Книга: Linux глазами хакера
5.1.3. netstat
5.1.3. netstat
Эта команда показывает текущие подключения к серверу. Результат ее выполнения имеет примерно следующий вид:
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 FlenovM:ftp 192.168.77.10:3962 ESTABLISHED
tcp 0 0 FlenovM:ftp-data 192.168.77.10:3964 TIME_WAIT
Вся информация разложена по колонкам. Давайте рассмотрим каждую из них:
? Proto
— базовый протокол, который использовался для соединения. Чаще всего здесь можно видеть unix
или tcp
;
? Recv-Q
— количество байтов, не скопированных пользовательской программой;
? Send-Q
— количество байтов, не принятых удаленным компьютером;
? Local Address
— локальный адрес формата компьютер:порт
. В качестве порта может использоваться как символьное имя, так и число. В приведенном выше примере в первой строке показан порт ftp
, что соответствует числу 21;
? Foreign Address
— удаленный адрес В формате IP:порт
;
? State
— состояние соединения.
У этой команды много возможных параметров, и полное их описание можно увидеть в файле справки, набрав команду man netstat
.
В случае непредвиденной ситуации и подозрение на проникновение в систему извне вы с помощью этой команды легко сможете определить, через какой сервис произошло вторжение, и что хакер в данный момент может использовать. Например, если злоумышленник пробрался через FTP, то он, скорей всего, работает с файлами и может закачивать свои программы для дальнейшего взлома или удалять системные файлы (это зависит от прав доступа).