Netstat is an extremely useful Linux command line tool that allows you to check which service is connecting to a port on your machine. Netstat є надзвичайно корисним Linux інструмент командного рядка, що дозволяє перевірити, які послуги підключення до порту на вашому комп'ютері. It is very useful to analyze what's going on on your machine when you are facing or trying to to prevent an attack on it. Це дуже корисно проаналізувати, що відбувається на вашій машині, коли ви зустрічаєтеся або намагається запобігти нападу на нього. You can find information such as how many connection are being made on a port, which IP addresses these connections originate from, and much more. Ви можете знайти інформацію про те, як багато хто зв'язку в даний час проводиться на порт, який IP-адреси цих зв'язків відбувається від, і багато іншого. Netstat ships with most distributions of Linux so it should already be installed on yours. Netstat поставляється з більшістю дистрибутивів Linux від тому він повинен бути вже встановлено на ваш.

Launch a shell terminal on your machine and run the following command: Запуск оболонки терміналу на ваш комп'ютер і запустіть наступну команду:

# netstat -ant # Netstat-Ant
Active Internet connections (servers and established) Активне підключення до Інтернету (сервери і створений)
Proto Recv-Q Send-Q Local Address Foreign Address State Proto Recv-Q Send-Q Локальний адреса Зовнішній адреса Стан
tcp 0 0 ::ffff:192.168.1.19:80 ::ffff:192.168.1.240:63049 TIME_WAIT TCP 0 0:: FFFF: 192.168.1.19:80:: FFFF: 192.168.1.240:63049 TIME_WAIT
tcp 0 0 ::ffff:192.168.0.19:80 ::ffff:192.168.1.240:62793 TIME_WAIT TCP 0 0:: FFFF: 192.168.0.19:80:: FFFF: 192.168.1.240:62793 TIME_WAIT
tcp 0 0 ::ffff:192.168.1.19:80 ::ffff:192.168.1.240:62795 TIME_WAIT TCP 0 0:: FFFF: 192.168.1.19:80:: FFFF: 192.168.1.240:62795 TIME_WAIT

The output will most likely be very long. Результат буде, швидше за все, буде дуже довгим. I've just given a snapshot of the output above. Я тільки що знімок вихід вище. As you can see in the data above there is a connection made from 192.168.1.240 to my server's port 80 using the TCP protocol and the connection in the a state of TIME_WAIT. Як ви можете бачити на наведених вище даних є зв'язок з 192.168.1.240 в порт мого сервера 80 з використанням протоколу TCP і підключення в стані TIME_WAIT. The out put that you get for your server will have information about all the ports on your machine, not just port 80. З покласти, що ви отримаєте на ваш сервер буде мати інформацію про всі портів на вашому комп'ютері, а не лише порт 80.

The first thing you realize is that an output this big is not of too much use. Перше, що ви зрозуміли, що з виходом цього великого не дуже багато користі. So let's organize it a bit. Так що давайте організувати його небагато. Here are a few tricks I use to analyze the nature of the connections being made to of from my server. Ось декілька трюків я використовую для аналізу характеру зв'язків тому, щоб з мого сервера. the first thing I do is figure out which services I want to analyze. перше, що я роблю це з'ясувати, які послуги я хочу, щоб аналізувати. Usually it is port 80 as that's the default port for the web server to run on, and port 3306 which is the default port for MySQL to run on. Звичайно це порт 80, як це порт за замовчуванням для веб-сервера для запуску на, і порт 3306, який є портом за замовчуванням для MySQL для використання їх. So i use the following query to see what's going on on port 80: Тому я використовую наступний запит, щоб подивитися, що відбувається на порту 80:

# netstat -ant | grep 80 # Netstat-Ant | Grep 80

Again I get big list of connections, smaller than the first, but still too big to grasp. Я знову отримати великий список з'єднань, меншою, ніж перший, але все ще занадто великі, щоб зрозуміти. So I use the “wc -l” command to count the number of lines in the output to see approximately how many connections I have on my port 80: Тому я використовую "WC-L" команди для підрахунку числа рядків у вихідний, щоб побачити, скільки приблизно зв'язків у мене порту 80:

# netstat -ant | grep 80 | wc -l # Netstat-Ant | Grep 80 | ЧМ-L
625 625

And then I do the same for MySQL: І тоді я робити те ж саме для MySQL:

# netstat -ant | grep 3306 | wc -l # Netstat-Ant | Grep 3306 | WC-L
61 61

Now, if I want to get a complete picture of what's going on on my server in terms of the nature of connections here's what I do: Тепер, якщо я хочу, щоб отримати повну картину того, що відбувається на моєму сервері з точки зору характеру зв'язків Ось що я роблю:

# netstat -ant | awk '{print $6}' | sort | uniq -c | sort -n # Netstat-Ant | AWK '(PRINT $ 6)' | Сортувати | Uniq-C | Сортувати-N

1 established) 1 встановлена)
1 Foreign 1 Іноземні
4 FIN_WAIT2 4 FIN_WAIT2
8 LISTEN 8 СЛУХАТИ
16 CLOSE_WAIT 16 CLOSE_WAIT
134 ESTABLISHED 134 ESTABLISHE D
409 TIME_WAIT 409 TIME_WAIT

This tells me how many connections of different types of state I have on my machine. Це говорить мені, скільки з'єднань різного типу держави я на моїй машині. I can run a similar command to see a complete picture of the state of all the connections made to my web server: Я можу запустити аналогічну команду, щоб побачити повну картину стану всіх підключень до моєї веб-сервер:

netstat -ant | grep 80 | awk '{print $6}' | sort | uniq -c | sort -n Netstat-Ant | Grep 80 | AWK '(PRINT $ 6)' | Сортувати | Uniq-C | Сортувати-N

1 FIN_WAIT1 1 FIN_WAIT1
4 LISTEN 4 СЛУХАТИ
6 FIN_WAIT2 6 FIN_WAIT2
17 CLOSE_WAIT 17 CLOSE_WAIT
94 ESTABLISHED 94 ESTABLISHE D
534 TIME_WAIT 534 TIME_WAIT

You can perform a lot more complex things using Netstat along with other Linux command line tools. Ви можете виконувати набагато більш складні речі, використовуючи Netstat поряд з іншими інструментами команди Linux лінії. It can be helpful to be familiar with some tricks to get this kind of information using Netstat, particularly when you are facing an attack on your server. Це може бути корисно буде ознайомитися з деякими прийомами, щоб отримати таку інформацію, використовуючи Netstat, особливо якщо ви зіткнулися з нападом на вашому сервері.