Netstat คำสั่งตรวจสอบการเชื่อมต่อและพารามิเตอร์ที่ใช้บ่อยๆ

Netstat เป็นคำสั่งพื้นฐานของวินโดว์ที่ใช้แสดงการเชื่อมต่อจากที่ต่างๆออกมาทั้งหมดออกมาไม่ว่าจะมาจากโปรโตคอล  TCP, UDP, ICMP และอื่นๆ รวมไปถึงหมายเลขพอร์ตและ IP ของผู้ติดต่อ ออกมาให้เราดูเพื่อใช้ในการวิเคราะห์และตรวจสอบการเชื่อมต่อของเครื่องของเรา

ลักษณะการใช้งาน

1. Start > Run
2. พิมพ์คำสั่งคำว่า cmd ลงไปแล้วกด OK
3. จะได้หน้าจอ Command Prompt ออกมา
4. ให้เราทดลองพิมพ์คำสั่งคำว่า netstat ลงไปแล้วจะได้ผลลัพธ์อย่างภาพซึ่งในแต่ละเครื่องจะไม่เหมือนกันแล้วแต่การเชื่อมต่อที่เราได้เชื่อมต่อเอาไว้โดยหลักๆก็จะมีข้อมูลดังต่อไปนี้

 

Proto คือโปรโตคอลที่กำลังใช้งานอยู่จะมี TCP และ UDP เป็นหลัก

Local Address (ค่า IP หรือชื่อเครื่อง:พอร์ตที่ใช้งานอยู่) คือจะแสดง หมายเลข IP ของเรา (ในที่นี้เป็นชื่อเครื่อง) และ พอร์ตที่ลังใช้งานอยู่

Foreign Address (ค่า IP หรือชื่อเครื่อง:พอร์ตที่ใช้ติดต่ออยู่): อันนี้จะแสดงชื่อหรือ IP addressของเครื่องที่เรากำลังติดต่ออยู่ด้วย และหมายเลขพอร์ตที่เราใช้เชื่อมต่อนั้นๆ

State คือ สถานะของการเชื่อมต่อของ netstat นั้นๆจะมีอยู่ด้วยกัน 4 สถานะหลักๆได้แก่

1. Established เป็นสถานะที่บอกว่าเครื่องนั้นๆได้เกิดการเชื่อมต่อกับ IP address ปลายทางด้วยพอร์ตหมายเลขนั้นแล้ว ซึ่งสถานะนี้เป็นสถานะที่เกิดได้ทั่วไปเพราะการเชื่อมต่อใน internet นั้นเป็นเรื่องที่ธรรมดาอยู่แล้วแต่ถึงอย่างไรก็ตามเราควรตรวจสอบให้ดีเพราะมีบางพอร์ตที่ไม่จำเป็นก็ไม่ควรจะมีการ
   เชื่อมต่ออยู่เช่นพอร์ต 23 ซึ่งเป็นพอร์ตของ telnet ซึ่งโดยทั่วไปแล้วนั้นไม่มีใครใช้กันสักเท่าไรและที่สำคัญอีกอย่างสำหรับสถานะ Established ก็คือควรตรวจสอบก่อนว่าเราไม่ได้ connect ไปหาIP address แปลกๆเข้าให้เพราะว่าบางที่นั้นอาจเป็นเพราะว่าในเครื่องของเราลักลอบติดต่อไปด้วยโปรแกรมอันตรายอย่าง Trojan อยู่ก็เป็นไปได้
2. Time_wait คือสถานะที่รอการเชื่อมต่อกลับมาอยู่หรือถ้าเราจะมองในแง่ร้ายสุดๆก็คือโดนสแกนพอร์ตอยู่
3. Listening คือยังไม่มีเครื่องใดติดต่อมาหรือว่ากำลังรอการเชื่อมต่ออยู่นั้นเอง
4. Close_wait คือปิดการเชื่อมต่อปกติจะไม่พบมากสำหรับสถานะนี้

และสถานะอื่นๆที่อาจพบได้แก่ SYN_SENT , FIN_WAIT เป็นต้น

 

ค่าพารามิเตอร์ต่างๆของ netstat

นอกจากคำสั่งพื้นฐานโดยทั่วไปนั้นแล้ว netstat ยังมีค่าพารามิเตอร์ต่างๆออกมาเพื่อที่จะทำให้การตรวจสอบนั้นเป็นไปได้อย่างละเอียดมากยิ่งขึ้นซึ่ง พารามิเตอร์เหล่านั้นเราสามารถดูได้จาก help ของตัว netstat เองซึ่งคำสั่งนั้นก็คือ netstat /? ซึ่งจะเป็นภาษาอังกฤษหรือว่าสามารถอ่านความหมายและวิธีการใช้งานเบื้องต้นได้ข้างล่าง

คลิกเพื่อดู help netstat แบบเต็มๆ

คำสั่งหลักๆของ netstat

-a คือคำสั่งที่ให้แสดงการเชื่อมต่อทั้งหมดออกมาไม่ว่าจะเป็น IP address หรือว่าพอร์ตก็ตามส่วนใหญ่คำสั่งนี้จะแสดงเป็นชื่อแทนที่จะเป็น IP address โดยตรง

-n คือคำสั่งที่มีการสั่งให้แสดงเป็นหมายเลข IP address แทนที่จะเป็นแบบชื่อ

-e คือ คำสั่งที่แสดงข้อมูลออกมาในรูปแบบของสถิติ เช่น มีการส่งออกไปกี่ Bytes, จำนวนแแพ็คเกจที่ดีๆ, จำนวนแพ็คเกจที่ถูกทิ้ง, ความผิดพลาดที่เกิดขึ้น และอีกหลายๆอย่าง

 

-o แสดง process ID ที่มีการเชื่อมต่ออยู่ด้วย

-p proto คือคำสั่งที่ให้แสดงการเชื่อมต่อในโปรโตคอลนั้นออกมาด้วยไม่ว่าจะเป็น TCP, UDP, TCPv6, UDPv6, และถ้าใช้ควบคู่กับคำสั่ง –s จะสามารถแสดง โปรโตคอลอื่นๆได้ด้วย ลักษณะการใช้งาน netstat –p tcp เป็นต้นถ้าอยากดูโปรโตคอลอื่นก็เปลี่ยนจาก tcp เป็นโปรโตคอลอื่นที่ต้องการ

-r แสดงข้อมูลใน routing Table ของเครื่อง

-s แสดงสถิติของโปรโตคอลอื่นๆออกมาด้วยยกตัวอย่างเช่น IP, IPv6, ICMP, ICMPv6, TCP, TCPv6,UDP, UDPv6 เป็นต้น

netstat (ค่าตัวเลข) คือคำสั่งที่บังคับให้มีการแสดงการเชืื่อมต่อนั้นทุกๆ ค่าตัวเลข วินาที

พารามิเตอร์อื่นๆ –b และ –v ก็มีความสำคัญเช่นเดียวกันและ Tip ที่น่ารู้เกี่ยวกับ netstat นั้นก็คือพารามิเตอร์ต่างๆที่เราเห็นนั้นบางพารามิเตอร์เราสามารถใช้งานควบคู่กันได้ยกตัวอย่าง เช่น –a และ –n ลักษณะการใช้งานเราสามารถใช้ได้ 2 แบบนั้นก็คือ netstat –a –n หรือว่า netstat –an เลยก็ได้

ส่งท้ายด้วยเรื่องของพอร์ตที่มีการใช้งานบ่อยๆ

TCP-UDP 7 คือ Echo
TCP  20 – 21 คือ FTP (ตัวที่ใช้ Upload file เข้า server)
TCP 21   คือ telnet (ปกติเขาจะไม่ใช้กันระวังให้ดีถ้าพอร์ตนี้ Established อยู่)
TCP 23 คือ SSH
TCP 25   คือ SMTP (ส่ง mail)
TCP – UDP 53 DNS
TCP 80, 443 คือ Http – https (ตัวเปิด web ทั่วไปนั้นเหละ)
TCP 110 คือ POP3 (ส่ง mail เช่นเดียวกัน)
TCP-UDP 1433 คือ Microsoft SQL Server