การใช้โปรแกรม NETSTAT

เป็นคำสั่งที่ใช้ตรวจสอบ Network เกี่ยวกับการเชื่อมต่อ Port ในเครื่องเรากับเครื่องอื่นใน Network จากการใช้คำสั่งจาก DOS Prompt ในรูปข้างบน เป็นการเรียกดูวิธีการใช้ของโปรแกรม netstat โดยการใส่เครื่องหมาย /? ต่อท้ายคำสั่งนั้น (สามารถใช้ได้กับโปรแกรมอย่างอื่นในดอสได้ด้วย) เพื่อขอดูการใช้งาน ผมจะอธิบายที่ละบรรทัดอย่างคร่าวๆ และ การใช้คำสั่งนี้ ไม่ว่าจะเป็น Opiton หรือใดๆก็ตาม จะไม่เป็นอันตรายต่อเครื่อง รวมทั้งระบบ Network ซึ่งในการใช้ สามารถใช้ได้ในขณะที่ต่อ Internet หรือไม่ก็ตาม -a Displays all connections and listening ports. Opiton นี้จะเป็นการดูการเชื่อมต่อ Port ทั้งหมดที่ (เครื่องนั้นๆ=เครื่องคุณ) ที่ใช้คำสั่งนี้ได้เปิดรอการเข้ามาติดต่อ แต่ผลที่แสดงจะเป็นรายชื่อ Service ที่ติดต่อกับเครื่อง (เครื่องนั้นๆ=เครื่องคุณ) เช่นชื่อเว็บไซด์หรือชื่อเครื่อง ไม่แสดงเป็นตัวเลข IP -e Displays Ethernet statistics. This may be combined with the -s option. Opiton นี้จะเป็นการดูเหมือนกับสถิติต่างๆในการรับ/ส่งข้อมูลต่างๆ ต้องใช้ร่วมกับ Opiton -s เป็นการดูสถานะการรับส่งข้อมูลต่างๆ ซึ่งลองใช้ดูได้ -n Displays addresses and port numbers in numerical form. Opiton นี้จะเหมือนกับ -a แต่การแสดงผลจะเป็นเลข IP กับ Port แทนชื่อเครื่องหรือชื่อเว็บไซด์ต่างๆที่ได้มีการติดต่อหรือเชื่อมการติดต่อ การ ใช้งาน netstat (แบบดอส) สังเกตว่า 2 ภาพด้านล่างเป็นการใช้ 2 option การแสดงผลก็ต่างกันนิดหน่อย แต่ความหมายแต่ละบรรทัดมีค่าเท่ากัน เพียงแต่การแสดงแตกต่างเป็นชื่อกับตัวเลข (เลข IP/Prot) ยังไม่เชื่อมต่อจะขึ้นแบบนี้ครับ 1. Proto TCP -- คือโปรโตคอลที่เครื่องกำลังเชื่อมต่ออยู่ 2. Local Address qillip:telnet -- [ชื่อเครื่อง qillip] : [telnet Service (port ที่เครื่องได้เปิด)] ซึ่งตอนนี้เป็นหรือบริการที่เปิด และเราจะรู้ได้ตรงนี้เอง เช่นพวกโทรจัน Trojan หรือโปรแกรมบางโปรแกรมมักจะเปิด Service หรือบริการที่เปิดรอ เพื่อจะเข้ามาควบคุมเครื่องหรือมีการแชร์เครื่อง เพื่อใช้ในการถ่ายโอนข้อมูลระหว่างเครื่องในระบบ Network 3. Foreign Address qillip:0 -- ชื่อเครื่อง [qillip] : [เครื่องที่เชื่อมต่อกับเครื่องที่คุณได้ใช้อยู่] ที่เป็นเลข 0 เพราะว่าผมยังไม่ได้ต่อเน็ต 4. State LISTENING -- สถานะการติดต่อ ซึ่งจะมีอยู่หลายแบบ เพื่อให้เข้าใจง่ายขึ้น การใช้งานทั่วไป มักจะใช้คำสั่ง C:>netstat -an หรือ C:>netstat -a เวลาใช้ พิมพ์แค่ netstat -a หรือ netstat -an ที่ Dos Prompt เพราะว่าจะทำให้มีการดูเป็นรูปแบบที่ง่ายขึ้น ส่วน Option อื่นลองไปใช้เองดู ซึ่งใช้เดี่ยวๆหรือคู่กันไปก็ได้ ที่ผมได้แนะนำมาแบบนี้ คำสั่งทั้ง 2 ตัวที่ผมได้ยกขึ้นมานี้ได้ครอบคลุมการดูเกือบทั้งหมดแล้ว เพียงแต่คุณต้องไปศึกษาว่า Port แต่ละหมายเลขเป็นบริการของอะไร เป็นโทรจันหรือไม่ อาจเป็นโปรแกรม Remote ก็ได้ ซึ่งโปรแกรม Remote จะสามารถหลบการแสกนจากโปรแกรม Anti Virus / Trojan Scan จากตัวอย่าง ที่ผมได้ทำเป็นแถบสีขาวให้ดูจาก 2 รูปด้านบน ที่บริการที่ผมได้เปิด Local Address=qillip:telnet ตรง telnet คุณต้องรู้ว่า telnet คือ port 23 หรืออาจพิมพ์คำสั่ง netstat -an เพื่อตรวจดูหมายเลข port ซึ่งจะอยู่บรรทัดเดียวกันดัง 2 รูปข้างต้น (ถ้าใช้ในเวลาเดียวกัน 2 Option ทั้ง -a และ -an และ -n คุณลองใช้ดูครับ การแสดงผลจะได้ค่าที่เหมือนกัน แต่แตกต่างที่จะเป็นชื่อบริการที่คุณได้เปิดหรือเป็นแบบตัวเลข IP) (ตอน นี้ผมได้ต่อ Internet) ดังรูปด้านล่าง สี เหลือง เป็นสถานะ ESTABLISHED Local Address ซึ่ง IP ผมคือ 203.118.74.149 ได้เปิด port 135 เอาไว้และเข้ามาที่เครื่องทาง port นี้ Foreign Address เป็น IP ของเครื่องที่มา hack เครื่องผมคือ 203.118.82.158 State เป็นสถานะ ESTABLISHED หมายความว่า เป็นการเชื่อมต่อระหว่างเครื่อง 2 เครื่องได้แล้ว พูดอีกแบบคือ มีเครื่องอื่นได้เข้ามาในเครื่องผมแล้ว สี ฟ้า เป็นสถานะ LISTENING Local Address ซึ่ง IP ผมคือ 203.118.74.149 ได้เปิด port 139 Foreign Address ยังไม่มีเครื่องใดมาทำการติดต่อ State เป็นสถานะ LISTENING คือรอการติดต่อ ซึ่งเครื่องอื่นสามารถเข้าได้ทางนี้ ** ให้สังเกตเครื่องคุณ ถ้าได้มีตัวนี้อยู่บรรทัดไหน ให้สังเกตที่บรรทัดเดียวกันว่า เครื่องคุณได้เปิด Port ไหนเอาไว้บ้าง ** สี ม่วง เป็นสถานะ TIME_WAIT Local Address ซึ่ง IP ผมคือ 203.118.74.149 ได้เปิด port 139 Foreign Address เครื่องที่มี IP 203.118.74.110 ได้กำลังแสกนเครื่องผมอยู่ เพื่อหาช่องโหว่ State เป็นสถานะ TIME_WAIT คือเค้ากำลังแสกนเครื่องผมโดยผ่าน port 139 กำลังแสกน หรืออีกความหมายคือ เครื่องนั้นอาจกำลังถอด password เครื่องคุณอยู่ก็ได้ TIP : ซึ่งตอนนี้คุณคงอ่าน และคงสามารถที่จะเดาได้ว่าแต่ละบรรทัดที่โปรแกรมแสดงหมายความว่าอะไรบ้าง แต่ถ้าใช้ Option ดังรูปข้างบน (ต่อ Internet) ให้พิมพ์คำสั่ง netstat -a เพื่อจะแสดงเป็นชื่อ ซึ่งบางทีในสถานะ ESTABLISHED หมายความว่า มีเครื่องอื่นได้เข้ามาในเครื่องผมแล้วนั้น อาจเป็นเว็บไซด์ที่คุณกำลังดาว์นโหลดอยู่ก็ได้ คำสั่ง netstat -a จะแสดงเป็นชื่อเว็บต่างๆ ซึ่งถ้าใช้คำสั่ง netstat -an จะแสดงเป็นตัวเลข IP ยากต่อการเดา และการดูจริงๆคุณต้องสังเกตที่ port ที่เครื่องคุณด้วยว่าเป็น port ที่ใช้ทำอะไร HACK : ถ้าคุณกำลัง chat อยู่ ไม่ว่าจะเป็น icq , msn , yahoo ect.. ก็ตาม และได้มีการรับ/ส่งไฟล์ระหว่างเครื่องเกิดขึ้น ให้พิมพ์คำสั่ง netstat -an หรือ netstat -a หรือ netstat -n ก็ได้ โปรแกรมนี้จะมีการแสดงเลข IP ต่างๆที่คุณได้ติดต่ออยู่ และคุณรู้ IP เครื่องเป้าหมายแล้ว อิอิ ถ้ามีความรู้ในเรื่องอื่น ก็นำมาใช้ได้เลย นี่ คือการทำงานโดยใช้ดอสแบบทั่วไป ให้คุณลองดูว่าเครื่องคุณได้เปิด Port อะไรไว้บ้าง ถ้ามีการเปิดที่เยอะมาก คุณต้องรู้ว่าแต่ละ Port ไหนโปรแกรมอะไรเป็นตัวเปิด โดยทำการค้นหาได้จากโปรแกรมที่คุณใช้ได้ถนัด ซึ่งแล้วแต่คนจะถนัดทางไหน และหัวข้อต่อไป ผมจะอธิบายการใช้โปรแกรมอีกตัว ซึ่งใช้ได้ดีมากสำหรับการหาโปรแกรมตัวแสบ ที่แอบมาเปิด port และยังสามารถใช้งานได้อีกหลายอย่าง แทนโปรแกรม NETSTAT ได้ดีอีกด้วย แถมยังมีโปรแกรมให้ HACK เครื่องแถมมาด้วย ** การกระทำใดๆที่ละเมิดสิทธิผู้อื่นโดยเจตนา มันไม่ดีเลยนะครับ และถ้าคุณคิดที่จะทำ ผมขอแนะว่า ต้องมีสติรู้ว่ากำลังทำอะไรอยู่ ทำเพื่ออะไร ผลที่คุณจะได้จะคุ้มค่าหรือไม่ ** ที่ ผมชอบใช้แบบ dos เพราะว่าชีวิตจริงคุณไม่ได้เล่นแค่เครื่องคุณเองเครื่องเดียว แต่คุณต้องไปทำอะไรต่างๆที่เครื่องอื่น และโปรแกรมนี้มีอยู่ในเครื่องทุกเครื่องอยู่แล้ว ซึ่งไม่ว่าเครื่องไหนที่เป็นระบบ Window คุณก็ใช้คำสั่งนี้ได้ เพราะไม่งั้นคุณต้องหอบโปรแกรมไปติดตั้ง ยุ่งยาก ผมจึงอยากให้ใช้เป็นพวกโปรแกรมในดอสนี่แหละ พระเอกตัวจริงเวลาเครื่องมีปัญหา PORT WINDOW นั้น เปิด Port ไหนเป็นมาตรฐาน?? 98 + ME จะเปิด port 139 , 445 2000 Pro จะเปิด port 139 , 445 2000 Advance Server จะเปิด port 53 , 88 , 139 , 445 TROJAN PORT 31 : Master Paradise 121 : BO jammerkillahV 456 : HackersParadise 555 : Phase Zero 666 : Attack FTP 1001 : Silencer 1001 : Silencer 1001 : WebEx 1010 : Doly Trojan 1.30 (Subm.Cronco) 1011 : Doly Trojan 1.1+1.2 1015 : Doly Trojan 1.5 (Subm.Cronco) 1033 : Netspy 1042 : Bla1.1 1170 : Streaming Audio Trojan 1207 : SoftWar 1243 : SubSeven 1245 : Vodoo 1269 : Maverick's Matrix 1492 : FTP99CMP 1509 : PsyberStreamingServer Nikhil G. 1600 : Shiva Burka 1807 : SpySender 1981 : ShockRave 1999 : Backdoor 1999 : Transcout 1.1 + 1.2 2001 : DerSpaeher 3 2001 : TrojanCow 2023 : Pass Ripper 2140 : The Invasor Nikhil G. 2283 : HVL Rat5 2565 : Striker 2583 : Wincrash2 2801 : Phineas Nikhil G. 3791 : Total Eclypse (FTP) 4567 : FileNail Danny 4950 : IcqTrojan 4950 : IcqTrojen 5000 : Socket23 5011 : OOTLT 5031 : NetMetro1.0 5400 : BladeRunner 5400 : BackConstruction1.2 5521 : IllusionMailer 5550 : XTCP 2.0 + 2.01 5569 : RoboHack 5742 : Wincrash 6400 : The tHing 6669 : Vampire 1.0 6670 : Deep Throat 6883 : DeltaSource (DarkStar) 6912 : Shitheep 6939 : Indoctrination 7306 : NetMonitor 7789 : iCkiller 9872 : PortalOfDoom 9875 : Portal of Doom 9989 : iNi-Killer 9989 : InIkiller 10607 : Coma Danny 11000 : SennaSpyTrojans 11223 : ProgenicTrojan 12076 : Gjamer 12223 : Hackด99 KeyLogger 12346 : NetBus 1.x (avoiding Netbuster) 12701 : Eclipse 2000 16969 : Priotrity 20000 : Millenium 20034 : NetBus Pro 20203 : Logged! 20203 : Chupacabra 20331 : Bla 21544 : GirlFriend 21554 : GirlFriend 22222 : Prosiak 0.47 23456 : EvilFtp 27374 : Sub-7 2.1 29891 : The Unexplained 30029 : AOLTrojan1.1 30100 : NetSphere 30303 : Socket25 30999 : Kuang 31787 : Hack'a'tack 33911 : Trojan Spirit 2001 a 34324 : Tiny Telnet Server 34324 : BigGluck TN 40412 : TheSpy 40423 : Master Paradise 50766 : Fore 53001 : RemoteWindowsShutdown 54320 : Back Orifice 2000 (default port) 54321 : Schoolbus 1.6+2.0 61466 : Telecommando 65000 : Devil 1.03 ที่ มา: http://labellobluez.exteen.com