonitord          #(未查阅到资料,暂未翻译)
monitor          561/udp                      #(未查阅到资料,暂未翻译)
ldaps            636/tcp    sldap      #LDAP over TLS/SSL 轻量目录访问协议穿
过安全套接字层/传输层安全
doom              666/tcp                      #Doom Id Software (未查阅到
资料,暂未翻译)
doom              666/ud
p                      #Doom Id Software (未查阅到
资料,暂未翻译)
kerberos-adm      749/tcp                      #Kerberos administration
Kerberos管理
kerberos-adm      749/udp                      #Kerberos administration
Kerberos管理
kerberos-iv      750/udp                      #Kerberos version IV (未查阅
到资料,暂未翻译)
kpop            1109/tcp                      #Kerberos POP  Kerberos方式弹
phone            1167/udp                      #Conference calling (未查阅
到资料,暂未翻译)
ms-sql-s        1433/tcp                      #Microsoft-SQL-Server 微软SQl
服务
ms-sql-s        1433/udp                      #Microsoft-SQL-Server 微软SQl
服务
ms-sql-m        1434/tcp                      #Microsoft-SQL-Monitor 微软SQ
服务监视器
ms-sql-m        1434/udp                      #Microsoft-SQL-Monitor 微软SQ
服务监视器
wins            1512/tcp                      #Microsoft Windows Internet
Name Service
#保留给微软windows的Internet
名字服务将来使用
wins            1512/udp                      #Microsoft Windows Internet
Name Service
ingreslock      1524/tcp      ingres          #(未查阅到资料,暂未翻译)
l2tp            1701/udp                      #Layer Two Tunneling
Protocol 第二层隧道协议
pptp            1723/tcp                      #Point-to-point tunnelling
protocol 点对点隧道协议
radius          1812/udp                      # RADIUS authentication
protocol (暂未翻译)
radacct          1813/udp                      #RADIUS accounting
Protocol (暂未翻译)
nfsd            2049/udp      nfs              #NFS server 网络文件系统服务
knetd            2053/tcp                      #Kerberos de-multiplexor
Kerberos分离器
man              9535/tcp                      #Remote Man Server 远程管理服
务器
特别的,针对下面的子项:
TCP