C:\>netstat -an
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING
UDP 0.0.0.0:445 0.0.0.0:0
UDP 0.0.0.0:1046 0.0.0.0:0
UDP 0.0.0.0:1047 0.0.0.0:0
Active Connections是指当前本机活动连接,Proto是指连接使用的协议名称,Local Address是本地计算机的 IP 地址和连接正在使用的端口号,Foreign Address是连接该端口的远程计算机的 IP 地址和端口号,State则是表明TCP连接的状态。
可以看到后面三行的监听端口是UDP协议的,所以没有State表示的状态。wWW.iTcOmputER.coM.cn这台机器的7626端口已经开放,而且正在监听等待连接,像这样的情况极有可能是已经感染了木马。这时就需要先断开网络,然后立即用杀毒软件查杀。
如何为局域网内部进行网络分段
网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听。一般来说,网络分段可分为逻辑分段和物理分段两种方式。
1.逻辑分段
例如把局域网分成了192.168.0.X和192.168.1.X两个逻辑分段。由于两个IP地址段不存在相同的广播地址,从而可以有效地避免相互间的攻击和病毒扩散。而服务器如果添加合理的管理软件,更可以实现对两个网络分段的通信管理,如可以实现服务器管理“192.168.0.1~192.168.0.X”中的哪些计算机能够访问另一网段的“192.168.1.1”计算机;反之也可以屏蔽它们之间的相互通信。
2.物理分段
目前的局域网,很少使用纯粹的物理分段来提高安全性。一般多采用以交换机为中心、路由器为边界的网络格局,重点挖掘中心交换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制。例如:普遍使用的DEC MultiSwitch 900的入侵检测功能,就是一种基于Mac地址的访问控制,也就是一种数据链路层的物理分段形式。
如何使用Netstat程序快速了解当前服务器的连接情况? Netstat和Ping等指令一样,是用于网络检测和状况了解的指令程序。使用Netstat/a指令可以知道当前计算机正被哪些计算机连接,使用的服务端口各是多少,这对于检测服务器状况、查出网络问题、避免黑客攻击很有帮助。
其他运行参数详解:
-A 显示任何关联的协议控制块的地址。主要用于调试。
-a 显示所有套接字的状态。在一般情况下不显示与服务器进程相关联的套接字。
-i 显示自动配置接口的状态。那些在系统初始引导后配置的接口状态不在输出之列。
-m 打印网络存储器的使用情况。
-n 打印实际地址,而不是对地址的解释或者显示主机,网络名之类的符号。
-r 打印路由选择表。
-f address -family对于给出名字的地址簇打印统计数字和控制块信息。到目前为止,惟一支持的地址簇是inet。
-I interface 只打印给出名字的接口状态。
-p protocol-name 只打印给出名字的协议的统计数字和协议控制块信息。
-s 打印每个协议的统计数字。
-t 在输出显示中用时间信息代替队列长度信息。
From:http://www.itcomputer.com.cn/Article/Network/201309/3914.html