一、檢測網(wǎng)絡連接

如果你懷疑自己的計算機上被別人安裝了木馬，或者是中了病毒，但是手里沒有完善的工具來檢測是不是真有這樣的事情發(fā)生，那可以使用Windows自帶的網(wǎng)絡命令來看看誰在連接你的計算機。

具體的命令格式是：netstat -an -o命令能看到所有和本地計算機建立連接的IP，它包含四個部分——proto(連接方式)、local aDDRess(本地連接地址)、foreign address(和本地建立連接的地址)、state(當前端口狀態(tài))。通過這個命令的詳細信息，我們就可以完全監(jiān)控計算機上的連接，從而達到控制計算機的目的。

在看下面的內(nèi)容之前，先看看： 教你認清網(wǎng)絡特殊用途IP地址
1.我們通過：開始·運行·輸入cmd·輸入netstat -an -o（注意空格）可以看見如圖：




2.我給大家介紹關(guān)于它的具體意思：

例如：TCP 192.168.0.56:2150 221.130.44.194:8080 ESTABLISHED 2860

proto(連接方式)指：協(xié)議類型，主要含tcp，udp

local address(本地連接地址)：因為我的本地ip是192.168.0.56所以就是他了。2150是你電腦所開的端口。

foreign address(和本地建立連接的地址)指：入侵電腦的ip地址（當你訪問一些網(wǎng)站，網(wǎng)站中的每個內(nèi)容比如圖片、flash等都要單獨建立一個連接，也會連接你的電腦。說入侵電腦不是很恰當。例如：訪問百度：可能出現(xiàn)：TCP 192.168.0.56:1045 202.108.250.249:80 ESTABLISHED） 221.130.44.194它跟我連上的。8080：它是以8080端口給我發(fā)起的連接。

state(當前端口狀態(tài))：如：

TIME_WAIT:的意思是結(jié)束了這次連接 （例如：如果瀏覽網(wǎng)頁完畢，那就變?yōu)門IME_WAIT狀態(tài)）

LISTENING:正在監(jiān)聽 只有tcp端口才可以這樣(如果是udp的話,那么肯定是木馬) 端口為開放。

ESTABLISHED:正在共享,表示兩者連接著

CLOSE_WAIT:連接并沒有正確關(guān)閉 依然是處于等待應用程序等待關(guān)閉(CLOSE_WAIT)的情況中 如果一直都處于CLOSE_WAIT狀態(tài),有可能是應用程序異常退出并且沒有恰當?shù)靥幚磉@個異常

SYN_SENT：表示請求連接，當你要訪問其它的計算機的服務時首先要發(fā)個同步信號給該端口，此時狀態(tài)為SYN_SENT，如果連接成功了就變?yōu)镋STABLISHED，此時SYN_SENT狀態(tài)非常短暫。但如果發(fā)現(xiàn)SYN_SENT非常多且在向不同的機器發(fā)出，那你的機器可能中了沖擊波或震蕩波之類的病毒了。這類病毒為了感染別的計算機，它就要掃描別的計算機，在掃描的過程中對每個要掃描的計算機都要發(fā)出了同步請求，這也是出現(xiàn)許多SYN_SENT的原因。

對于其他的狀態(tài)你可以在百度搜索一下就ok了。

pid（會話）接下來將講到。

最新評論