GrayGhost Site Admin
Anmeldedatum: 06.06.2007 Beiträge: 148 Wohnort: Achim (bei Bremen)
|
Verfasst am: 04.07.2007, 20:13 Titel: Verborgene Internetverbindungen analysieren |
|
|
Verborgene Internetverbindungen analysieren
Falls du wissen willst, welche Verbindungen zur Aussenwelt von deinem Rechner aus bestehen oder auch im Intranet aktiv sind, so kann dir ein Konsolenbefehl helfen. Öffne die ERingabekonsole über [Windowstaste]+R und die Eingabe von cmd (für ältere Windowsversionen "command"). Am Prompt gibst du dann den Befehl netstat -a ein. Du bekommst dann eine Liste der aktiven Verbindungen:
Interessant sind hier in erster Linie die Verbindungen, die den Status HERGESTELLT haben. Aber auch die jenigen, die als WARTEND und ABHÖREN gekennzeichnet sind, sollten deine Beachtung finden. Die Bedeutung dieser Statusmeldungen sind:
HERGESTELLT - Beide Hosts sind verbunden.
SCHLIESSEN - Ein remote Host hat akzeptiert seine Verbindung zu schliessen.
ABHÖREN - Dein Computer wartet darauf eine eingehende Verbindung zu bearbeiten.
SCHLIESSEN_WARTEN - Der Remote Host hat die Verbindung zu deinem Computer geschlossen.
SYN_RCVD - Ein remote Host hat darum gebeten eine Verbindung zu starten.
SYN_SENT - Dein Computer hat erlaubt eine Verbindung zu starten.
LAST_ACK - Dien Computer muss die Datenpakete löschen, bevor die Verbindung beendet werden kann.
TIMED_WAIT - Siehe oben
FIN_WAIT 1 - Ein Client schliesst seine Verbindung.
FIN_WAIT 2 - Beide Hosts haben vereinbart die Verbindung zu schliessen.
Die letzten 6 Statusmeldungen sind nur temporär anzutreffen.
Wenn du mehr über Netstat Befehle wissen willst, dann gibst du /? ein. Dir wird dann die Syntax und eine Kurzbeschreibung der Parameter angezeigt.
C:\>NETSTAT /?
Zeigt Protokollstatistik und aktuelle TCP/IP-Netzwerkverbindungen an.
NETSTAT [-a] [-e] [-n] [-s] [-p Proto] [-r] [Intervall]
-a
Zeigt den Status aller Verbindungen an. (Verbindungen des Servers werden normalerweise nicht angezeigt).
-e
Zeigt die Ethernet-Statistik an. Kann mit der Option -s kombiniert werden.
-n
Zeigt Adressen und Anschlüsse numerisch an.
-p
Proto Zeigt Verbindungen für das mit Proto angegebene Protokoll an. Proto kann TCP oder UDP sein. Bei Verwendung mit der Option -s kann Proto TCP, UDP oder IP sein.
-r
Zeigt den Inhalt der Routing-Tabelle an.
-s
Zeigt Statistik protokollweise an. Standardmäßig werden TCP, UDP und IP angezeigt. Mit der Option -p können Sie dies weiter einschränken.
Intervall
Zeigt die gewählte Statistik nach der mit Intervall angegebenen Anzahl Sekunden erneut an. Drücken Sie Strg+C zum Beenden der Intervallanzeige. Ohne Intervallangabe werden die aktuellen Konfigurationsinformationen einmalig angezeigt.
Die folgenden Parameter werden nur von neueren Windows Versionen unterstützt:
-o
Zeigt die mit jeder Verbindung verknüpfte, übergeordnete Prozesskennung an.
-v
In Verbindung mit -b wird die Reihenfolge der Komponenten angezeigt, die beim Erstellen der Verbindung oder des abhörenden Ports für alle ausführbaren Dateien involviert sind.
-b
Zeigt die ausführbare Datei an, die beim Erstellen jeder Verbindung bzw. jedes abhörenden Ports involviert ist. In einigen Fällen enthalten bekannte ausführbare Dateien mehrere unabhängige Komponenten. Dann wird die Reihenfolge der Komponenten angezeigt, die beim Erstellen der Verbindung oder des abhörenden Ports involviert sind. In diesem Fall befindet sich der Name der ausführbaren Datei unten in []. Oben befindet sich die aufgerufene Komponente usw., bis TCP/IP erreicht wurde. Bedenken Sie, dass diese Option viel Zeit in Anspruch nehmen kann und fehlschlägt, wenn Sie nicht über ausreichende Berechtigungen verfügen.
Interessant ist der Befehl, wenn du herausfinden willst, welcher Prozess die Verbindung abhört oder sogar geöffnet hat. Es gibt dafür verschiedene Möglichkeiten. Ein Weg führt über die PID (Process Identification Number). Diese wird jedem gestarten Prozess dynamisch zugeordnent und ist immer verschieden (leider). Wenn du z.B. diese im Taskmanager sehen willst, dann mache mal folgendes:
- Taskmanager öffnen
- Register "prozesse" wählen
- Ansicht -> Spalten auswählen..." selektierten
- Checkbox "PID (Prozess-ID) abhaken
Nun siehst du die PID Nummern auch im Task Manager
Gibst du nun in der Eingabeaufforderung das Kommando netstat -ano ein, dann werden neben den Verbindungen auch die Process IDs angezeigt. Über diese kannst du dann im Taskmanager die zugehörigen Prozesse finden.
Für die XP Verwender geht es allerdings noch viel einfacher:
netstat -bv
Damit bekommst du alles auf dem Tablett serviert Entscheident ist immer der letzte Eintrag in eckigen Klammern, der den Prozess identifiziert. Vorteil dieser Methode ist allerdings, dass auch die gestarteten Module angezeigt werden.
MfG
Erhard Olszok aka GrayGhost |
|