โปรแกรมบัญชีเกณพ์คงค้าง รพ.สต. สสจ.สุรินทร์ รายงานผู้บริหารด้านการเงิน รพ.สต.

การใช้โปรแกรม NETSTAT ครับ


DateTime : 2010-11-26 15:45:02
Post By : dogmike
IP Address : 203.113.118.74
การใช้โปรแกรม NETSTAT
 
เป็นคำสั่งที่ใช้ตรวจสอบ Network เกี่ยวกับการเชื่อมต่อ Port ในเครื่องเรากับเครื่องอื่นใน Network
 

 
จากการใช้คำสั่งจาก DOS Prompt ในรูปข้างบน เป็นการเรียกดูวิธีการใช้ของโปรแกรม netstat โดยการใส่เครื่องหมาย /? ต่อท้ายคำสั่งนั้น (สามารถใช้ได้กับโปรแกรมอย่างอื่นในดอสได้ด้วย) เพื่อขอดูการใช้งาน ผมจะอธิบายที่ละบรรทัดอย่างคร่าวๆ

และการใช้คำสั่งนี้ ไม่ว่าจะเป็น Opiton หรือใดๆก็ตาม จะไม่เป็นอันตรายต่อเครื่อง รวมทั้งระบบ Network ซึ่งในการใช้ สามารถใช้ได้ในขณะที่ต่อ Internet หรือไม่ก็ตาม

-a Displays all connections and listening ports.

Opiton นี้จะเป็นการดูการเชื่อมต่อ Port ทั้งหมดที่ (เครื่องนั้นๆ=เครื่องคุณ) ที่ใช้คำสั่งนี้ได้เปิดรอการเข้ามาติดต่อ แต่ผลที่แสดงจะเป็นรายชื่อ Service ที่ติดต่อกับเครื่อง (เครื่องนั้นๆ=เครื่องคุณ) เช่นชื่อเว็บไซด์หรือชื่อเครื่อง ไม่แสดงเป็นตัวเลข IP


-e Displays Ethernet statistics. This may be combined with the -s option.

Opiton นี้จะเป็นการดูเหมือนกับสถิติต่างๆในการรับ/ส่งข้อมูลต่างๆ ต้องใช้ร่วมกับ Opiton -s เป็นการดูสถานะการรับส่งข้อมูลต่างๆ ซึ่งลองใช้ดูได้


-n Displays addresses and port numbers in numerical form.

Opiton นี้จะเหมือนกับ -a แต่การแสดงผลจะเป็นเลข IP กับ Port แทนชื่อเครื่องหรือชื่อเว็บไซด์ต่างๆที่ได้มีการติดต่อหรือเชื่อมการติดต่อ


 



การใช้งาน netstat (แบบดอส)

สังเกตว่า 2 ภาพด้านล่างเป็นการใช้ 2 option การแสดงผลก็ต่างกันนิดหน่อย แต่ความหมายแต่ละบรรทัดมีค่าเท่ากัน เพียงแต่การแสดงแตกต่างเป็นชื่อกับตัวเลข (เลข IP/Prot)


ยังไม่เชื่อมต่อจะขึ้นแบบนี้ครับ



1. Proto TCP -- คือโปรโตคอลที่เครื่องกำลังเชื่อมต่ออยู่

2. Local Address qillip:telnet -- [ชื่อเครื่อง qillip] : [telnet Service (port ที่เครื่องได้เปิด)] ซึ่งตอนนี้เป็นหรือบริการที่เปิด และเราจะรู้ได้ตรงนี้เอง เช่นพวกโทรจัน Trojan หรือโปรแกรมบางโปรแกรมมักจะเปิด Service หรือบริการที่เปิดรอ เพื่อจะเข้ามาควบคุมเครื่องหรือมีการแชร์เครื่อง เพื่อใช้ในการถ่ายโอนข้อมูลระหว่างเครื่องในระบบ Network

3. Foreign Address qillip:0 -- ชื่อเครื่อง [qillip] : [เครื่องที่เชื่อมต่อกับเครื่องที่คุณได้ใช้อยู่] ที่เป็นเลข 0 เพราะว่าผมยังไม่ได้ต่อเน็ต

4. State LISTENING -- สถานะการติดต่อ ซึ่งจะมีอยู่หลายแบบ

เพื่อให้เข้าใจง่ายขึ้น การใช้งานทั่วไป มักจะใช้คำสั่ง C:>netstat -an หรือ C:>netstat -a เวลาใช้ พิมพ์แค่ netstat -a หรือ netstat -an ที่ Dos Prompt เพราะว่าจะทำให้มีการดูเป็นรูปแบบที่ง่ายขึ้น ส่วน Option อื่นลองไปใช้เองดู ซึ่งใช้เดี่ยวๆหรือคู่กันไปก็ได้ ที่ผมได้แนะนำมาแบบนี้ คำสั่งทั้ง 2 ตัวที่ผมได้ยกขึ้นมานี้ได้ครอบคลุมการดูเกือบทั้งหมดแล้ว เพียงแต่คุณต้องไปศึกษาว่า Port แต่ละหมายเลขเป็นบริการของอะไร เป็นโทรจันหรือไม่ อาจเป็นโปรแกรม Remote ก็ได้ ซึ่งโปรแกรม Remote จะสามารถหลบการแสกนจากโปรแกรม Anti Virus / Trojan Scan

จากตัวอย่างที่ผมได้ทำเป็นแถบสีขาวให้ดูจาก 2 รูปด้านบน ที่บริการที่ผมได้เปิด Local Address=qillip:telnet ตรง telnet คุณต้องรู้ว่า telnet คือ port 23 หรืออาจพิมพ์คำสั่ง netstat -an เพื่อตรวจดูหมายเลข port ซึ่งจะอยู่บรรทัดเดียวกันดัง 2 รูปข้างต้น (ถ้าใช้ในเวลาเดียวกัน 2 Option ทั้ง -a และ -an และ -n คุณลองใช้ดูครับ การแสดงผลจะได้ค่าที่เหมือนกัน แต่แตกต่างที่จะเป็นชื่อบริการที่คุณได้เปิดหรือเป็นแบบตัวเลข IP)

(ตอนนี้ผมได้ต่อ Internet) ดังรูปด้านล่าง
 


สีเหลือง เป็นสถานะ ESTABLISHED

Local Address ซึ่ง IP ผมคือ 203.118.74.149 ได้เปิด port 135 เอาไว้และเข้ามาที่เครื่องทาง port นี้
Foreign Address เป็น IP ของเครื่องที่มา hack เครื่องผมคือ 203.118.82.158
State เป็นสถานะ ESTABLISHED หมายความว่า เป็นการเชื่อมต่อระหว่างเครื่อง 2 เครื่องได้แล้ว พูดอีกแบบคือ มีเครื่องอื่นได้เข้ามาในเครื่องผมแล้ว


สีฟ้า เป็นสถานะ LISTENING

Local Address ซึ่ง IP ผมคือ 203.118.74.149 ได้เปิด port 139
Foreign Address ยังไม่มีเครื่องใดมาทำการติดต่อ
State เป็นสถานะ LISTENING คือรอการติดต่อ ซึ่งเครื่องอื่นสามารถเข้าได้ทางนี้

** ให้สังเกตเครื่องคุณ ถ้าได้มีตัวนี้อยู่บรรทัดไหน ให้สังเกตที่บรรทัดเดียวกันว่า เครื่องคุณได้เปิด Port ไหนเอาไว้บ้าง **


สีม่วง เป็นสถานะ TIME_WAIT

Local Address ซึ่ง IP ผมคือ 203.118.74.149 ได้เปิด port 139
Foreign Address เครื่องที่มี IP 203.118.74.110 ได้กำลังแสกนเครื่องผมอยู่ เพื่อหาช่องโหว่
State เป็นสถานะ TIME_WAIT คือเค้ากำลังแสกนเครื่องผมโดยผ่าน port 139 กำลังแสกน หรืออีกความหมายคือ เครื่องนั้นอาจกำลังถอด password เครื่องคุณอยู่ก็ได้


TIP : ซึ่งตอนนี้คุณคงอ่าน และคงสามารถที่จะเดาได้ว่าแต่ละบรรทัดที่โปรแกรมแสดงหมายความว่าอะไรบ้าง แต่ถ้าใช้ Option ดังรูปข้างบน (ต่อ Internet) ให้พิมพ์คำสั่ง netstat -a เพื่อจะแสดงเป็นชื่อ ซึ่งบางทีในสถานะ ESTABLISHED หมายความว่า มีเครื่องอื่นได้เข้ามาในเครื่องผมแล้วนั้น อาจเป็นเว็บไซด์ที่คุณกำลังดาว์นโหลดอยู่ก็ได้ คำสั่ง netstat -a จะแสดงเป็นชื่อเว็บต่างๆ ซึ่งถ้าใช้คำสั่ง netstat -an จะแสดงเป็นตัวเลข IP ยากต่อการเดา และการดูจริงๆคุณต้องสังเกตที่ port ที่เครื่องคุณด้วยว่าเป็น port ที่ใช้ทำอะไร


HACK : ถ้าคุณกำลัง chat อยู่ ไม่ว่าจะเป็น icq , msn , yahoo ect.. ก็ตาม และได้มีการรับ/ส่งไฟล์ระหว่างเครื่องเกิดขึ้น ให้พิมพ์คำสั่ง netstat -an หรือ netstat -a หรือ netstat -n ก็ได้ โปรแกรมนี้จะมีการแสดงเลข IP ต่างๆที่คุณได้ติดต่ออยู่ และคุณรู้ IP เครื่องเป้าหมายแล้ว อิอิ ถ้ามีความรู้ในเรื่องอื่น ก็นำมาใช้ได้เลย


นี่คือการทำงานโดยใช้ดอสแบบทั่วไป ให้คุณลองดูว่าเครื่องคุณได้เปิด Port อะไรไว้บ้าง ถ้ามีการเปิดที่เยอะมาก คุณต้องรู้ว่าแต่ละ Port ไหนโปรแกรมอะไรเป็นตัวเปิด โดยทำการค้นหาได้จากโปรแกรมที่คุณใช้ได้ถนัด ซึ่งแล้วแต่คนจะถนัดทางไหน และหัวข้อต่อไป ผมจะอธิบายการใช้โปรแกรมอีกตัว ซึ่งใช้ได้ดีมากสำหรับการหาโปรแกรมตัวแสบ ที่แอบมาเปิด port และยังสามารถใช้งานได้อีกหลายอย่าง แทนโปรแกรม NETSTAT ได้ดีอีกด้วย แถมยังมีโปรแกรมให้ HACK เครื่องแถมมาด้วย

** การกระทำใดๆที่ละเมิดสิทธิผู้อื่นโดยเจตนา มันไม่ดีเลยนะครับ และถ้าคุณคิดที่จะทำ ผมขอแนะว่า ต้องมีสติรู้ว่ากำลังทำอะไรอยู่ ทำเพื่ออะไร ผลที่คุณจะได้จะคุ้มค่าหรือไม่ **


ที่ผมชอบใช้แบบ dos เพราะว่าชีวิตจริงคุณไม่ได้เล่นแค่เครื่องคุณเองเครื่องเดียว แต่คุณต้องไปทำอะไรต่างๆที่เครื่องอื่น และโปรแกรมนี้มีอยู่ในเครื่องทุกเครื่องอยู่แล้ว ซึ่งไม่ว่าเครื่องไหนที่เป็นระบบ Window คุณก็ใช้คำสั่งนี้ได้ เพราะไม่งั้นคุณต้องหอบโปรแกรมไปติดตั้ง ยุ่งยาก ผมจึงอยากให้ใช้เป็นพวกโปรแกรมในดอสนี่แหละ พระเอกตัวจริงเวลาเครื่องมีปัญหา

PORT

WINDOW นั้น เปิด Port ไหนเป็นมาตรฐาน??
98 + ME จะเปิด port 139 , 445
2000 Pro จะเปิด port 139 , 445
2000 Advance Server จะเปิด port 53 , 88 , 139 , 445


TROJAN PORT

31 : Master Paradise
121 : BO jammerkillahV
456 : HackersParadise
555 : Phase Zero
666 : Attack FTP
1001 : Silencer
1001 : Silencer
1001 : WebEx
1010 : Doly Trojan 1.30 (Subm.Cronco)
1011 : Doly Trojan 1.1+1.2
1015 : Doly Trojan 1.5 (Subm.Cronco)
1033 : Netspy
1042 : Bla1.1
1170 : Streaming Audio Trojan
1207 : SoftWar
1243 : SubSeven
1245 : Vodoo
1269 : Maverick's Matrix
1492 : FTP99CMP
1509 : PsyberStreamingServer Nikhil G.
1600 : Shiva Burka
1807 : SpySender
1981 : ShockRave
1999 : Backdoor
1999 : Transcout 1.1 + 1.2
2001 : DerSpaeher 3
2001 : TrojanCow
2023 : Pass Ripper
2140 : The Invasor Nikhil G.
2283 : HVL Rat5
2565 : Striker
2583 : Wincrash2
2801 : Phineas Nikhil G.
3791 : Total Eclypse (FTP)
4567 : FileNail Danny
4950 : IcqTrojan
4950 : IcqTrojen
5000 : Socket23
5011 : OOTLT
5031 : NetMetro1.0
5400 : BladeRunner
5400 : BackConstruction1.2
5521 : IllusionMailer
5550 : XTCP 2.0 + 2.01
5569 : RoboHack
5742 : Wincrash
6400 : The tHing
6669 : Vampire 1.0
6670 : Deep Throat
6883 : DeltaSource (DarkStar)
6912 : Shitheep
6939 : Indoctrination
7306 : NetMonitor
7789 : iCkiller
9872 : PortalOfDoom
9875 : Portal of Doom
9989 : iNi-Killer
9989 : InIkiller
10607 : Coma Danny
11000 : SennaSpyTrojans
11223 : ProgenicTrojan
12076 : Gjamer
12223 : Hackด99 KeyLogger
12346 : NetBus 1.x (avoiding Netbuster)
12701 : Eclipse 2000
16969 : Priotrity
20000 : Millenium
20034 : NetBus Pro
20203 : Logged!
20203 : Chupacabra
20331 : Bla
21544 : GirlFriend
21554 : GirlFriend
22222 : Prosiak 0.47
23456 : EvilFtp
27374 : Sub-7 2.1
29891 : The Unexplained
30029 : AOLTrojan1.1
30100 : NetSphere
30303 : Socket25
30999 : Kuang
31787 : Hack'a'tack
33911 : Trojan Spirit 2001 a
34324 : Tiny Telnet Server
34324 : BigGluck TN
40412 : TheSpy
40423 : Master Paradise
50766 : Fore
53001 : RemoteWindowsShutdown
54320 : Back Orifice 2000 (default port)
54321 : Schoolbus 1.6+2.0
61466 : Telecommando
65000 : Devil 1.03

 

Message !!

หากต้องการตอบกระทู้ Webboard กรุณาเข้าใช้ระบบก่อนนะค่ะ..


กระทู้ตอบกลับ

เยี่ยม หา port เจอแล้ว   thank you


Post โดย :  huwko Date: 2010-11-27 17:46:15 ip: 125.26.117.216

Traceroute
คำสั่ง tracert (Windows) หรือ traceroute (*NIX) เป็นเครื่องมือช่วยในการตรวจสอบเครือข่าย โดยจะแสดง IP ของ router หรือ gateway ที่ packet วิ่งผ่านจากที่หนึ่งไปยังอีกเครือข่ายหนึ่งทีละ hop โดย traceroute ใช้คุณสมบัติของ IP Time To Live (TTL) ในการทำงาน

TTL ถูกนำไปใช้ในโปรโตคอล IP เพื่อป้องการการเกิดลูปที่ไม่รู้จบจากการวนของ pakcet โดยในแต่ละ device ที่ได้รับ packet จะลดค่าของ TTL ลงทีละ 1 และถ้า TTL มีค่าเป็นศูนย์หรือน้อยกว่า packet นั้นจะถูก drop ไป และ router ก็จะส่งข้อมูล ICMP "TTL Exceed in Transit" กลับมายังเครื่องที่รันคำสั่งนี้

Traceroute ใช้หลักการนี้ในการทำงาน โดยมันจะกำหนดค่า TTL counter ที่ทำให้ router ที่ packet ผ่านไปนั้นต้องสร้าง ICMP message กลับมาเสมอ สำหรับคำสั่ง tracert ใน Windows นั้น จะใช้ ping (ICMP Echo) เป็นตัวส่ง packet ออกไป ในขณะที่ traceroute ใน Unix นั้น จะใช้ UDP datagram เป็นตัวส่งข้อมูลออกไป datagram ที่ถูกส่งออกไปนั้นจะถูกส่งไปยัง port 33434 โดยดีฟอลต์ และ ค่าหมายเลข port นี้จะถูกเพิ่มขึ้นเมื่อได้รับ packet ที่ตอบกลับมาอย่างถูกต้อง โดยปกติแล้ว traceroute มักจะส่ง datagram ออกไปจำนวน 3 datagram เพื่อป้องกันการสูญหายระหว่างทาง

ด้านล่างนี้แสดงตัวอย่างการใช้ tracert.exe ใน Windows

C:\WINDOWS>tracert quote.yahoo.com
Tracing route to finance.yahoo.com [204.71.203.155]
over a maximum of 30 hops:
1 99 ms 100 ms 119 ms tnt3.culpeper.va.da.uu.net [206.115.221.174]
2 99 ms 119 ms 115 ms 206.115.233.205
3 106 ms 104 ms 102 ms Fddi0-0.HR1.DCA1.ALTER.NET [137.39.33.130]
4 112 ms 95 ms 113 ms 102.ATM3-0.XR1.DCA1.ALTER.NET [146.188.160.254]
5 103 ms 98 ms 104 ms 195.at-7-2-0.XR1.DCA8.ALTER.NET [146.188.163.6]
6 98 ms 111 ms 111 ms POS6-0.BR3.DCA8.ALTER.NET [152.63.36.5]
7 110 ms 102 ms 104 ms 137.39.52.18
8 106 ms 104 ms 112 ms pos2-0-155M.cr1.WDC2.gblx.net [208.178.174.53]
9 172 ms 180 ms 167 ms pos7-0-2488M.cr2.SNV.gblx.net [208.50.169.86]
10 168 ms 165 ms 167 ms ge1-0-1000M.hr8.SNV.gblx.net [206.132.254.41]
11 168 ms 174 ms 165 ms bas1r-ge3-0-hr8.snv.yahoo.com [208.178.103.62]
12 176 ms 169 ms 175 ms finance.yahoo.com [204.71.203.155]
Trace complete.

เมื่อไฟร์วอลล์ถูกติดตั้งให้ไม่ตอบสนองต่อ traceroute และ ping จากโลกภายนอก เพื่อป้องกันไม่ให้ผู้บุกรุกเก็บข้อมูลของเครือข่ายภายในได้ ตัวอย่างด้านล่างนี้แสดงถึงผลลัพธ์ที่ได้จาก tracert.exe เมื่อถูกป้องกัน traffic ของ ping โดยไฟร์วอลล์หรือ router

C:\WINDOWS>tracert vanguard.com
Tracing route to vanguard.com [192.175.182.6]
over a maximum of 30 hops:
1 103 ms 98 ms 97 ms tnt3.culpeper.va.da.uu.net [206.115.221.174]
2 105 ms 104 ms 104 ms 206.115.233.205
3 103 ms 97 ms 104 ms Fddi0-0.HR1.DCA1.ALTER.NET [137.39.33.130]
4 101 ms 736 ms 103 ms 102.ATM2-0.XR2.DCA1.ALTER.NET [146.188.160.250]
5 105 ms 105 ms 103 ms 294.at-7-2-0.XR2.DCA8.ALTER.NET [146.188.163.30]
6 100 ms 104 ms 118 ms POS7-0.BR2.DCA8.ALTER.NET [152.63.35.193]
7 107 ms 105 ms 106 ms uu-gw.wswdc.ip.att.net [192.205.32.133]
8 103 ms 104 ms 103 ms gbr4-p50.wswdc.ip.att.net [12.123.9.54]
9 100 ms 102 ms 98 ms gbr1-p60.wswdc.ip.att.net [12.122.1.221]
10 101 ms 117 ms 126 ms ar1-a3120s4.wswdc.ip.att.net [12.123.8.45]
11 118 ms 103 ms 104 ms 12.127.47.50
12 * * * Request timed out.
13 * * * Request timed out.


Post โดย :  dogmike Date: 2010-12-01 22:16:16 ip: 203.113.118.74