sudo netstat -venao --tcp --udp --raw --groups --ip
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat User Inode Timer
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 0 15605 off (0.00/0/0)
udp 0 0 0.0.0.0:68 0.0.0.0:* 0 13861 off (0.00/0/0)
udp 0 0 0.0.0.0:5353 0.0.0.0:* 104 4365 off (0.00/0/0)
udp 0 0 0.0.0.0:43121 0.0.0.0:* 104 4366 off (0.00/0/0)
IPv6/Adhésions au groupe IPv4
Interface RefCnt Group
--------------- ------ ---------------------
lo 1 224.0.0.1
eth0 1 224.0.0.251
eth0 1 224.0.0.1
Affiche table de routage
sudo netstat -rn
Une synthèse de la commande
Netstat est une importante commande Dos, très utile, qui peut servir dans plusieurs domaine :
Table de routage, sockets, connections, protocoles, sécurité...
Définition des Termes Techniques
La socket est une sorte de liaison entre deux ordinateurs.
A la différence d'une connexion, la socket n'a pas comme fonction
l'envoi de données. Si la socket autorise l'envoi de données cela
signifie, qu'en plus d'avoir une socket active, une connexion est
établie entre les deux ordinateurs. Il y a maintenant un transfert de données.
La socket est simplement là afin d'établir un lien (Comme un câble RJ45)
entre deux ordinateurs à l'aide d'un protocole et d'un ou plusieurs ports.
Le terme socket peut être remplacé par "Interface de connexion"
ou par "Connecteur réseau".
Explication des Résultats
Tous vos connecteurs réseau actifs qui disposent d'une connexion active doivent maintenant
être affichés dans l'invite de commande.
Les quatre colonnes retournées dans l'invite de commande vont vous servir à définir et à
comprendre les connecteurs et les connections.
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN
La première colonne nommée "Protocole" va vous informer sur le protocole utilisé par
le connecteur: TCP ou UDP.
La seconde sur votre adresse et le port utilisé par le protocole: (nom_de_votre_ordinateur : port)
Si le port n'est pas encore établi, le numéro du port apparaît sous la forme
d'un astérisque (*).
La troisième colonne vous renseigne sur l'adresse distante, c'est-à-dire sur
l'adresse de l'ordinateur ou du serveur avec qui votre ordinateur dialogue.
Vous trouverez aussi le port distant utilisé par le protocole. Si le port n'est
pas encore établi, le numéro de port apparaît sous la forme d'un astérisque (*).
"localhost" signifie "hôte local", en d'autres mots,
le connecteur établit le lien entre deux ports de votre ordinateur.
Pour finir, la quatrième colonne sert à définir l'état actuel du connecteur (socket):
TIME_WAIT, ESTABLISHED, CLOSE_WAIT…
Exemple
Maintenant prenons l'exemple de la quatrième ligne afin de mettre en pratique les
informations ci-dessus:
TCP Aikido:1098 mail.esi-supinfo.com:1164 Established
Le connecteur est actif et utilise le protocole TCP sur le port 1098.
L'état " Established" signifie qu'une connexion existe et donc il permet
le transfert de données entre les deux ordinateurs. Le nom de mon ordinateur est Aikido
d'où le "Aikido:1098"
Ensuite le destinataire qui est un serveur s'appelle "mail.esi-supinfo.com"
(En faite son nom est "mail" et il fait partie d'un domaine nommé "esi-supinfo.com").
Ce serveur reçoit mes données sur le port 1164
Les Différents EtatsVoici les différents états possibles pour les interfaces de connections / sockets:
ESTABLISHED --> La connexion est établie. Le transfert de données est autorisé.
SYN_SENT --> Connexion en cours d'ouverture.
SYN_RECV --> Une requête de connexion a été reçue du réseau.
FIN_WAIT1 --> L'application responsable du connecteur ferme celui-ci (sans le supprimer),
la connexion est en cours de fermeture.
FIN_WAIT2 --> La connexion est fermée. Le connecteur attend la fermeture de la connexion distante.
(Référence à l'état FIN_WAIT1)
TIME_WAIT --> Connecteur en attente de fermeture. Le traitement des informations restantes sur le réseau continu.
CLOSED --> Le connecteur n'est plus utilisé ou est inactif.
CLOSE_WAIT --> Connexion et connecteur en cours de fermeture.
LAST_ACK --> Le connecteur est fermé en local. Il attend que l'ordinateur distant ferme aussi le connecteur.
LISTEN --> Le connecteur écoute et attend les demandes de connections.
Ces connecteurs ne sont affichées que si l'argument -a est fourni.
CLOSING --> Le connecteur est arrêté des deux cotés
mais toutes les données locales n'ont pas encore été envoyées.
UNKNOWN --> L'état du connecteur est inconnu.
Les Arguments de Netstats
Maintenant que vous savez utiliser Netstat, nous allons voir les arguments disponibles pour cette commande.
Il en existe huit en tout:
[-a] [-e] [-n] [-o] [-s] [-p Protocole] [-r] et [Intervalle]
La syntaxe pour les utiliser est la suivante:
netstat[-a] [-e] [-n] [-o] [-p Protocole] [-r] [-s] [Intervalle]
Entre crochets [] --> Éléments facultatifs.
-a: Affiche toutes les connexions actives ainsi que
les ports UDP et TCP utilisés par l' ordinateur pour le transfert des informations.
-e: Affiche des statistiques Ethernet, comme le nombre d'
octets et de paquets envoyés et reçus. Ce paramètre peut être combiné au paramètre -s.
-n: Affiche les connexions actives. Les numéros de port et les adresses IP sont au format numérique.
(Les noms des ordinateurs ou serveur ne sont pas affichés, seul leurs IP sont affichés)
"localhost" est transformé en 127.0.0.1.
-o: Affiche les connexions actives et inclut l'ID de processus (PID) de chaque connexion.
Vous pouvez déterminer l'application responsable de la connexion sur la base du PID
indiqué sous l'onglet "Processus" du Gestionnaire des tâches Windows.
Ce paramètre peut être combiné à -a, -n et -p.
-p protocole: Affiche les connexions utilisant le protocole indiqué par protocole.
Dans ce cas, le protocole peut être tcp, udp, tcpv6 ou udpv6.
Si ce paramètre est employé avec -s pour afficher des statistiques par protocole,
le protocole peut être tcp, udp, icmp, ip, tcpv6, udpv6, icmpv6 ou ipv6.
-r: Affiche le contenu de la table de routage IP.
Ce paramètre permet d'obtenir les mêmes informations que la commande route print.
-s: Affiche des statistiques par protocole.
Par défaut, les statistiques de TCP, UDP, ICMP et IP sont affichées.
Si le protocole IPv6 est installé, les statistiques portent
sur les protocoles TCP sur IPv6, UDP sur IPv6, ICMPv6 et IPv6.
Le paramètre -p peut être utilisé pour spécifier un ensemble de protocoles.
Intervalle: Affiche les informations toutes les {intervalle} secondes.
Appuyez sur CTRL + C pour interrompre l'affichage répété des statistiques.
Si ce paramètre est omis, Netstat n'affiche qu'une seule fois les informations demandées.
Cette commande peut, grâce à ces arguments, renseigner sur la table de routage, ou sur les sockets.
Ceci est très pratique. Les passionés de sécurité ou de réseau vont y trouver leur compte.
Source : supinfo