Làm sao để biết Server đang lắng nghe trên port nào?

Đối với những bạn đang quản trị phòng server cho các công ty thì nhu cầu nhận biết các port nào đã được dùng và port nào đang ở tình trạng đang lắng nghe trên Server là vô cùng quan trọng. Đơn giản, bạn chỉ cần một command NETSTAT mà không cần bất kỳ tool nào khác.

• Khi thực hiện lệnh Netstat trên các hệ thống, kết quả sẽ như ví dụ bên dưới:
  

Mở command prompt và đánh lệnh:

C:WINDOWS>netstat -an |find /i "listening"

TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:443 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:912 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1110 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING
TCP 0.0.0.0:4265 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5357 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5938 0.0.0.0:0 LISTENING
TCP 0.0.0.0:16881 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49152 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49153 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49154 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49155 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49160 0.0.0.0:0 LISTENING
TCP 0.0.0.0:50310 0.0.0.0:0 LISTENING
TCP 0.0.0.0:63329 0.0.0.0:0 LISTENING
TCP 127.0.0.1:895 0.0.0.0:0 LISTENING
TCP 127.0.0.1:5354 0.0.0.0:0 LISTENING
TCP 127.0.0.1:5939 0.0.0.0:0 LISTENING
TCP 127.0.0.1:5940 0.0.0.0:0 LISTENING
TCP 127.0.0.1:9421 0.0.0.0:0 LISTENING
TCP 127.0.0.1:9422 0.0.0.0:0 LISTENING
TCP 127.0.0.1:9423 0.0.0.0:0 LISTENING
TCP 127.0.0.1:27015 0.0.0.0:0 LISTENING
TCP 127.0.0.1:49480 0.0.0.0:0 LISTENING
TCP 192.168.1.76:139 0.0.0.0:0 LISTENING
TCP 192.168.131.1:139 0.0.0.0:0 LISTENING
TCP 192.168.181.1:139 0.0.0.0:0 LISTENING


Lệnh này thực hiện tìm tất cả các Port đang lắng nghe trên hệ thống , nếu muốn lưu lại trên C: và thuận tiện cho việc xem lại sau này chỉ cần thực hiện lệnh:

netstat -an |find /i "listening" > c:/openports.txt

• Nếu muốn tìm những Ports nào đã thiết lập kết nối trên hệ thống "established" , tưc là những port đang giao tiếp.., dùng lệnh sau:
  

C:WINDOWS>netstat -an |find /i "established"

TCP 127.0.0.1:895 127.0.0.1:50296 ESTABLISHED
TCP 127.0.0.1:1110 127.0.0.1:50302 ESTABLISHED
TCP 127.0.0.1:1110 127.0.0.1:57044 ESTABLISHED
TCP 127.0.0.1:5940 127.0.0.1:49163 ESTABLISHED
TCP 127.0.0.1:49156 127.0.0.1:49157 ESTABLISHED
TCP 127.0.0.1:49157 127.0.0.1:49156 ESTABLISHED
TCP 127.0.0.1:49158 127.0.0.1:49159 ESTABLISHED
TCP 127.0.0.1:49159 127.0.0.1:49158 ESTABLISHED
TCP 127.0.0.1:49161 127.0.0.1:49162 ESTABLISHED
TCP 127.0.0.1:49162 127.0.0.1:49161 ESTABLISHED
TCP 127.0.0.1:49163 127.0.0.1:5940 ESTABLISHED
TCP 127.0.0.1:50296 127.0.0.1:895 ESTABLISHED
TCP 127.0.0.1:50302 127.0.0.1:1110 ESTABLISHED
TCP 127.0.0.1:57044 127.0.0.1:1110 ESTABLISHED
TCP 192.168.1.76:50303 72.246.184.18:443 ESTABLISHED
TCP 192.168.1.76:50369 212.161.8.3:12350 ESTABLISHED
TCP 192.168.1.76:56263 219.69.79.113:17939 ESTABLISHED
TCP 192.168.1.76:57045 221.205.20.110:80 ESTABLISHED

Lưu ý: Trên Windows XP và Windows Server 2003, có thể dùng lệnh NETSTAT -O để lấy được danh sách tất cả các quy trình -process ID, đang vận hành tương ứng với mỗi connection:

C:WINDOWS>netstat -ao |find /i "listening"

TCP 0.0.0.0:80 NguyenQuocHien:0 LISTENING 5600
TCP 0.0.0.0:135 NguyenQuocHien:0 LISTENING 960
TCP 0.0.0.0:443 NguyenQuocHien:0 LISTENING 5600
TCP 0.0.0.0:445 NguyenQuocHien:0 LISTENING 4
TCP 0.0.0.0:912 NguyenQuocHien:0 LISTENING 3488
TCP 0.0.0.0:1110 NguyenQuocHien:0 LISTENING 2116
TCP 0.0.0.0:3389 NguyenQuocHien:0 LISTENING 1516
TCP 0.0.0.0:4265 NguyenQuocHien:0 LISTENING 5672
TCP 0.0.0.0:5357 NguyenQuocHien:0 LISTENING 4
TCP 0.0.0.0:5938 NguyenQuocHien:0 LISTENING 3072
TCP 0.0.0.0:16881 NguyenQuocHien:0 LISTENING 5672

Có thể dùng dùng Task Manager để nhận dạng PID , xem quy trình nào sử dụng nó, và ai đả start nó. Ví dụ, bạn tìm ra được trên Computer bạn có một kết nối mở đến một địa chỉ IP ở xa trên TCP port 80, và bạn không hề có bất cứ Internet Explorer hoặc trình duyệt Browser nào đang mở. Bạn có tin rằng bạn vẫn có thể tìm ra quy trình nào đang vận hành trên kết nối này ?

C:WINDOWS>netstat -no

Active Connections

Proto Local Address Foreign Address State PID
TCP 192.168.0.100:2496 212.179.4.7:80 ESTABLISHED 1536

Bạn có thấy số quy trình PID là 1536 ?

Tiếp đó ,

1. Mở Task manager.
2. Mở Processes tab, click View và chọn Select Columns.
3. Trong Select Columns , click để chọn PID và sau đó click Ok.
4. Bạn có thể sắp xếp cột PID để trình bày số PIDs theo thứ tự tăng hoặc giảm.

Trong trường hợp này, tiến trình LUCOMS~1.EXE chính là chương trình cập nhật Symantec Live Update của Symantec.

• Để xem tất cả các Ports đóng, đã thiết lập, hoặc các ports đang sử dụng khác , dùng lệnh:
  

C:WINDOWS>netstat -a

Active Connections

Proto Local Address Foreign Address State
TCP 0.0.0.0:80 NguyenQuocHien:0 LISTENING
TCP 0.0.0.0:135 NguyenQuocHien:0 LISTENING
TCP 0.0.0.0:443 NguyenQuocHien:0 LISTENING
TCP 0.0.0.0:445 NguyenQuocHien:0 LISTENING
TCP 0.0.0.0:912 NguyenQuocHien:0 LISTENING
TCP 0.0.0.0:1110 NguyenQuocHien:0 LISTENING
TCP 0.0.0.0:3389 NguyenQuocHien:0 LISTENING
TCP 0.0.0.0:4265 NguyenQuocHien:0 LISTENING
TCP 0.0.0.0:5357 NguyenQuocHien:0 LISTENING
TCP 0.0.0.0:5938 NguyenQuocHien:0 LISTENING
TCP 0.0.0.0:16881 NguyenQuocHien:0 LISTENING
TCP 0.0.0.0:49152 NguyenQuocHien:0 LISTENING
TCP 127.0.0.1:895 NguyenQuocHien:50296 ESTABLISHED
TCP 127.0.0.1:1110 NguyenQuocHien:50302 ESTABLISHED
TCP 127.0.0.1:1110 NguyenQuocHien:57044 ESTABLISHED
TCP 127.0.0.1:1110 NguyenQuocHien:57190 TIME_WAIT
TCP 127.0.0.1:5354 NguyenQuocHien:0 LISTENING
TCP 127.0.0.1:5939 NguyenQuocHien:0 LISTENING
TCP 127.0.0.1:5940 NguyenQuocHien:0 LISTENING
TCP 127.0.0.1:5940 NguyenQuocHien:49163 ESTABLISHED
TCP 127.0.0.1:9421 NguyenQuocHien:0 LISTENING
TCP 127.0.0.1:9422 NguyenQuocHien:0 LISTENING
TCP 127.0.0.1:9423 NguyenQuocHien:0 LISTENING
TCP 127.0.0.1:27015 NguyenQuocHien:0 LISTENING
TCP 127.0.0.1:49156 NguyenQuocHien:49157 ESTABLISHED
TCP 127.0.0.1:49157 NguyenQuocHien:49156 ESTABLISHED
TCP 127.0.0.1:57044 NguyenQuocHien:nfsd-status ESTABLISHED
TCP 192.168.1.76:139 NguyenQuocHien:0 LISTENING
TCP 192.168.1.76:50303 a72-246-184-18:https ESTABLISHED
TCP 192.168.1.76:50369 212.161.8.3:12350 ESTABLISHED
TCP 192.168.1.76:56263 host-219-69-79-113:17939 ESTABLISHED
TCP 192.168.1.76:57045 110:http ESTABLISHED
TCP 192.168.1.76:57169 192.168.1.1:5431 TIME_WAIT
TCP 192.168.1.76:57170 192.168.1.1:5431 TIME_WAIT
TCP 192.168.1.76:57222 192.168.1.1:5431 TIME_WAIT
TCP 192.168.131.1:139 NguyenQuocHien:0 LISTENING
TCP 192.168.181.1:139 NguyenQuocHien:0 LISTENING
TCP [::]:135 NguyenQuocHien:0 LISTENING
TCP [::]:49155 NguyenQuocHien:0 LISTENING
TCP [::]:49160 NguyenQuocHien:0 LISTENING
UDP 0.0.0.0:443 *:*
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:3702 *:*
UDP 0.0.0.0:3702 *:*
UDP 0.0.0.0:4500 *:*
UDP 192.168.181.1:138 *:*
UDP 192.168.181.1:1900 *:*
UDP 192.168.181.1:5353 *:*
UDP 192.168.181.1:61848 *:*
UDP [::]:500 *:*
UDP [::]:3702 *:*
UDP [::1]:5353 *:*
UDP [::1]:61845 *:*
UDP [fe80::7:3742:630f:7e22%34]:1900 *:*
UDP [fe80::e0e9:a082:86e:9af4%35]:61844 *:*

Chú ý: Bạn có thấy có một số trạng thái kết nối là “Time_Wait” không ?, tạm hiểu nó như thế này: TCP vẫn tạm thời giữ kết nối giữa 2 Computer trong một khoảng thời gian nhất định (TIME_WAIT) , sau khi 2 bên đã ngừng kết nối, điều này là cần thiết trước khi kết thúc hoàn toàn kết nối, để tránh tình trạng các packets bị chậm trể trong phiên truyền sẽ khởi tạo kết nối mới, với Time_wait chúng sẽ bị giữ lại và không được xem như một yêu cầu khởi tạo kết nối mới.

Trên XP/2003 có thể dùng -O:

C:WINDOWS>netstat -ao

Active Connections

Proto Local Address Foreign Address State PID
TCP pro1:epmap pro1.dpetri.net:0 LISTENING 860
TCP pro1:microsoft-ds pro1.dpetri.net:0 LISTENING 4
TCP pro1:1025 pro1.dpetri.net:0 LISTENING 908
TCP pro1:1084 pro1.dpetri.net:0 LISTENING 596
TCP pro1:2094 pro1.dpetri.net:0 LISTENING 596
TCP pro1:3389 pro1.dpetri.net:0 LISTENING 908
TCP pro1:5000 pro1.dpetri.net:0 LISTENING 1068
TCP pro1:1084 srv1.dpetri.net:1026 ESTABLISHED 596
TCP pro1:2094 srv1.dpetri.net:1166 ESTABLISHED 596
UDP pro1:epmap *:* 860
UDP pro1:microsoft-ds *:* 4
UDP pro1:isakmp *:* 680
UDP pro1:1026 *:* 1040
UDP pro1:1027 *:* 1040
UDP pro1:1028 *:* 680
UDP pro1:1038 *:* 908
UDP pro1:1043 *:* 624
UDP pro1:1085 *:* 596
UDP pro1:1086 *:* 596
UDP pro1:1242 *:* 1040
UDP pro1:ntp *:* 908
UDP pro1:1649 *:* 596
UDP pro1:1900 *:* 1068
UDP pro1:2095 *:* 976
UDP pro1:2217 *:* 1856
UDP pro1:ntp *:* 908
UDP pro1:1900 *:* 1068

Sao toàn là những lệnh khó nhớ quá !

NguyenHuuCo (102C) đã viết:Sao toàn là những lệnh khó nhớ quá !

bạn vào cmd --> gõ netstat ?
sẽ ra giải thích tất cả các thông số đi kèm theo, chịu khó đọc chút là nhớ hết à ^^

Còn trong Linux(ubuntu) mở Terminal (giống Command trong Windows) gõ:

Code:

netstat -pant

Gõ xong nó văng kết quả ra rất dễ nhìn

HoangTheSinh(102C) đã viết:Còn trong Linux(ubuntu) mở Terminal (giống Command trong Windows) gõ:

Code:

netstat -pant

Gõ xong nó văng kết quả ra rất dễ nhìn

thank trước giờ chỉ biết netstat trong windows, giờ biết thêm được 1 lệnh trong linux

lâu lâu mới thấy 1 bài hay do chính tác giả viết ra chứ ko fải copy paste
Phần "Chú ý" cuối cùng hơi khó hiểu. Mình thì hiểu TIME_WAIT có nghĩa là sau khi 2 Socket ngừng chuyển data thì không ngắt ngay kết nối đó, mà chờ 1 khoảng thời gian "timeout", để nếu có chuyển data tiếp thì không phải tốn thời gian khởi tạo lại kết nối, đúng không?

NguyenQuocHien(102C) đã viết:
Lưu ý: Trên Windows XP và Windows Server 2003, có thể dùng lệnh NETSTAT -O để lấy được danh sách tất cả các quy trình -process ID, đang vận hành tương ứng với mỗi connection:

C:WINDOWS>netstat -ao |find /i "listening"

TCP 0.0.0.0:80 NguyenQuocHien:0 LISTENING 5600
TCP 0.0.0.0:135 NguyenQuocHien:0 LISTENING 960
TCP 0.0.0.0:443 NguyenQuocHien:0 LISTENING 5600
TCP 0.0.0.0:445 NguyenQuocHien:0 LISTENING 4
TCP 0.0.0.0:912 NguyenQuocHien:0 LISTENING 3488
TCP 0.0.0.0:1110 NguyenQuocHien:0 LISTENING 2116
TCP 0.0.0.0:3389 NguyenQuocHien:0 LISTENING 1516
TCP 0.0.0.0:4265 NguyenQuocHien:0 LISTENING 5672
TCP 0.0.0.0:5357 NguyenQuocHien:0 LISTENING 4
TCP 0.0.0.0:5938 NguyenQuocHien:0 LISTENING 3072
TCP 0.0.0.0:16881 NguyenQuocHien:0 LISTENING 5672

Có thể dùng dùng Task Manager để nhận dạng PID , xem quy trình nào sử dụng nó, và ai đả start nó. Ví dụ, bạn tìm ra được trên Computer bạn có một kết nối mở đến một địa chỉ IP ở xa trên TCP port 80, và bạn không hề có bất cứ Internet Explorer hoặc trình duyệt Browser nào đang mở. Bạn có tin rằng bạn vẫn có thể tìm ra quy trình nào đang vận hành trên kết nối này ?

C:WINDOWS>netstat -no

Active Connections

Proto Local Address Foreign Address State PID
TCP 192.168.0.100:2496 212.179.4.7:80 ESTABLISHED 1536

Bạn có thấy số quy trình PID là 1536 ?

Tiếp đó ,

1. Mở Task manager.
2. Mở Processes tab, click View và chọn Select Columns.
3. Trong Select Columns , click để chọn PID và sau đó click Ok.
4. Bạn có thể sắp xếp cột PID để trình bày số PIDs theo thứ tự tăng hoặc giảm.

Trong trường hợp này, tiến trình LUCOMS~1.EXE chính là chương trình cập nhật Symantec Live Update của Symantec.

My bổ sung thêm 1 công dụng nữa của lệnh này là test xem máy bạn có bị nhiễm virus không, vấn đề này chắc có nhiều bạn biết rồi, nhưng my muốn bổ sung cho đầy đủ luôn .
Dùng lệnh c:\Documents and Settings\cluster>netstat -ao hoặc c:\Documents and Settings\cluster>netstat -ano sẽ thấy được PID của tất cả process (listening, time-wait, close_wait, established). /* cluster - là quyền admin của máy mình */



Tương tự như bạn nguyenquochien nói sau khi xác định được PID của 1 process ==> vào Task Manager ==> xác định được tên của process thông qua PID.

vd: PID cần tìm là 3468






Là chương trình YahooMessenger quen thuộc, nhưng mình thử dùng process này để test luôn vì máy mình ko có virus
Tiếp theo, chúng ta load process cần test lên trang http://www.virustotal.com để test xem nó có phải là virus không.



Chọn send file --> view last report ta được:



==> trong cột result ko có dấu check ==> process chúng ta test ko phải là virus
==> nếu là virus thì các bạn hãy tự định đoạt số phận cho nó nha

Nói chung mình thấy cách này đơn giản và dễ sử dụng nhất. Các bạn tham khảo và góp ý để cùng nhau học hỏi nha

letuananh (102C) đã viết:lâu lâu mới thấy 1 bài hay do chính tác giả viết ra chứ ko fải copy paste
Phần "Chú ý" cuối cùng hơi khó hiểu. Mình thì hiểu TIME_WAIT có nghĩa là sau khi 2 Socket ngừng chuyển data thì không ngắt ngay kết nối đó, mà chờ 1 khoảng thời gian "timeout", để nếu có chuyển data tiếp thì không phải tốn thời gian khởi tạo lại kết nối, đúng không?

Đúng vậy đó letuananh.

@nguyentramy: rất đơn giản mà hiệu quả ^^