آشنایی با Netstat و دستورات آن

آشنایی با Netstat و دستورات آن

سلام دوستان ، در این مقاله میخوام راجب برنامه Netstat و دستورات آن کمی توضیح بدم تا شما یک آشنایی با این برنامه داشته باشین ، خب بچه ها هر وقت صحبت از Netstat میشه همه به یاد فرمان Netstat -n می افتن غافل از اینکه Netstat دستورات زیادی داره که بعضی از آنها به یک هکر کمکهای زیادی میکنه که من تمام دستورها را براتون توضیح میدم ولی قبلش باید بفهمیم که اصلاً Netstat چیه و چکار میکنه ؟

Netstat هم مثل Netbios یک برنامه خدماتی هست که در خود سیستم عاملها گذاشته شده ، مثلاً در ویندوز 9x و Me در پوشه Windows با اسم Netstat.exe قرار گرفته و در ویندوزهای بر پایه NT مثل 2000 نیز در پوشه D:WinNTSystem32 قرار گرفته و کلاً برای نمایش تمام ارتباطات ما در شبکه و فهمیدن پورتها و آیپی های سیستمها و ماشین هایی که ما با آنها در ارتباط هستیم بکار میره ، برای استفاده از Netstat احتیاج به هیچ برنامه کمکی و اضافی ندارین فقط کافیه به MS-DOS Prompt برین و دستوراتی که در ادامه این مقاله میگم را تایپ کنید ، ولی خب برنامه های زیادی برای استفاده آسان تر از Netstat آمده که احتیاجی به رفتن در Ms-Dos نداره و کار کاربران اینترنت و شبکه را راحت تر کرده که یکی از بهترین برنامه ها برای اینکار X-Netstat هست که اطلاعات زیادی از ارتباطهای شما وقتی که به شبکه وصل هستین میده ، درست مثل برنامه Netstat.exe ولی به صورت گرافیکی و تحت ویندوز .

 این برنامه همچنین سیستمهایی که از خارج سعی میکنن به سیستم شما وصل بشن را هم نشان میده و آیپی آنها را مشخص میکنه ، درست مثل یک فایروال و همچنین پورتهای Local و Remote و پروتکل هایی که شما با آنها ارتباط دارین را مشخص میکنه .
 X-Netstat بر_c7ی کاربران معمولی نسخه Standard را عرضه کرده که جدیدترین نسخه X-Netstat Standard ورژین 5.0 Beta هست و برای کاربران حرفه ای مثل شما نیز X-Netstat Professional را ارائه داده که جدیدترین نسخه آن 4.0 هست که برای مدیران شرکتها نیز مفیده ، شما میتون_http://www.freshsw.com/files/xnsp400.exe

خب این یکی از برنامه های مفیدی هست که مربوط به Netstat بود ولی حالا توضیح درباره دستورات خود Netstat :
دستور Netstat : دستور Netstat فرمان اصلی این برنامه هست که با تایپ این دستور شما متوجه آیپی سیستمها و پورتهایی که با آنها در ارتباط هستین بدست میارین و همچنین مشاهده میکنین که پورتهایی Listening و یا Established هستن و چه چیزی روی پورتهای مختلف در حال شنیده شدن هست که خب این باعث میشه اگر پورتی مخصوص یک تروجن مثل 27374 که پورت اصلی Sub7 هست در سیستم شما باز بود شما متوجه این پورت باز بروی سیستمتان بشین.
 اگر در قسمتForeign Address هم یک آیپی بوسیله آن پورت به سیستم شما وصل بود شما میفهمین که یک نفر با آن آیپی در سیستم شماست ، پس این یک راهی هست که متوجه بشین سیستمتان آسیب پذیر هست یا نه ، برای مثال من با تایپ دستور Netstat در Ms-Dos این نتایج را گرفتم :

C:WINDOWS>netstat
Active Connections
Proto Local Address Foreign Address State
TCP behrooz:1454 cs33.msg.sc5.yahoo.com:5050 ESTABLISHED
TCP behrooz:1488 63.123.44.222:80 ESTABLISHED
TCP behrooz:1491 opi1.vip.sc5.yahoo.com:80 TIME_WAIT
TCP behrooz:1497 64.187.54.23:80 ESTABLISHED
TCP behrooz:1498 64.187.54.23:80 ESTABLISHED
همانطور که ملاحظه میکنید این دستور گاهی اوقات اسم صاحب سیستم کلاینتی که شما با آن در ارتباط هستین را نیز میده و چون اینجا من با کسی در PM نبودم اسم کسی را نمیبینید ولی اگر کسی با من چت کنه و دستور Netstat را بزنه اسم بهروز را میبینه و متوجه میشه که این صاحب آن سیستم کلاینتی هست که داره با آن چت میکنه و همچنین مشخصه که من با پورت 5050 با یاهو مسنجر ارتباط برقرار کردم و همچنین نتایجی که در زیر Local Address مشخص اطلاعاتی درباره خود من هست :

IP/Hostname:Port open ===> behrooz:1488
و نتایجی که در Foreign Address بدست میاد مشخص میکنه که ما با چه سرور یا کلاینتی در ارتباطیم که در سطر دوم مثال بالا یعنی 63.123.44.222:80 که آیپی سایت یاهو هست من در سایت یاهو بودم و به وسیله پورت 80 که پورت Http هست من با این وب سرور ارتباط برقرار کردم و در قسمت Status هم مشخص میشه که شما با چه پورتهایی Established هستین.
 یعنی ارتباط برقرار کردین و وصل هستین و چه پورتهایی Listening یا منتظر Request و در حال شنیدن هستن ، بنابراین میشه با دستور Netstat یک عمل مانیتورینگ از تمام آیپی ها - پورتها و ماشینهایی که شما با آنها در ارتباطین گرفت .

دستور Netstat -n :
همانطور که در بالا توضیح دادم میشه با استفاده از Netstat آیپی و پورت سیستمی که شما با آن در ارتباطین را بدست آورد حتا میشه آیپی کسی داره با شما از طریقه PM در مسنجر چت میکنه را هم بدست آورد چون وقتی شما مسنجرها را باز میکنید با یک پورت خاصی شما با مسنجر ارتباط برقرار میکنین که مثلاً شما با پورت 5050 با یاهو مسنجر ارتباط برقرار میکنین .
 شما با استفاده از دستور Netstat -n که در MS-DOS تایپ میکنین میتونین آیپی طرف را بدست بیارین اگرچه من چند وقت پیش برنامه ProPort را معرفی کردم که اینکار را با قابلیتهای بیشتری انجام میده ولی با این دستور هم میشه اینکار را کرد .
 اگر شما بعد از تایپ این دستور و در نتیجه بدست آمده در قسمت Foreign Address با آیپی سیستمی بوسیله پورت 5101 ارتباط برقرار کرده بودین مطمئن باشین آن آیپی برای کسی هست که داره با شما چت میکنه مثلاً من با تایپ دستور Netstat -n این نتایج را گرفتم :
Active Connections
Proto Local Address Foreign Address State
TCP 207.117.93.43:1425 216.136.175.226:5050 TIME_WAIT
TCP 207.117.93.43:1431 64.242.248.15:80 ESTABLISHED
TCP 207.117.93.43:1437 213.102.29.137:5101 ESTABLISHED
همانطور که ملاحظه میکنید من در این لحظه با آیپی 213.102.29.137 در حال چت کردن بودم که اشتراکش هم از البرز بوده و آیپی خود من هم در قسمت Local Address مشخص میشه ، در قسمت Proto نیز پروتکلی که ما بوسیله آن با یک سیستم ارتباط برقرار کردیم مشخص میشه که اینجا از طریقه پروتکل TCP هستش .

دستور Netstat/? :
شاید بهتر بود من این دستور را قبل از 2 دستور Netstat و Netstat -n معرفی میکردم چون این دستور راهنما یا Help برنامه Netstat هست که با تایپ کردن آن شما یک صفحه کامل راجب فرمان Netstat میبینین و توضیح مختصری هم در جلوی هر دستور مشاهده میکنید ، شما با تایپ این دستور به این نتایج میرسین :

C:WINDOWS>netstat /?

Displays protocol statistics and current TCP/IP network connections.

NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r] [interval]

-a Displays all connections and listening ports.
-e Displays Ethernet statistics. This may be combined with the -s
option.
-n Displays addresses and port numbers in numerical form.
-p proto Shows connections for the protocol specified by proto; proto
may be TCP or UDP. If used with the -s option to display
per-protocol statistics, proto may be TCP, UDP, or IP.
-r Displays the routing table.
-s Displays per-protocol statistics. By default, statistics are
shown for TCP, UDP and IP; the -p option may be used to specify
a subset of the default.
interval Redisplays selected statistics, pausing interval seconds
between each display. Press CTRL+C to stop redisplaying
statistics. If omitted, netstat will print the current
configuration information once.

البته ابن تمام دستورات Netstat نیست و کلاً Help کاملی نیست ولی برای کسانی که میخواهن دانش سطحی از Netstat بدست بیارن مفید و میتونن از این دستور و help آن کمک بگیرن ولی من توضیح بیشتری راجب هر دستور میدم .

دستور Netstat -na :
با تایپ کردن این دستور در MS-DOS Prompt تمام پورتهایی که داده ها و بسته ها را میفرستن مشخص میشه ، نشان " na " در تمام دستورات به معنی نمایش همه پورتها و لیست کردن آدرسهای شبکه و شماره فرمها در یک قالب عددی هستش ، برای مثال من با تایپ این فرمان در MS-DOS این نتایج را گرفتم :
C:WINDOWS>netstat -na

Active Connections

Proto Local Address Foreign Address State
TCP 0.0.0.0:1954 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1971 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5101 0.0.0.0:0 LISTENING
TCP 64.110.148.59:1954 207.46.106.21:1863 ESTABLISHED
TCP 64.110.148.59:1971 216.136.225.36:5050 ESTABLISHED
TCP 64.110.148.59:2031 63.121.106.74:80 TIME_WAIT
TCP 127.0.0.1:1025 0.0.0.0:0 LISTENING
UDP 0.0.0.0:1958 *:*
UDP 64.110.148.59:9 *:*
UDP 64.110.148.59:137 *:*
UDP 64.110.148.59:138 *:*
UDP 127.0.0.1:1037 *:*
UDP 127.0.0.1:1074 *:*
خب میبینید که پورتهای باز روی سیستم من لیست شده مثل 1854-1971-2031 ... این دستور همان دستور Netstat -an هست که هر 2 تا یک عمل را انجام میدن و کارشون اینه که پورتها را با معادل عددیشان نشان میدن مثلاً پورت Netbios را با معادل عددیش یعنی 139 نشان میدن ، درست مثل دستور Netstat -n که آیپی ها را با معادل عددیشان نشان میداد ، این دستور پورتها را با معادل عددی نشان میده .

دستور Netstat -a :
این دستور نیز مثل دستور Netstat -an یا -na عمل میکنه فقط فرقش در اینه که این دستور پورتها را با معادل اسمیشان نشان میده ، برای مثال پورت 139 را با معادل اسمیش یعنی Netbios نشان میده و همچنین مانند دستور Netstat اسم صاحب سیستم را هم نشان میده ، مثلاً من با تایپ این دستور در MS-DOS به این نتایج سیدم :
C:WINDOWS>netstat -a
Active Connections

Proto Local Address Foreign Address State
TCP behrooz:2055 BEHROOZ:0 LISTENING
TCP behrooz:5101 BEHROOZ:0 LISTENING
TCP behrooz:2047 BEHROOZ:0 LISTENING
TCP behrooz:2055 cs43.msg.sc5.yahoo.com:5050 ESTABLISHED
TCP behrooz:nbsession BEHROOZ:0 LISTENING
TCP behrooz:2047 baym-cs21.msgr.hotmail.com:1863 ESTABLISHED
TCP behrooz:1025 BEHROOZ:0 LISTENING
UDP behrooz:2053 *:*
UDP behrooz:discard *:*
UDP behrooz:nbname *:*
UDP behrooz:nbdatagram *:*
UDP behrooz:nfs *:*
UDP behrooz:1037 *:*
خب همانطور که ملاحظه میکنید بعضی از پورتهای اصلی با معادل اسمی نشان داده شدن مثل پورت nbsession ولی این دستور برای تست کردن نقطه ضعفها و پورتهای باز در سیستم خودمان خیلی مفیده و اگر سیستم آلوده به تروجن بود میشه از این دستورها و کلاً برنامه Netstat این موضوع را فهمید ، پس آنهایی که سوال میکنن ما چطوری بفهمیم سیستم خودمان آلوده به تروجن هست یا نه ، استفاده از این دستور و کلاً دستورات Netstat میتونه خیلی بهشون کمک کنه .

خب تا اینجا شد 4 تا دستور ، این 4 تا دستور تمام ارتباطهای شما در شبکه را در MS-DOS نشان میده ولی مخصوص پروتکل خاصی نبود ، یعنی آیپی و پورتها را در TCP - UDP , ... نشان میداد ولی حالا میخوام یک دستور دیگه Netstat را بهتون معرفی کنم که باید خود شما پروتکل را انتخاب کنید تا ارتباطهای شما را در آن پروتکل نشان بده .

دستور Netstat -p xxx :
منظور از xxx یعنی آن پروتکلی که شما در نظر دارین که میتونه TCP و UDP باشه ، من با تایپ این دستور در MS-DOS به این نتیجه رسیدم :
C:WINDOWS>netstat -p TCP

Active Connections

Proto Local Address Foreign Address State
TCP behrooz:1030 baym-cs12.msgr.hotmail.com:1863 ESTABLISHED
TCP behrooz:1036 cs46.msg.sc5.yahoo.com:5050 TIME_WAIT
TCP behrooz:1059 svcs.microsoft.com:80 TIME_WAIT
TCP behrooz:1060 msntoday.msn.com:80 TIME_WAIT
TCP behrooz:1063 207.46.134.30:80 TIME_WAIT
TCP behrooz:1067 207.46.134.30:80 TIME_WAIT
TCP behrooz:1073 digital-island-bos-37.focaldata.net:80 CLOSE_WAIT
IT
TCP behrooz:1074 digital-island-bos-37.focaldata.net:80 CLOSE_WAIT
IT
TCP behrooz:1077 cs46.msg.sc5.yahoo.com:5050 ESTABLISHED
TCP behrooz:1087 64.124.82.13.akamai.com:80 ESTABLISHED
TCP behrooz:1111 64.124.82.21.akamai.com:80 ESTABLISHED
که همانطور که مشاهده میکنید من ارتباطم را در پروتکل TCP امتحان کردم برای مثال با MSN Messanger با پورت 1863 و با آدرس baym-cs12.msgr.hotmail.com ارتباط برقرار کردم و شما اگر میخواین آیپی این سرور را بفهمین میتونین از دستور Netstat -n استفاده کنید و آیپی که قبل از پورت 1863 در آن دستور مشاهده میکنید آیپی این سرور هست .

دستور Netstat -e :
این دستور نیز یکی از دستورات Netstat هستش که آماری از ارتباطها و بسته ها و شماره های ارسال و ذخیره بسته ها و داده ها را نشان میده ، من با تایپ دستور Netstat -e در MS-DOS Prompt این نتایج را گرفتم :
 
C:WINDOWS>netstat -e
Interface Statistics

Received Sent

Bytes 628308 224952
Unicast packets 2288 2218
Non-unicast packets 111 111
Discards 0 0
Errors 0 0
Unknown protocols 74

این دستور بیشتر برای ویندوزهای 9x - ME و همینطور مودمهایی که آمار بسته ها را نمیدن خوبه چون در ویندوز 2000 - XP قسمتی از این آمار براحتی در اختیار User قرار میگیره ، شما میتونین با استفاده از این دستور ترافیک ISP و شبکه را ببینید و همینطور برنامه هایی که دارین دانلود میکنید را چک کنید و یا اگر بسته ای در ارسالش مشکلی پیش بیاد میتونین در قسمت Errors مشاهده کنید ، ...

دستور Netstat -r :
این دستور توسط کاربران معمولی اینترنت زیاد بکار گرفته نمیشه چون درک بعضی از گزینه هاش برای کاربران عادی دشوار ، بحرحال این دستور جزییات دقیقی مثل آدرس Gateway - Interface Metric -Netmask , ... درباره آدرس آیپیتون در شبکه میده ، همچنین در ویندوزهای 9x - ME کار دستور Netstat -a روهم انجام میده ، برای هکینگ نیز این دستور و کلاً اطلاعات Routing Tables مهم و مفیده ، من با تایپ این دستور این نتایج را گرفتم :
D:>netstat -r

Route Table
===================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2000003 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===================================
===================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 64.110.148.61 64.110.148.61 1
64.110.148.48 255.255.255.255 64.110.148.61 64.110.148.61 1
64.110.148.61 255.255.255.255 127.0.0.1 127.0.0.1 1
64.255.255.255 255.255.255.255 64.110.148.61 64.110.148.61 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
224.0.0.0 224.0.0.0 64.110.148.61 64.110.148.61 1
Default Gateway: 64.110.148.61
==================================
Persistent Routes:
None

که البته این دستور را من در ویندوز 2000 استفاده کردم و اگر شما در ویندوز ME یا 9x این دستور را تایپ کنید نتایج بیشتری از ارتباطهایتان خواهیذ گرفت .

خب دوستان این دستورهایی که راجبشون توضیح دادم معروفترین و پرکاربردترین دستورهای Netstat بود ولی بجز اینها دستورهای دیگری هم وجود داره که دیگه فکر نکنم توضیح راجب آنها ضروری بنظر برسه ولی برای اینکه خود شما هم تمرینی کرده باشین این دستور را تست کنید : Netstat -s و ببینید که چه اطلاعاتی میتونید با دادن این دستور بدست بیارین .

گوگل Talk خود را به یاهو مسنجر و MSN مسنجر متصل کنید

طی روزهای گذشته گوگل در اطلاعیه ای خبر راه اندازی پروتکل های Jabber/XMPP را برای پیغام رسان آنلاین خود یعنی "Google Talk" اعلام کرد. اما آنچه در این رابطه پنهان مانده بود آن است که شما با اندکی دست کاری می توانید حداکثر استفاده را از پروتکل های مذکور ببرید.طی روزهای گذشته گوگل در اطلاعیه ای خبر راه اندازی پروتکل های Jabber/XMPP را برای پیغام رسان آنلاین خود یعنی "Google Talk" اعلام کرد. اما آنچه در این رابطه پنهان مانده بود آن است که شما با اندکی دست کاری می توانید حداکثر استفاده را از پروتکل های مذکور ببرید.

پس از آنکه گوگل تصمیم گرفت به منظور تقویت همکاری های خود با سرویس های Jabber تغییراتی در نحوه اتصال Google Talk به شبکه اینترنت بدهد با وجود آنکه قبلاً اعلام شده بود در حال حاضر امکان برقراری ارتباط با سرویس های مشابه یعنی یاهو مسنجر و MSN مسنجر وجود ندارد نرم افزار Psi این مشکل را حل کرد.

مراحل زیر گام به گام شما را برای انجام چنین کاری راهنمایی خواهند کرد.

ابتدا لازم است تا نرم افزار رایگان Psi را دانلود و نصب نمایید. برنامه Psi جهت مدیریت تماسها در شبکه های Jabber استفاده می شود، شما می توانید پس از یکبار انجام تنظیمات لازم، آنرا حذف کنید.

در سایت Psi یک راهنمای جامع در رابطه با تنظیمات Google Talk قرار داده شده است. لطفاً به صفحه مربوطه مراجعه کنید و مراحل گفته شده را انجام دهید.

اکنون به قسمت Service Discovery بروید، از میان لیست سرویسهای موجود در Jabber سرویس ursine.ca را انتخاب کنید. از لیست Transport های فعال یکی را انتخاب کرده تا نرم افزار Psi بصورت خودکار اطلاعات آنرا دریافت کند.

دکمه راست موس را بر روی Transport مورد نظر کلیک کند تا Register شود. مراحل ثبت شامل وارد کردن نام کاربری (User) و کلمه عبور (Password) شما برای آن سرویس خاص (بطور مثال یاهو و ...) می باشد.

بعد از این مرحله، نرم افزار Psi بصورت خودکار به شبکه معرفی شده متصل می شود و مشخصات شما را تائید می کند. در این هنگام لیست دوستان شما از آن شبکه به Google Talk منتقل می شوند.

در پایان برنامه به ازای افزودن هر نام جدید به لیست، از شما تائید می خواهد.

پس از انجام مراحل بالا، شما می توانید از درون Google Talk مستقیماً با دوستان خود در یاهو مسنجر، AOL و MSN مسنجر تماس برقرار نمایید، و یا حتی آنها را ADD/Remove کنید. بطور مثال، فرمت لازم برای اضافه کردن یک دوست در MSN بصورت Ali@msn.ursine.ca می باشد.

دانلود: PSI
مشاهده: تنظیمات Google Talk

اینترنت ماهواره ای

کاربران اینترنت با استفاده از امکانات متعددی قادر به اتصال به اینترنت و استفاده از منابع موجود می باشند. استفاده از خطوط تلفن معمولی ، مودم کابلی ، خطوط DSL ، اینترنت بدون کابل ، نمونه هائی در این زمینه می باشند. در صورتیکه کاربران اینترنت قادر به استفاده از هیچکدام از وسایل ارتباطی فوق نباشند ( بدلیل وجود مسافت زیاد بین استفاده کننده و مرکز ارائه دهنده خدمات مورد نظر ) ، امکان استفاده از اینترنت ماهواره ای وجود خواهد داشت . اینترنت ماهواره ای از خطوط تلفن و یا سیستم های مبتنی بر کابل برای برقراری ارتباط استفاده نمی نماید. در این نوع سیستم ها از یک "بشقاب ماهواره ای " برای ارسال و دریافت اطلاعات ( دو طرفه ) استفاده می گردد. معمولا" در این نوع سیستم ها سرعت ارسال اطلاعات معادل یک دهم سرعت دریافت اطلاعات است . مودم های کابلی  و خطوط DSL نسبت به اینترنت ماهواره ای دارای سرعت بمراتب بیشتری  در رابطه با دریافت اطلاعات می باشند. سرعت اینترنت ماهواره ای ده برابر سرعت یک مودم معمولی است . 

موسسات و شرکت های متفاوتی تاکنون سرویس اینترنت ماهواره ای را در اختیار علاقه مندان قرار می دهند. StarBand,Pegasus Express ,Teledesic و Tachyon نمونه هائی از شرکت های ارائه دهنده خدمات اینترنت ماهواره ای بصورت دو طرفه می باشند. سرویس ارائه شده توسط Tachyon در امریکا ، اروپای غربی و مکزیک ارائه شده است . Pegasus Express نسخه دو طرفه DirectPC است .

در اینترنت ماهواره ای دو طرفه از عناصر زیر استفاده می شود :

• یک "بشقاب " (Dish) با ابعاد دو و یا سه فوت

• دو عدد مودم ( Uplink,downlink )

• کابل های کواکسیال بین بشقاب و مودم

در اینترنت ماهواره ای دو طرفه از تکنولوژی IP multicasting استفاده می شود. در این حالت امکان ارتباط 5.000 کانال بصورت همزمان و از طریق صرفا" یک ماهواره فراهم خواهد شد. IP multicasting ، داده های مورد نظر را از یک نقطه به چندین نقطه و بصورت فشرده ، ارسال خواهد کرد( در یک زمان )  . با فشرده سازی اطلاعات ، حجم داده ها کاهش و از پهنای باند موجود استفاده بهینه خواهد شد.

در سیستم DirectPC ( ارائه شده توسط DirectTV) ، کاربران همچنان می بایست از یک ISP استفاده نمایند. در این حالت کاربران برای ارسال اطلاعات در ابتدا می بایست با ISP  تماس و در ادامه اقدام به ارسال و یا دریافت اطلاعات  نمایند