Netstat

  • Commande avec paramètres de base
 sudo netstat -venao --tcp --udp --raw --groups --ip 

Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat       User       Inode       Timer
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      0          15605       off (0.00/0/0)
udp        0      0 0.0.0.0:68              0.0.0.0:*                           0          13861       off (0.00/0/0)
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           104        4365        off (0.00/0/0)
udp        0      0 0.0.0.0:43121           0.0.0.0:*                           104        4366        off (0.00/0/0)
IPv6/Adhésions au groupe IPv4
Interface       RefCnt Group
--------------- ------ ---------------------
lo              1      224.0.0.1
eth0            1      224.0.0.251
eth0            1      224.0.0.1


  • Affiche table de routage
  • sudo netstat -rn
    • Une synthèse de la commande
    
    Netstat est une importante commande Dos, très utile, qui peut servir dans plusieurs domaine :
     Table de routage, sockets, connections, protocoles, sécurité...
    
    Définition des Termes Techniques
    
    La socket est une sorte de liaison entre deux ordinateurs.
     A la différence d'une connexion, la socket n'a pas comme fonction
     l'envoi de données.  Si la socket autorise l'envoi de données cela
     signifie, qu'en plus d'avoir une socket active, une connexion est 
     établie entre les deux ordinateurs. Il y a maintenant un transfert de données.
    
    La socket est simplement là afin d'établir un lien (Comme un câble RJ45)
     entre deux ordinateurs à l'aide d'un protocole et d'un ou plusieurs ports.
    
    Le terme socket peut être remplacé par "Interface de connexion" 
     ou par "Connecteur réseau".
    
    Explication des Résultats
    
    Tous vos connecteurs réseau actifs qui disposent d'une connexion active doivent maintenant 
     être affichés dans l'invite de commande.
     Les quatre colonnes retournées dans l'invite de commande vont vous servir à définir et à
     comprendre les connecteurs et les connections.
    
    Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat 
    tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN 
    
    La première colonne nommée "Protocole" va vous informer sur le protocole utilisé par 
     le connecteur: TCP ou UDP.
    
    La seconde sur votre adresse et le port utilisé par le protocole: (nom_de_votre_ordinateur : port)
     Si le port n'est pas encore établi, le numéro du port apparaît sous la forme 
     d'un astérisque (*).
    
    La troisième colonne vous renseigne sur l'adresse distante, c'est-à-dire sur 
     l'adresse de l'ordinateur ou du serveur avec qui votre ordinateur dialogue.
     Vous trouverez aussi le port distant utilisé par le protocole. Si le port n'est 
     pas encore établi, le numéro de port apparaît sous la forme d'un astérisque (*).
     "localhost" signifie "hôte local", en d'autres mots, 
     le connecteur établit le lien entre deux ports de votre ordinateur.
    
    Pour finir, la quatrième colonne sert à définir l'état actuel du connecteur (socket):
     TIME_WAIT, ESTABLISHED, CLOSE_WAIT…
    
    Exemple
    
    Maintenant prenons l'exemple de la quatrième ligne afin de mettre en pratique les 
     informations ci-dessus:
    
    TCP Aikido:1098 mail.esi-supinfo.com:1164 Established
    
    Le connecteur est actif et utilise le protocole TCP sur le port 1098.
     L'état " Established" signifie qu'une connexion existe et donc il permet 
     le transfert de données entre les deux ordinateurs. Le nom de mon ordinateur est Aikido 
     d'où le "Aikido:1098"
    
    Ensuite le destinataire qui est un serveur s'appelle "mail.esi-supinfo.com"
     (En faite son nom est "mail" et il fait partie d'un domaine nommé "esi-supinfo.com").
    
    Ce serveur reçoit mes données sur le port 1164
    
    Les Différents Etats
    
    Voici les différents états possibles pour les interfaces de connections / sockets:
    
    ESTABLISHED --> La connexion est établie. Le transfert de données est autorisé.
    
    SYN_SENT --> Connexion en cours d'ouverture.
    
    SYN_RECV --> Une requête de connexion a été reçue du réseau.
    
    FIN_WAIT1 --> L'application responsable du connecteur ferme celui-ci (sans le supprimer),
    		 la connexion est en cours de fermeture.
    
    FIN_WAIT2 --> La connexion est fermée. Le connecteur attend la fermeture de la connexion distante.
    		(Référence à l'état FIN_WAIT1)
    
    TIME_WAIT --> Connecteur en attente de fermeture. Le traitement des informations restantes sur le réseau continu.
    
    CLOSED --> Le connecteur n'est plus utilisé ou est inactif.
    
    CLOSE_WAIT --> Connexion et connecteur en cours de fermeture.
    
    LAST_ACK --> Le connecteur est fermé en local. Il attend que l'ordinateur distant ferme aussi le connecteur.
    
    LISTEN --> Le connecteur écoute et attend les demandes de connections.
    		 Ces connecteurs ne sont affichées que si l'argument -a est fourni.
    
    CLOSING --> Le connecteur est arrêté des deux cotés 
    		mais toutes les données locales n'ont pas encore été envoyées.
    
    UNKNOWN --> L'état du connecteur est inconnu.
    
    Les Arguments de Netstats
    
    Maintenant que vous savez utiliser Netstat, nous allons voir les arguments disponibles pour cette commande.
    
    Il en existe huit en tout:
    
    [-a] [-e] [-n] [-o] [-s] [-p Protocole] [-r] et [Intervalle]
    
    La syntaxe pour les utiliser est la suivante:
    
    netstat[-a] [-e] [-n] [-o] [-p Protocole] [-r] [-s] [Intervalle] 
    
    Entre crochets [] --> Éléments facultatifs.
    
    -a: Affiche toutes les connexions actives ainsi que 
        les ports UDP et TCP utilisés par l' ordinateur pour le transfert des informations.
    
    -e: Affiche des statistiques Ethernet, comme le nombre d'
        octets et de paquets envoyés et reçus. Ce paramètre peut être combiné au paramètre -s.
    
    -n: Affiche les connexions actives. Les numéros de port et les adresses IP sont au format numérique. 
    	(Les noms des ordinateurs ou serveur ne sont pas affichés, seul leurs IP sont affichés)
     	"localhost" est transformé en 127.0.0.1.
    
    -o: Affiche les connexions actives et inclut l'ID de processus (PID) de chaque connexion.
    	Vous pouvez déterminer l'application responsable de la connexion sur la base du PID 
    	indiqué sous l'onglet "Processus" du Gestionnaire des tâches Windows.
    	Ce paramètre peut être combiné à -a, -n et -p.
    
    -p protocole: Affiche les connexions utilisant le protocole indiqué par protocole. 
    	Dans ce cas, le protocole peut être tcp, udp, tcpv6 ou udpv6. 
    	Si ce paramètre est employé avec -s pour afficher des statistiques par protocole, 
    	le protocole peut être tcp, udp, icmp, ip, tcpv6, udpv6, icmpv6 ou ipv6.
    
    -r: Affiche le contenu de la table de routage IP. 
    	Ce paramètre permet d'obtenir les mêmes informations que la commande route print.
    
    -s: Affiche des statistiques par protocole.
    	Par défaut, les statistiques de TCP, UDP, ICMP et IP sont affichées.
    	Si le protocole IPv6 est installé, les statistiques portent 
    	sur les protocoles TCP sur IPv6, UDP sur IPv6, ICMPv6 et IPv6.
     	Le paramètre -p peut être utilisé pour spécifier un ensemble de protocoles.
    
    Intervalle: Affiche les informations toutes les {intervalle} secondes.
    	Appuyez sur CTRL + C pour interrompre l'affichage répété des statistiques.
     	Si ce paramètre est omis, Netstat n'affiche qu'une seule fois les informations demandées.
    
    Cette commande peut, grâce à ces arguments, renseigner sur la table de routage, ou sur les sockets.
     Ceci est très pratique. Les passionés de sécurité ou de réseau vont y trouver leur compte.
    
    Source : supinfo
    

    Previous page: Réseau
    Page suivante : Snmp