什么确切地您是否在“netstat -a”结果中查找表明您的网络上有未知用户的结果?
感谢以下回复。我之前编辑过这个原始问题(上面),但显然是在错误的界面上。对此我深表歉意。
为了澄清这个问题,正如您所写的,netstat 并非黑客的诊断工具:很抱歉给您留下了这种印象。这个问题的目的是询问运行 netstat 的结果集中是否有任何元素会被“超级用户”解释为明显可疑,例如(...我猜),不是您自己的 IP 地址,或者已知来自可疑地点的地址,或者已知表示存在问题的某些字符串,等等。
如果答案是否定的,那很好……
再次感谢您阅读我的问题。
答案1
这netstat命令用于提供有关您的计算机正在监听的活动连接和端口的信息(以及一些以太网统计信息)。它不会告诉您是否有人“入侵”了您的计算机,尽管它可能告诉您是否有人远程连接到您的计算机(假设他们没有侵入您的计算机来隐藏此类信息)。
netstat也不会告诉你网络上是否有其他人,它只能告诉你本地计算机连接到了哪个网络。如果你担心有人未经授权进入你的网络,你可以使用类似nmap或者wireshark并进行一些基本探测,看看网络上是否有您无法识别的设备。如果您有 WiFi 网络,您的无线 AP 应该有某种日志,可以告诉您无线网络中是否有您无法识别的设备。
如果您的计算机行为异常,并且您确实怀疑有人入侵了它,那么最好将其与互联网完全断开,备份所有敏感数据,然后尝试全新安装。
直接回答您的编辑:
该问题旨在询问运行 netstat 的结果集中是否存在任何“超级用户”会解释为明显可疑的元素,例如(...我想),一个不是您自己的 IP 地址,或者一个已知源自可疑地方的地址,或者一些已知表示存在问题的字符串,等等。
再次,使用netstat只会显示你的计算机连接到什么;例如,这是我运行时的结果netstat -a:
C:\>netstat -a
Active Connections
Proto Local Address Foreign Address State
TCP 127.0.0.1:1032 localhost:1033 ESTABLISHED
TCP 127.0.0.1:1033 localhost:1032 ESTABLISHED
TCP 127.0.0.1:6118 localhost:6119 ESTABLISHED
TCP 127.0.0.1:6119 localhost:6118 ESTABLISHED
TCP 192.168.1.5:1031 fileserver:microsoft-ds ESTABLISHED
TCP 192.168.1.5:6316 imap11:imaps CLOSE_WAIT
TCP 192.168.1.5:7345 stackoverflow:https ESTABLISHED
TCP 192.168.1.5:7356 stackoverflow:https ESTABLISHED
UDP 0.0.0.0:1900 *:*
仅从这些结果中,我就可以看到我的 IP(192.168.1.5)已连接到我的 NAS(fileserver)、电子邮件服务器(imap11)和 StackOverflow 网站(stackoverflow:https)。
我还可以看到我的本地主机 IP ( 127.0.0.1) 已建立一些连接,并且我的计算机也在监听UDP端口 1900 ( )。如果UDP 0.0.0.0:1900 *:*我唯一的工具是netstatWindows 资源监视器(或者TCPView) 来查看哪些程序具有活动连接。我还可以逐个关闭程序,然后查看哪些连接离开该ESTABLISHED状态,但这可能需要一段时间...
查看这些结果,我可以看到这些localhost连接是我的 Firefox 实例(某些程序使用它localhost进行进程间通信),因此我不需要关心该连接,而 UDP 实际上是我的媒体播放程序,它有一个交互式界面(用于远程播放等)并且 UDP 不会超出(或进入)我的网络,并且我有一个活动的防火墙阻止它,所以我也不需要关心这个。
敌我识别区我碰巧看到一个无法与已知活动连接(即我的电子邮件或互联网)关联的连接,然后我会使用我提到的其他工具来进一步调查该特定连接。
请记住,这netstat只会显示活动TCP或UDP连接,虽然 TCP 和 UDP 是最常见的协议,但还有许多其他协议是netstat无法显示的潜在攻击途径。此外,攻击者或恶意程序可以绕过所有协议并使用 RAW 套接字(低级编程)使用他们自己的自定义连接协议。当然,有些方法需要一定级别的管理权限,而其他方法则不需要。
所以netstat可以告诉你一些信息,但它并没有描绘出全貌,尤其是它不能提供足够的信息来验证是否确实发生了恶意的事情。
希望能够帮到你。