通常情況下�����,如果想發現所有已經使用的和正在監聽的端口,我們可以使用netstat命令�����。 netstat并非一個端口掃描工具�,如果你想掃描計算機開放了哪些端口的話,建議使用本文介紹的方法�。
Netstat命令基礎
Netstat命令主要用于顯示協議統計信息和當前 TCP/IP 網絡連接���。
其格式如下:
NETSTAT [-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-v] [interval]
下面簡單說明各個參數的含義:
-a 顯示所有連接和監聽端口��。
-b 顯示包含于創建每個連接或監聽端口的可執行組件。在某些情況下已知可執行組件擁有多個獨立組件�����,并且在這些情況下包含于創建連接或監聽端口的組件序列被顯示��。這種情況下�,可執行組件名在底部的 [] 中�����,頂部是其調用的組件�����,等等,直到 TCP/IP 部分��。注意此選項可能需要很長時間�,如果沒有足夠權限可能失敗。
-e 顯示以太網統計信息�����。此選項可以與 -s選項組合使用��。
-n 以數字形式顯示地址和端口號��。
-o 顯示與每個連接相關的所屬進程 ID。
-p proto 顯示 proto 指定的協議的連接�;proto 可以是下列協議之一: TCP�����、UDP、TCPv6 或UDPv6����。如果與 -s 選項一起使用以顯示按協議統計信息�����,proto 可以是下列協議之一: IP����、IPv6、ICMP、ICMPv6�、TCP�、TCPv6�����、UDP 或 UDPv6����。
-r 顯示路由表���。
-s 顯示按協議統計信息�����。默認地�����,顯示 IP、IPv6、ICMP���、ICMPv6、TCP、TCPv6、UDP 和 UDPv6 的統計信息;-p 選項用于指定默認情況的子集。
-v 與 -b 選項一起使用時將顯示包含于為所有可執行組件創建連接或監聽端口的組件�����。
interval 重新顯示選定統計信息�����,每次顯示之間暫停時間間隔(以秒計)。按 CTRL+C 停止重新顯示統計信息����。如果省略���,netstat 顯示當前配置信息(只顯示一次)�����。
使用Netstat發現計算機上的監聽或開放端口
打開命令提示符窗口��,并鍵入:
C:\WINDOWS>netstat -an |find /i "listening"
如果用戶想要將顯示結果存到一個文件中(通常是文本文件),以備日后參考,可以使用重定向命令,如“>”或“>>”:
netstat -an |find /i "listening" > c:\openports.txt
我們可以將“listening”改為“established”���,查看一下計算機到底通過哪些端口通信:
C:\WINDOWS>netstat -an |find /i "established"
注意:在Windows XP和Windows Server2003中,如果用戶要得到與每個連接相關的所有自有進程的ID列表,可以輸入執行“NETSTAT -O”:
C:\WINDOWS>netstat -ao |find /i "listening"
TCP pro1:epmap pro1.dpetri.net:0 LISTENING 860
TCP pro1:microsoft-ds pro1.dpetri.net:0 LISTENING 4
TCP pro1:1025 pro1.dpetri.net:0 LISTENING 908
TCP pro1:1084 pro1.dpetri.net:0 LISTENING 596
TCP pro1:2094 pro1.dpetri.net:0 LISTENING 596
TCP pro1:3389 pro1.dpetri.net:0 LISTENING 908
TCP pro1:5000 pro1.dpetri.net:0 LISTENING 1068
用戶可以訪問http://www.petri.co.il/download_free_reskit_tools.htm.
使用PULIST來找到PID和使用它的進程。例如����,我們可能會發現計算機在TCP端口80上有一個與遠程IP地址的連接,但是計算機上并沒有打開Internet Explorer或其它的瀏覽器窗口�����。為了查看到底是什么進程在使用
這個會話,我們使用如下的命令:
C:\WINDOWS>netstat -no
Active Connections
Proto Local Address Foreign Address State PID
TCP 192.168.0.100:2496 212.179.4.7:80 ESTABLISHED 1536
然后使用帶有“FIND”參數的“PULIST”命令:
C:\WINDOWS>pulist |find /i "1536"
Process PID User
LUCOMS~1.EXE 1536 DPETRI\danielp
可以看出, DANIELP在運行著 LUCOMS~1.EXE,這是Symantec Live Update進程����。
要查看所有打開的�、已建立的���、關閉的以及使用的端口,可以使用如下的命令:
C:\WINDOWS>netstat -a
在Windows XP或2003中�,我們可以使用-o開關:
C:\WINDOWS>netstat -ao