Книга: Linux глазами хакера

5.1.3. netstat

5.1.3. netstat

Эта команда показывает текущие подключения к серверу. Результат ее выполнения имеет примерно следующий вид:

Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address    Foreign Address    State
tcp        0      0 FlenovM:ftp      192.168.77.10:3962 ESTABLISHED
tcp        0      0 FlenovM:ftp-data 192.168.77.10:3964 TIME_WAIT

Вся информация разложена по колонкам. Давайте рассмотрим каждую из них:

? Proto — базовый протокол, который использовался для соединения. Чаще всего здесь можно видеть unix или tcp;

? Recv-Q — количество байтов, не скопированных пользовательской программой;

? Send-Q — количество байтов, не принятых удаленным компьютером;

? Local Address — локальный адрес формата компьютер:порт. В качестве порта может использоваться как символьное имя, так и число. В приведенном выше примере в первой строке показан порт ftp, что соответствует числу 21;

? Foreign Address — удаленный адрес В формате IP:порт;

? State — состояние соединения.

У этой команды много возможных параметров, и полное их описание можно увидеть в файле справки, набрав команду man netstat.

В случае непредвиденной ситуации и подозрение на проникновение в систему извне вы с помощью этой команды легко сможете определить, через какой сервис произошло вторжение, и что хакер в данный момент может использовать. Например, если злоумышленник пробрался через FTP, то он, скорей всего, работает с файлами и может закачивать свои программы для дальнейшего взлома или удалять системные файлы (это зависит от прав доступа).

Оглавление книги