Netstat:
Häufig liest man im Web den Begriff „Netstat“ und weiß eigentlich garnicht
genau
was der Befehl bedeutet, oder was man genau dadurch erfahren kann. In den
nächsten
Zeilen werde ich etwas näher auf die Arbeitsweise und Funktionen
von „Netstat“
eingehen.
Wozu kann man Netstat gebrauchen?
Es gibt viele Anwendungsmöglichkeiten für den Netstat-Befehl. Das sind
die bekanntesten
und herkömmlichsten:
IP eines ICQ-Users herausfinden.
Eigene IP herausfinden.
ICQ-Ports von sich und „Opfer“ herausfinden.
Überprüfen ob man mit einem Trojaner infiziert ist.
Aktuelle Verbindungen überprüfen.
Netstat ist an sich nur ein kleines Hilfsprogramm das Microsoft standartmäßig
in Windows integriert hat. Es gibt noch viele weitere Programme solcher Art,
wie z. B. „ping“, „route“, oder „tracert“.
Netstat wird ausgeführt indem man einen Dos-Prompt öffnet und dann einfach
„netstat“ eingibt. Wenn Ihr eine direkte Hilfe zu dem Befehl braucht,
gebt doch mal
netstat ?
ein, dann erscheint eine Tabelle die wie folgt aussieht:
NETSTAT [-a] [-n] [-e] [-s] [-p Proto] [-r] [Intervall]
[-a] Zeigt den Status aller Verbindungen an. (Verbindungen
des Servers werden normalerweise nicht angezeigt).
[-e] Zeigt die Ethernet-Statistik an. Kann mit der Option -s
kombiniert werden.
[-n] Zeigt Adressen und Anschlüsse numerisch an.
[-p] [Proto] Zeigt Verbindungen für das mit Proto angegebene Protokoll
an. Proto kann TCP oder UDP sein. Bei Verwendung mit der
Option -s kann Proto TCP, UDP oder IP sein.
[-r] Zeigt den Inhalt der Routing-Tabelle an.
[-s] Zeigt Statistik protokollweise an. Standardmäßig werden
TCP, UDP und IP angezeigt. Mit der Option -p können Sie dies
weiter einschränken.
[Intervall] Zeigt die gewählte Statistik nach der mit Intervall angege-
benen Anzahl Sekunden erneut an. Drücken Sie Strg+C zum
Beenden der Intervallanzeige. Ohne Intervallangabe werden
die aktuellen Konfigurationsinformationen einmalig
angezeigt.
Hier noch ein Beispiel zu dem Argument [Intervall]:
„netstat -a 5“
Das würde bedeuten, daß alle 5 Sekunden die Tabelle aktualisiert wird.
Falls Ihr abbrechen wollt, dann drückt die Tastenkombination „Strg + C“.
Allerdings wird die Dos-Hilfe einem kompletten Newbie nicht viel weiterhelfen.
Deswegen werde ich jetzt auf die häufig genutzten Argumente eingehen und
sie genauer erklären.
Wir beginnen jetzt mit dem -a Argument. Das -a Argument zeigt alle geöffneten
Anschlüsse auf deinem Computer. Es zeigt den Host und den Port des Systems
an, mit dem Ihr verbunden seid und ebenfalls auch, auf welche Art Ihr
verbunden seid. Ok, wenn Ihr nun den Befehl in eienem Dos-Fenster eingebt,
kann es zum Beispiel so aussehen (Werte sind nur ausgedacht!):
C:netstat -a
Proto Local Adress Foreign Adress State
TCP mase:1031 www.gcf.de:80 ESTABLISHED
TCP mase:1036 www.heise.de:80 ESTABLISHED
TCP mase:1052 freemail.com:110 ESTABLISHED
So, ich erkläre jetzt mal die einzelnen Begriffe mit dem Beispiel der ersten
Zeile:
Proto steht für das genutzte Protokoll, in unserem Fall TCP. Es kann aber
auch UDP oder IP sein. Mit Local Adress ist hier eure Windows-Anmeldung
gemeint bzw. euer Rechnername, nach dem Doppelpunkt steht
der von euch benutzte Port dazu. Mit was Ihr verbunden seid steht unter
Foreign Adress, oberste Zeile wäre bei uns www.gcf.de und nach dem
Doppelpunkt wieder der Port, also 80 (logisch http).
State zeigt euch den Status, in unserem Beispiel
ESTABLISHED, also HERGESTELLT.
So einfach ist das.
Das -a Argument wird häufig dazu benutzt, Trojaner auf dem System zu
entdecken, da man geöffnete Ports sieht und damit ist ein Virenscanner
unnötig, naja fast unnötig, Ihr könnt halt nicht davor schon wissen ob
einer drauf ist.
Nun kommen wir zum -n Argument. Gleich mal ein Beispiel dazu:
Proto Local Adress Foreign Adress State
TCP 62.158.128.62:1031 212.223.64.113:80 ESTABLISHED
TCP 62.158.128.62:1036 193.99.144.71:80 ESTABLISHED
TCP 62.158.128.62:1052 206.230.43.70:110 ESTABLISHED
Das wäre jetzt das Gegenstück für das von oben. Hier gibts eigentlich wenig
zu erklären, außer vielleicht das jetzt die IP vom entfernten Host
angegeben wird und nicht der Host, den man dann anpingen müsste.
Durch das -n Argument kann man ebenfalls die IP eines ICQ Users
herausfinden, wie schon in meinem anderen Tutorial beschrieben. Weswegen
man auch häufig diese Option wählt, hat den Grund, daß die eigene IP
ebenfalls angegeben wird (im Gegensatz zu -a). Natürlich könnt Ihr auch
mit „winipcfg“ eure IP herausfinden, aber mit dieser
Methode habt Ihr gleich mehrere Informationen auf einmal.
Ihr erhaltet den offenen Port des entfernten Rechners sowie den Port
eurerseits, der dafür bereitgestellt wird.
OK, jetzt wird schnell das -e Argument erläutert. Es liefert euch die
Ethernet-Statistiken.
Dazu gibt es weniger zu sagen und es ist denke ich mal nicht sehr interessant
bzw. von großem Nutzen. Gleich mal ein Beispiel:
Empfangen Gesendet
Bytes 4648645 1376996
Unicast-Pacete 18623 17018
Nicht-Unicast-Pakete 217 232
Verworfen 0 0
Fehler 0 0
Unbekannte Protokolle 0
Empfangene und gesendete Bytes müssten klar sein, funktioniert ähnlich wie
die Anzeige von der DFÜ-Verbindung, obwohl man beim Vergleichen der
Beiden geringe Differenzen erkennt.
Unicast-Pakete werde ich jetzt etwas eingängiger erläutern da nicht jeder
sich im Klaren ist,
was das genau für Pakete sind. Am besten ein Beispiel:
Ein großes Klassenzimmer, Sandra will von Alex die Mathematik-Hausaufgaben.
Also schreit Sandra in der Klasse: „Alex, hast du mal die Mathe-Hausaufgaben
für mich?“ Bei dem Ruf wird nur Alex schauen und alle anderen unbeachtet
weiterarbeiten/schwätzen. Das bedeutet, das die Nachricht nur für Alex
bestimmt war, und so funktionieren auch Unicast-Pakete.
Nicht-Unicast-Pakete dürfte sich dann ja von selber erklären. Verworfen,
Fehler und unbekannte Protokolle ebenfalls. So viel zum -e Argument.
netstat -p [Protokoll] ist ebenfalls schnell erklärt. Man kann dadurch die
verschiedenen Protokolle herausfiltern, bzw. sich das bestimme anzeigen
lassen, z. B. TCP:
netstat -p TCP
Es erscheint ein ähnliche Abbildung wie diese:
Proto Local Adress Foreign Adress State
TCP mase:1031 www.gcf.de:80 ESTABLISHED
TCP mase:1036 www.heise.de:80 ESTABLISHED
TCP mase:1052 freemail.com:110 ESTABLISHED
Ihr seht, es gleich dem wie oben besprochenem -a Argument, zufällig kamen
oben auch nur TCP-Verbindungen vor, aber hier würden jetzt auch „nur“
TCP-Verbindungen angezeigt werden.
Wie Ihr vielleicht gemerkt habt, habe ich das -s und -r Argument
ausgelassen. Diese beiden wären für das Tutorial einfach zu umfangreich
und ich werde bei Interesse für sie ein neues Tutorial widmen.
Das war es auch dann schon. Ich hoffe Ihr habt was dazugelernt!
# press.ljuska.org