[Start]
Da bi ste pokrenuli netstat morate da pokrenete Dos Prompt i da
unesete komandu netstat. Netstat je alat koji vam moze dosta koristiti i koji ima dosta
svrha. Ja licno koristim netstat kako bih otkrio IP adresu drugih korisnika na ICQ i AIM.
Takodje, netstat mozete koristiti i za posmatranje otvorenih portova. Netstat se nalazi u
windows direktorijumu i mozete ga pokrenuti ako u ms-dos prompt unesete:
c:\windows\> netstat
| Proto |
Local Address |
Foreign Address |
State |
| TCP |
pavilion:25872 |
WARLOCK:1045 |
ESTABLISHED |
| TCP |
pavilion:25872 |
sy-as-09-112.free.net.au:3925 |
ESTABLISHED |
| TCP |
pavilion:31580 |
WARLOCK:1046 |
ESTABLISHED |
| TCP |
pavilion:2980 |
205.188.2.9:5190 |
ESTABLISHED |
| TCP |
pavilion:3039 |
24.66.10.101.on.wave.home.com:1031 |
ESTABLISHED |
Sada dobro pogledajte prethodni primer. Videcete [Proto] u gornjem
levom uglu. Ovo nam govori koji je protokol u pitanju tcp/udp. Odmah napred nalazi se
[Local Address] ovo nam govori lokalnu ip adresu/hostname i otvorene portove. Zatim,
[Foreign Address] - govori IP adresu/host i otvoren port konekcije u obliku IP:PORT sa
":" izmedju. I na kraju videcete [State] koji nam govori da li je konekcija
uspostavljena. Ovo moze biti ESTABLISHED ukoliko je konekcija uspostavljena i LISTENING
ukoliko se ceka konekcija.
[Detektovanje otvorenih portova]
Netstat mozete koristiti i da nadjete vasu IP adresu i otvorene
portove na vasem racunaru. Na slican nacin, Netstat se moze koristiti i za detektovanje
trojana. Evo i primera: Primetili ste nesto veoma cudno sa vasim kompjuterom? Vas cd-rom
se sam od sebe otvara i zatvara. Vi shvatate da se neko petljao sa trojanom na vasem
racunaru. Sada vam je cilj da otkrijete koji je trojan u pitanju i da ga uklonite. Dakle
sada ce te pokrenuti vas ms-dos prompt i proveriti koji su portovi otvoreni. Postoje mnogo
nacina za koriscenje netstata, stoga pogledajte help kucajuci netstat ?
| Displays protocol statistics and current TCP/IP
network connections. |
NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r]
[interval]
|
| -a |
Displays all connections and listening ports. |
| -e |
Displays Ethernet statistics. This may be combined
with the -s option. |
| -n |
Displays addresses and port numbers in numerical
form. |
| -p |
Proto Shows connections for the protocol specified by
proto; proto may be TCP or UDP. If used with the -s option to display per-protocol
statistics, proto may be TCP, UDP, or IP. |
| -r |
Displays the routing table. |
| -s |
Displays per-protocol statistics. By default,
statistics are shown for TCP, UDP and IP; the -p option may be used to specify a subset of
the default. |
| interval |
Redisplays selected statistics, pausing interval
seconds between each display. |
| Press CTRL+C to stop redisplaying
statistics. If omitted, netstat will print the current configuration information once. |
Ja licno volim da koristim komandu 'netstat -an' koja daje listu
svih konekcija, portova i ip adresu umesto hosta. Npr. unesite komandu netstat -an i
pregledajte listu portova. Potrazite i otvorene portove koji su uobicajni za trojane 12345
(stari NetBus Trojan) 1243 (SubSeven) itd... I samim tim koji je port otvoren znacete koji
je trojan u pitanju i lakse ce te ga ukloniti. Npr. ukoliko je otvoren port 12345 zarazeni
ste NetBus Trojanom, zato sto je ovaj port tipican za njega.
| 
