2012软考网络管理员必须掌握的常用命令(10)

协议（Proto）：TCP，指是传输层通讯协议（什么？不懂？请用baidu搜索"TCP"，OSI七层和TCP/IP四层可是基础^_^）

本地机器名（Local Address）：Eagle，俗称计算机名了，安装系统时设置的，可以在“我的电脑”属性中修改，本地打开并用于连接的端口：2929）

远程机器名（Foreign Address）：219.137.227.10

远程端口：4899

状态：ESTABLISHED

状态列表

LISTEN ：在监听状态中。

ESTABLISHED：已建立联机的联机情况。

TIME_WAIT：该联机在目前已经是等待的状态。

-a 参数常用于获得你的本地系统开放的端口，用它您可以自己检查你的系统上有没有被安装木马（ps：有很多好程序用来检测木马，但你的目的是想成为真正的hacker，手工检测要比只按一下“scan”按钮好些----仅个人观点）。如果您Netstat你自己的话，发现下面的信息：

Port 12345(TCP) Netbus

Port 31337(UDP) Back Orifice

祝贺!您中了最常见的木马（^_^，上面4899是我连别人的，而且这个radmin是商业软件，目前我最喜欢的远程控制软件）

如果你需要木马及其端口列表的话，去国内的H站找找，或者baidu，google吧

*****************************************************************

#一些原理：也许你有这样的问题：“在机器名后的端口号代表什么？

例子：Eagle:2929

小于1024的端口通常运行一些网络服务，大于1024的端口用来与远程机器建立连接。 *****************************************************************

继续我们的探讨，使用-n参数。（Netstat -n)

Netstat -n基本上是-a参数的数字形式：

C:\>netstat -n

Active Connections

Proto Local Address Foreign Address State

TCP 127.0.0.1:445 127.0.0.1:1031 ESTABLISHED

TCP 127.0.0.1:1031 127.0.0.1:445 ESTABLISHED

TCP 192.168.1.180:1213 218.85.139.65:9002 CLOSE_WAIT

TCP 192.168.1.180:2416 219.133.63.142:443 CLOSE_WAIT

TCP 192.168.1.180:2443 219.133.63.142:443 CLOSE_WAIT