一、檢測(cè)網(wǎng)絡(luò)連接

如果你懷疑自己的計(jì)算機(jī)上被別人安裝了木馬，或者是中了病毒，但是手里沒(méi)有完善的工具來(lái)檢測(cè)是不是真有這樣的事情發(fā)生，那可以使用Windows自帶的網(wǎng)絡(luò)命令來(lái)看看誰(shuí)在連接你的計(jì)算機(jī)。

具體的命令格式是：netstat -an -o命令能看到所有和本地計(jì)算機(jī)建立連接的IP，它包含四個(gè)部分——proto(連接方式)、local aDDRess(本地連接地址)、foreign address(和本地建立連接的地址)、state(當(dāng)前端口狀態(tài))。通過(guò)這個(gè)命令的詳細(xì)信息，我們就可以完全監(jiān)控計(jì)算機(jī)上的連接，從而達(dá)到控制計(jì)算機(jī)的目的。

在看下面的內(nèi)容之前，先看看： 教你認(rèn)清網(wǎng)絡(luò)特殊用途IP地址
1.我們通過(guò)：開(kāi)始·運(yùn)行·輸入cmd·輸入netstat -an -o（注意空格）可以看見(jiàn)如圖：




2.我給大家介紹關(guān)于它的具體意思：

例如：TCP 192.168.0.56:2150 221.130.44.194:8080 ESTABLISHED 2860

proto(連接方式)指：協(xié)議類型，主要含tcp，udp

local address(本地連接地址)：因?yàn)槲业谋镜豬p是192.168.0.56所以就是他了。2150是你電腦所開(kāi)的端口。

foreign address(和本地建立連接的地址)指：入侵電腦的ip地址（當(dāng)你訪問(wèn)一些網(wǎng)站，網(wǎng)站中的每個(gè)內(nèi)容比如圖片、flash等都要單獨(dú)建立一個(gè)連接，也會(huì)連接你的電腦。說(shuō)入侵電腦不是很恰當(dāng)。例如：訪問(wèn)百度：可能出現(xiàn)：TCP 192.168.0.56:1045 202.108.250.249:80 ESTABLISHED） 221.130.44.194它跟我連上的。8080：它是以8080端口給我發(fā)起的連接。

state(當(dāng)前端口狀態(tài))：如：

TIME_WAIT:的意思是結(jié)束了這次連接 （例如：如果瀏覽網(wǎng)頁(yè)完畢，那就變?yōu)門IME_WAIT狀態(tài)）

LISTENING:正在監(jiān)聽(tīng) 只有tcp端口才可以這樣(如果是udp的話,那么肯定是木馬) 端口為開(kāi)放。

ESTABLISHED:正在共享,表示兩者連接著

CLOSE_WAIT:連接并沒(méi)有正確關(guān)閉 依然是處于等待應(yīng)用程序等待關(guān)閉(CLOSE_WAIT)的情況中 如果一直都處于CLOSE_WAIT狀態(tài),有可能是應(yīng)用程序異常退出并且沒(méi)有恰當(dāng)?shù)靥幚磉@個(gè)異常

SYN_SENT：表示請(qǐng)求連接，當(dāng)你要訪問(wèn)其它的計(jì)算機(jī)的服務(wù)時(shí)首先要發(fā)個(gè)同步信號(hào)給該端口，此時(shí)狀態(tài)為SYN_SENT，如果連接成功了就變?yōu)镋STABLISHED，此時(shí)SYN_SENT狀態(tài)非常短暫。但如果發(fā)現(xiàn)SYN_SENT非常多且在向不同的機(jī)器發(fā)出，那你的機(jī)器可能中了沖擊波或震蕩波之類的病毒了。這類病毒為了感染別的計(jì)算機(jī)，它就要掃描別的計(jì)算機(jī)，在掃描的過(guò)程中對(duì)每個(gè)要掃描的計(jì)算機(jī)都要發(fā)出了同步請(qǐng)求，這也是出現(xiàn)許多SYN_SENT的原因。

對(duì)于其他的狀態(tài)你可以在百度搜索一下就ok了。

pid（會(huì)話）接下來(lái)將講到。

最新評(píng)論