netstat -an及其结果分析

netstat, 结果

前言：

这几天由于病毒的日益流行，许多朋友开始对防毒和防黑重视起来，装了不少的

病毒或网络防火墙。诚然，通过防火墙我们可以得到许多有关我们计算机的信息，不过

windows自带的netstat更加小巧玲珑，可以让你不费吹灰之力就可以对本机的开放端口

和连接信息一览无余。

针对netstat命令的用法及相关结果，个人搜集了一些文章，加以整理总结，写了

这篇文章，希望对同学们有多帮助。

1.netstat命令用法

关于该命令的用法你可以很容易的从netstat /?中获取，这里不再做无意义的复制

粘贴了，朋友们自己看一下吧。这里重点提一下"-a"和"-n"选项。"-a"选项意在显示

所有连接，当不附加"-n"选项时，它显示的是本地计算机的netbios名字+端口号。而

加了"-n"选项后，它显示的是本地IP地址+端口号。

For example:

[netstat -a]

TCP fdlpw:ftp fdlpw:0 LISTENING

[netstat -an]

TCP 0.0.0.0:21 0.0.0.0:0 LISTENING

2.端口的基本知识

端口基本上可分为三大类：公用端口，注册端口和动态/私有端口。

公认端口（Well Known Ports）：从0到1023，它们紧密绑定于一些服务。通常这些端

口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯。

注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。也就

是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统

处理动态端口从1024左右开始。

动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，

不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：

SUN的RPC端口从32768开始。

特别的要注意以下几点：

＊ICMP没有端口概念，防火墙中的所谓端口指的是是其type.

ICMP只有两个域：即type和code.

＊0端口通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效

　　端口，当你试图使用一种通常的闭合端口连接它时将产生不同的结果。

　＊1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪

　　个端口连接网络，它们请求操作系统为它们分配“下一个闲置端口”。基于这一点

　　分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端

口1024。为了验证这一点，你可以重启机器，打开Telnet，再打开一个窗口运行

“netstat -”,你将会看到Telnet被分配1024端口。请求的程序越多，动态端口

也越多,操作系统分配的端口将

逐渐变大。再来一遍，当你浏览Web页时用“netstat

查看，每个Web页需要一个新端口。

＊一些系统所经常用到的公用和动态端口在\system32\drivers\etc目录下的services

文件中定义，你可以在notepad中打开该文件。

３.netstat结果信息的结构

　TCP 0.0.0.0:21 0.0.0.0:0 LISTENING

　针对这个子项：

　TCP:所用协议，传输控制协议。

　0.0.0.0:21:0.0.0.0是表示本机ip,如果是动态端口的话通常用本地ip表示而不是全０

　　　　　 21表示本机上该服务分配的端口号

　0.0.0.0:0:表示外部任何主机的任何端口

　LISTENING:表示该服务处于监听状态。

　对于netstat -a的结果，通常是用服务名来代替其端口，如：

　TCP fdlpw:ftp fdlpw:0 LISTENING

　这里fdlpw替代了0.0.0.0,ftp替代了端口21

通常情况下在\system32\etc\services文件中对相应服务名有相关说明，下面给出更

　详尽的描述：

# <服务名> <端口号>/<协议> [别名] [#<注释>]

echo 7/tcp #回应

echo 7/udp #回应

discard 9/tcp sink null #删除

discard 9/udp sink null #删除

systat 11/tcp users #Active users 活动用户

systat 11/tcp users #Active users 活动用户

daytime 13/tcp #时间

daytime 13/udp #时间

qotd 17/tcp quote #Quote of the day 日期的引用

qotd 17/udp quote #Quote of the day 日期的引用

chargen 19/tcp ttytst source #Character generator 字符生成

器

chargen 19/udp ttytst source #Character generator 字符生成

器

ftp-data 20/tcp #FTP, data 文件传输[默认数据]

ftp 21/tcp #FTP. control 文件传输[控制],

连接对话

telnet 23/tcp #远程登录

smtp 25/tcp mail #Simple Mail Transfer

Protocol 简单邮件传送

time 37/tcp timserver #时间

time 37/udp timserver #时间

rlp 39/udp resource #Resource Location Protocol

资源定位协议

nameserver 42/tcp name #Host Name Server 主机名服务

nameserver 42/udp name #Host Name Server 主机名服务

nicname 43/tc

p whois #哪个用户

domain 53/tcp #Domain Name Server 域名服务

器

domain 53/udp #Domain Name Server 域名服务

器

bootps 67/udp dhcps #Bootstrap Protocol Server 动

态主机配置协议/远程启动协议

服务器

bootpc 68/udp dhcpc #Bootstrap Protocol Client 动

态主机配置协议/远程启动协议

客户端

tftp 69/udp #Trivial File Transfer 普通文

件传输协议

gopher 70/tcp #Gopher

finger 79/tcp #Finger

http 80/tcp www www-http #World Wide Web 万维网超文本

传输协议

kerberos 88/tcp krb5 kerberos-sec #Kerberos

kerberos 88/udp krb5 kerberos-sec #Kerberos

hostname 101/tcp hostnames #NIC Host Name Server NIC主机

名服务器

iso-tsap 102/tcp #ISO-TSAP Class 0 IOS传送

层服务访问点

rtelnet 107/tcp #Remote Telnet Service 远程

TELlnet服务

pop2 109/tcp postoffice #Post Office Protocol -

Version 2 邮局协议版本2

pop3 110/tcp #Post Office Protocol -

Version 3 邮件协议版本3

sunrpc 111/tcp rpcbind portmap #SUN Remote Procedure Call

SUN远程过程调用

sunrpc 111/udp rpcbind portmap #SUN Remote Procedure Call

SUN远程过程调用

auth 113/tcp ident tap #Identification Protocol 鉴别

服务协议

uucp-path 117/tcp #UUCP路径服务

nntp 119/tcp usenet #Network News Transfer

Protocol 网络新闻组传送协议

ntp 123/udp #Network Time Protocol 网络时

间协议

epmap 135/tcp loc-srv #DCE endpoint resolution 数据

通信设备定位

服务

epmap 135/udp loc-srv #DCE endpoint resolution 数据

通信设备定位服务

netbios-ns 137/tcp nbname #NETBIOS Name Service

NetBIOS命名服务

netbios-ns 137/udp nbname #NETBIOS Name Service

NetBIOS命名服务

netbios-dgm 138/udp nbdatagram #NETBIOS Datagram Service

NetBIOS数据报服务

netbios-ssn 139/tcp nbsession #NETBIOS Session Service

NetBIOS会话服务

imap 143/tcp imap4 #Internet Message Access

Protocol Internet邮件存取协

议版本

4pcmail-srv 158/tcp #PCMail Server PC Mail服务器

snmp 161/udp #SNMP 简单网络管理协议

snmptrap 162/udp snmp-trap #SNMP trap

print-srv 170/tcp #Network PostScript 网络

PostScript

bgp 179/tcp #Border Gateway Protocol 边际

网关协议

irc 194/tcp #Internet Relay Chat

Protocol Internet中继对话协

议

ipx 213/udp #IPX over IP

ldap 389/tcp #Lightweight Directory Access

Protocol 轻量目录访问协议

https 443/tcp MCom #（暂未翻译）只能理解为：访问

SSL安全站点使用的协议

https 443/udp MCom #（暂未翻译）只能理解为：访问

SSL安全站点使用的协议

microsoft-ds 445/tcp #IP 上的服务器消息块 (SMB)，

即 Microsoft-DS

microsoft-ds 445/udp #IP 上的服务器消息块 (SMB)，

即 Microsoft-DS

kpasswd 464/tcp # Kerberos (v5)

kpasswd 464/udp # Kerberos (v5)

isakmp 500/udp ike #Internet Key Exchange

Internet密钥交换

exec 512/tcp #Remote Process Execution 远

程过程执行

biff 512/udp comsat

#邮件系统使用它通知用户新邮件的到达；目前仅用于

从同一台计算机上的进程接受信息

login 513/tcp #Remote Login 像telnet一样进

行远程登录

who 　513/udp whod　 #维护表明哪些用户登录到一个局

域网的计算机上和上和计算机负

载平均值的数据库

cmd 514/tcp shell #类似于exec，但可为登录的服务

器自动执行鉴别

syslog 514/udp #（未查阅到资料，暂未翻译）

printer 515/tcp spooler #假脱机；打印服务器LPD服务将监

听TCP的515端口上的进入连接

talk 517/udp #类似于tenex链接，但它是跨越

计算机的。

ntalk 518/udp #（未查阅到资料，暂未翻译）

efs 520/tcp #Extended File Name Server 扩

展文件名服务

router 520/udp route routed #本地路由进程（在站点上）；使

用XeroxNS路由信息协议的变体

timed 525/udp timeserver #（未查阅到资料，暂未翻译）

tempo 526/tcp newdate #（未查阅到资料，暂未翻译）

courier 530/tcp rpc #远程过程调用

conference 531/tcp chat #（未查阅到资料，暂未翻译）

netnews 532/tcp readnews #读新闻

netwall 533/udp #For emergency broadcasts 用

于紧急事件广播

uucp 540/tcp uucpd #（未查阅到资料，暂未翻译）

klogin 543/tcp #Kerberos login

kshell 544/tcp krcmd #Kerberos remote shell

new-rwho 550/udp new-who #（未查阅到资料，暂未翻译）

remotefs 556/tcp rfs rfs_server #远程文件系统服务器

rmonitor 560/udp rmonitord #（未查阅到资料，暂未翻译）

monitor 561/udp #（未查阅到资料，暂未翻译）

ldaps 636/tcp sldap #LDAP over TLS/SSL 轻量目录访问协议穿

过安全套接字层/传输层安全

doom 666/tcp #Doom Id Software （未查阅到

资料，暂未翻译）

doom 666/ud

p #Doom Id Software （未查阅到

资料，暂未翻译）

kerberos-adm 749/tcp #Kerberos administration

Kerberos管理

kerberos-adm 749/udp #Kerberos administration

Kerberos管理

kerberos-iv 750/udp #Kerberos version IV （未查阅

到资料，暂未翻译）

kpop 1109/tcp #Kerberos POP Kerberos方式弹

出

phone 1167/udp #Conference calling （未查阅

到资料，暂未翻译）

ms-sql-s 1433/tcp #Microsoft-SQL-Server 微软SQl

服务

ms-sql-s 1433/udp #Microsoft-SQL-Server 微软SQl

服务

ms-sql-m 1434/tcp #Microsoft-SQL-Monitor 微软SQ

服务监视器

ms-sql-m 1434/udp #Microsoft-SQL-Monitor 微软SQ

服务监视器

wins 1512/tcp #Microsoft Windows Internet

Name Service

#保留给微软windows的Internet

名字服务将来使用

wins 1512/udp #Microsoft Windows Internet

Name Service

ingreslock 1524/tcp ingres #（未查阅到资料，暂未翻译）

l2tp 1701/udp #Layer Two Tunneling

Protocol　第二层隧道协议

pptp 1723/tcp #Point-to-point tunnelling

protocol 点对点隧道协议

radius 1812/udp # RADIUS authentication

protocol （暂未翻译）

radacct 1813/udp #RADIUS accounting

Protocol （暂未翻译）

nfsd 2049/udp nfs #NFS server　网络文件系统服务

knetd 2053/tcp #Kerberos de-multiplexor

Kerberos分离器

man 9535/tcp #Remote Man Server 远程管理服

务器

特别的，针对下面的子项：

TCP

fdlpw:epmap MYCHENG:2782 SYN_RECEIVED

它的意思是说:MYCHENG这台机子利用他的2782端口试图与本机的epmap服务连接，

所谓的epmap服务，就是数据通讯设备定位服务，采用tcp/udp 135端口。

4.连接状态描述

　netstat -an结果中出现的"LISTENING","SYN_RECEIVED"等等都是TCP套接字。

　关于常用的套接字及其含义见下：

　　　状态　　　　　　　　　　　　　　　　　意义

　　CLOSED 　　　　　　　　　　　　　　　没有使用这个套接字

　　LISTEN 　　　　　　　　　　　　　　　套接字正在监听入境连接

　　SYN_SENT 　　　　　　　　　　　　　　套接字正在试图主动建立连接

　　SYN_RECEIVED 　　　　　　　　　　　　正在处于连接的初始同步状态

　　ESTABLISHED 　　　　　　　　　　　 连接已建立

CLOSE_WAIT 远程套接字已经关闭：正在等待关闭这个套接字

FIN_WAIT_1 套接字已关闭，正在关闭连接

CLOSING 套接字已关闭，远程套接字正在关闭，暂时挂起关闭确认

LAST_ACK 远程套接字已，正在等待本地套接字的关闭确认

FIN_WAIT_2 套接字已关闭，正在等待远程套接字关闭

TIME_WAIT 这个套接字已经关闭，正在等待远程套接字的关闭传送

5.TCP连接的建立过程

　　现今很多Internt的服务都是建立在TCP连接上面的，包括Telnet ,WWW, Email。当

一台机器（我们称它为客户端）企图跟一个台提供服务的机器（我们称它为服务端）建

立TCP连接时，它们必须先按次序交换通讯好几次，这样TCP连接才能建立起来。

开始客户端会发送一个带SYN标记的包到服务端；

服务端收到这样带SYN标记的包后，会发送一个带SYN-ACK标记的包到客户端作为确

认；当客户端收到服务端带SYN-ACK标记的包后 ，会向服务端发送一个带ACK标记的包。

完成了这几个步骤,它们的TCP连接就建立起来了，可以进行数据通讯。

客户端 服务端

SYN →

← SYN-ACK

ACK →

＊特别的，当你的netstat -an结果中有多个状态为SYN_RECEIVED时，表示你可能中

　　　了SYN flood攻击

6.本机中的实例分析

　 Proto Local Address Foreign Address State

TCP fdlpw:ftp fdlpw:0 LISTENING

ftp服务，采用２１端口，处于监听状态

TCP fdlpw:telnet fdlpw:0 LISTENING

telnet服务，采用23端口，处于监听状态(开代理了)

TCP fdlpw:smtp fdlpw:0 LISTENING

smtp服务，采用25端口，处于监听状态(开代理了)

TCP fdlpw:http fdlpw:0 LISTENING

http服务，采用80端口，处于监听状态(开web服务)

TCP fdlpw:pop3 fdlpw:0 LISTENING

pop3服务，采用110端口，监听状态(开代理了)

TCP fdlpw:nntp fdlpw:0 LISTENING

nntp服务，即网络新闻传输服务，监听状态

TCP fdlpw:epmap fdlpw:0 LISTENING

epmap服务，数据通信设备定位服务(135端口)，监听状态

TCP fdlpw:microsoft-ds fdlpw:0 LISTENING

SMB服务，445端口，Server Message Block

TCP fdlpw:808 fdlpw:0 LISTENING

代理服务，web代理，808端口

TCP fdlpw:1025 fdlpw:0 LISTENING

TCP fdlpw:1026 fdlpw:0 LISTENING

TCP fdlpw:1030 fdlpw:0 LISTENING

　临时服务，采用动态端口

TCP fdlpw:1080 fdlpw:0 LISTENING

socks代理服务

TCP fdlpw:2121 fdlpw:0 LISTENING

ftp代理服务

TCP fdlpw:3389 fdlpw:0 LISTENING

终端服务，3389端口

TCP fdlpw:8000 fdlpw:0 LISTENING

本人的另一个web服务

TCP fdlpw:epmap MYCHENG:2782 SYN_RECEIVED

135端口上的数据设备定位服务,连接建立状态

TCP fdlpw:netbios-ssn fdlpw:0 LISTENING

139端口上的netbios会话服务，监听状态

TCP fdlpw:2213 202.120.225.9:telnet ESTABLISHED

TCP fdlpw:2217 10.73.225.9:telnet ESTABLISHED

TCP fdlpw:2220 10.11.3.123:1080 ESTABLISHED

TCP fdlpw:2222 10.11.3.123:1080 ESTABLISHED

TCP fdlpw:2495 202.120.225.9:telnet ESTABLISHED

TCP fdlpw:3199 10.85.31.164:10200 ESTABLISHED

TCP fdlpw:3206 10.85.31.164:10701 ESTABLISHED

本机的几个应用程序建立的进程，采用动态端口

TCP fdlpw:3527 p8.www.dcn.yahoo.com:http SYN_SENT

IE浏览进程

TCP fdlpw:8000 www.fudan.edu.cn:53622 TIME_WAIT

TCP fdlpw:8000 www.fudan.edu.cn:54011 TIME_WAIT

UDP fdlpw:microsoft-ds *:*

UDP fdlpw:isakmp *:*

UDP fdlpw:1027 *:*

UDP fdlpw:2219 *:*

UDP fdlpw:2221 *:*

UDP fdlpw:3456 *:*

UDP fdlpw:4500 *:*

UDP fdlpw:49503 *:*

UDP fdlpw:ntp *:*

UDP fdlpw:netbios-ns *:*

UDP fdlpw:netbios-dgm *:*

UDP fdlpw:ntp *:*

UDP fdlpw:1039 *:*

UDP fdlpw:2230 *:*

UDP fdlpw:3456 *:*