奇怪了...為什麼我沒在下載軟體,也沒掛網...
連網頁也沒有去開...為什麼我的網路好像被鬼拖一樣慢呢?
難道...我中了木馬?!怎麼辦怎麼辦呢...>.<
可惡啊!手上目前沒有軟體,熊熊又不知去哪抓...到底要怎麼看呢?

其實啊...微軟的系統(如2000、XP等)裡面都有一支小指令
利用命令提示字元敲一些字就可以看到目前的連線狀態,(大部分都能看到)
先利用這個小玩意來check一下吧~~  ╭(─╴╴─)╮ ▃▇

【指令:netstat】
簡介:可以看出目前你電腦和外界網路的連線狀態

其後面可以加上(一個以上)的其他參數喔!如:netstat -a
不過常用的也是用那幾個去看啦~
(小弟幫人家看網路狀態也大都用「a」、「n」二個參數...頂多再加個「o」)
如果對這個指令的參數有興趣的話,可以輸入:netstat -? 來看說明喔~
001.netstat圖.jpg 

那...到底要怎麼用呢?這邊就碎碎念一下基本的用法和怎麼去看它~
首先當然是要先進去命令提示字元內囉!
接著就直接輸入:netstat,這樣就會出現目前執行的連線動作的啦!
(恩...是建議順便加個參數a,會看到比較詳細的資訊~)

001.netstat-a.jpg 

這邊要提醒一下喔!如果是要檢查看看有沒有奇怪的連線
最好開機能停掉的服務都停掉,特別是需要網路連線的東西(如msn、上網等)
除非你很確定那個服務你知道是用哪個連線...= =
在上圖中那些「192.168.0.xxx」是我虛擬電腦和AP產生的東東,
一般只有一台電腦的話是不會有那些東西...^^"

現在來做個實驗吧!先連到PTT,然後再重打一次指令看看~
001.ppt連線.jpg 
燈燈~~有沒有看到?原本沒啥東西的內容出現了這行囉!
這就表示,目前你正在對PTT做telnet的動作,俗稱...上BBS~(~^O^~)

現在換另一個看法看看,在原本的netstat -a後面加上一個n,
這是表示把二邊都用ip來表示,而冒號(:)後方就是所謂的「埠」(port)

001.ppt連線-2.jpg 
恩...如果還是懷疑的話,可以打telnet 140.112.172.11,相信你可以連到ptt的...XD

嗯?你說這樣能幹嘛?不過就是看連線而已嘛!
是的...假設你確定都沒對外連線,例如上BBS、聊MSN,但在輸入netstat後,
卻發現有不知名的連線...或者奇怪的數字,那代表什麼呢?
舉個例子來看一下,下圖中出現了一個port:7777
001.7777.jpg 

沒錯啦!我承認7777念起很順,但...會不會太順了一點?
加上是本機端(Local Address)開的port,
最重要的...目前明明就沒有對外去連線啊~去辜狗大神拜一下後發現...
001.7777-說明.jpg 

原來是隻小木馬...在電腦開了一個後門~~Orz

=========================================================
補充說明:
這邊只是舉例,或許單位內真的有軟體或服務用port 7777~
而且innbbsd似乎也是預設7777為轉信port,一些mud遊戲也有可能開這個port,
當然啦!如果你的電腦只是一般用的,看到這個7777可能就要小心了!
=========================================================

這時候是不是該去弄個掃除木馬的東西,或者掃毒軟體卯起來開個亡羊補牢一下呢?
至少...看要不要先停一下網路做一下檢查呢?

雖然netstat這個小動作可以讓你看看是不是有奇怪的連線,(前提:要看得懂)
但真的發現了也別太緊張,先檢查看是不是有軟體在更新,或者你有開分享~
(當然那種試探性的IPC空連接就要小心一下了)
防人之心不可無,該注意的、該關掉的、該移除的,反正可以預防的動作就多做一些吧!

文末再碎碎念一下,如果跑出來的東西太多,或者想把內容另存的話,
可以在指令後面加上「> c:\檔名.txt」,檔名就隨意吧...(範例是netstat)~^^
意思就是把結果輸出到C槽內的netstat這份文字檔喔!
001.文字檔.jpg 

PS:
1.關於IPC的介紹可以參考之前寫的這篇:http://seskywalker0981.pixnet.net/blog/post/22393161
2.下一次的資安碎碎念會用一個圖型(視窗化)的小軟體來檢查連線喔...v( ̄︶ ̄)y

arrow
arrow
    全站熱搜

    seskywalker0981 發表在 痞客邦 留言(0) 人氣()