Команда netstat используется для предоставления информации об активных соединениях и портах, которые прослушивает ваш компьютер (вместе с некоторой статистикой Ethernet). Он не будет сообщать вам, если вы "взломали" ваш компьютер, хотя он может сказать вам, если кто-то удаленно подключен к вашему компьютеру (при условии, что они не взломали ваш компьютер, чтобы скрыть такую информацию).
netstat также не скажет вам, есть ли кто-то еще в вашей сети, он может только сказать, к чему подключен ваш локальный компьютер. Если вы обеспокоены тем, что кто-то не авторизован в вашей сети, вы можете использовать такой инструмент, как nmap или wireshark и провести базовое исследование, чтобы выяснить, есть ли в вашей сети устройства, которые вы не можете распознать. Если у вас есть сеть WiFi, ваша беспроводная точка доступа должна иметь какой-то журнал, который может сообщить вам, если в вашей беспроводной сети есть устройство, которое вы не можете распознать.
Если ваш компьютер работает необычно и вы действительно подозреваете, что кто-то скомпрометировал его, было бы неплохо отключить его от Интернета, создать резервную копию любых конфиденциальных данных и попробовать новую установку.
Чтобы ответить на ваши изменения напрямую:
Задача состояла в том, чтобы спросить, есть ли какие-либо элементы в наборе результатов запуска netstat, которые "Супер пользователь" будет интерпретировать как явно подозрительные, например (... Я полагаю), IP-адрес, который не является вашим собственным, или адрес, который, как известно, происходит из подозрительного места, или какая-либо строка, известная как указывающая на проблему, и т.д.
Опять же, использование netstat покажет вам только то, к чему подключен ваш компьютер; Например, это результат, когда я запускаю netstat -a:
C:\>netstat -a
Active Connections
Proto Local Address Foreign Address State
TCP 127.0.0.1:1032 localhost:1033 ESTABLISHED
TCP 127.0.0.1:1033 localhost:1032 ESTABLISHED
TCP 127.0.0.1:6118 localhost:6119 ESTABLISHED
TCP 127.0.0.1:6119 localhost:6118 ESTABLISHED
TCP 192.168.1.5:1031 fileserver:microsoft-ds ESTABLISHED
TCP 192.168.1.5:6316 imap11:imaps CLOSE_WAIT
TCP 192.168.1.5:7345 stackoverflow:https ESTABLISHED
TCP 192.168.1.5:7356 stackoverflow:https ESTABLISHED
UDP 0.0.0.0:1900 *:*
Только из этих результатов я вижу, что мой IP (192.168.1.5) подключен к моему NAS (fileserver), почтовому серверу (imap11) и веб-сайту StackOverflow (stackoverflow:https).
Я также вижу, что на моем локальном IP- адресе (127.0.0.1) установлено несколько соединений, и моя машина также прослушивает UDP порт 1900 (UDP 0.0.0.0:1900 *:*). Это может беспокоить меня, если бы у меня был только инструмент netstat , но я также могу использовать монитор ресурсов Windows (или TCPView), чтобы увидеть, какие программы имеют активные подключения. Я мог бы также закрыть программы одну за другой и посмотреть, какие соединения выходят из состояния ESTABLISHED , но это может занять некоторое время ...
Глядя на эти результаты, я вижу, что соединения localhost - это мой экземпляр Firefox (который некоторые программы используют localhost для межпроцессного взаимодействия), поэтому мне не нужно беспокоиться об этом соединении, а UDP на самом деле является моей программой воспроизведения медиафайлов. у него есть интерактивный интерфейс (для удаленного воспроизведения и т. д.), и UDP не выходит за пределы (или входит) в мою сеть, и у меня есть активный брандмауэр, блокирующий его, поэтому мне не нужно беспокоиться об этом.
Если бы я случайно увидел соединение, которое не смог сопоставить с известным активным соединением (например, с моей электронной почтой или интернетом), то я бы использовал другие инструменты, о которых я говорил, для дальнейшего изучения этого конкретного соединения.
Имейте в виду, что netstat будет показывать только активные соединения TCP или UDP , и хотя TCP и UDP являются наиболее распространенными протоколами, существует множество других существующих способов, которые являются потенциальными способами атаки, которые netstat не может показать. Кроме того, злоумышленник или вредоносная программа могут обойти все протоколы и использовать собственный протокол подключения с использованием сокетов RAW (низкоуровневое программирование). Конечно, некоторые методы потребуют определенных уровней административных привилегий, а другие - нет.
Таким образом, netstat может сообщить вам некоторую информацию, но он не рисует всю картину и, в частности, не может дать достаточно информации для подтверждения того, что на самом деле происходит что-то вредоносное.
Надеюсь, что это может помочь.
