Netstat ile ağ analizi

Bu yazımda windows ile öntanımlı gelen bir ağ izleme yazılımına değineceğim. Aslında windows ile yerleşik gelen ve başka üçüncü bir yazılım kullanmadan işlerimizi kolayca halledebileceğimiz birçok yerleşik yazılım bulunmakta. Genelde komut satırından kullanılıyor olsalar da, bu bize ciddi hız ve kolaylık kazandırıyor. Bahsettiğim bu etkileyici yazılımlardan biri de netstat

Bilindiği gibi; TCP/IP iletişim tarzında iletişim, iki hostun birbiriyle paket alışverisi yapma prensibine dayanır.
1Yukarıda göreceğiniz üzere;
netstat -an komutuyla bilgisayarımızın bağlantıda olduğu tüm port ve ip’leri gözlemleyebiliyoruz. State (durum) kısmında bağlantıyla ilgili bilgileri de ayrıca görebiliyoruz.

  • Listening: Bu durum diğer hosttan bağlantı beklendiğini göstermektedir.
  • Established : Bağlantının sağlandığını gösterir.
  • Close_wait : bağlantının kapatılmasının beklendiğini göstermektedir.
  • Time_wait: Bağlantı sonlandırıldı fakat herhangi bir gecikmiş uygun paket olabileceği öngörüsüyle bağlantı tamamen sonlandırılmıyor.

2
netstat -a : bu parametre ile tüm aktif oturum ve bağlantılarını görebilirsiniz. Ayrıca host bilgisi de dns yardımıyle size isim olarak döndürülür.

3netstat -e : bu parametre ile tüm bağlantılara dair istatistiksel veri bilgileri alabilirsiniz.

4netstat -sp : bu parametre yardımıyla her protokole ilişkin istatistiksel veri almak mümkündür.

daha fazla parametre için ilgili komut setinin yardım metnini okuyabilirsiniz.
netstat /?
5

bu komut seti bize nasıl yardımcı olur, neden buna gerek duyarız sorusunu ise şöyle bir örnekle açıklayalım.
Bilgisayarımızda bir malware olduğunu ve bu zararlının komuta ve kontrol merkeziyle haberleştiğini varsayıyoruz. Bu zararlının tespiti ve yok edilmesinde netstat parametreleri işimizi ciddi anlamda kolaylaştıracak ve bunun için 3rd party bir yazılıma ihtiyaç duymayacaksınız.

netstat -b -o 5
parametresi ile netstat komut setini çalıştırdığımızda bize hangi bilgileri verir önce onu inceleyelim.
-b : çalıştırılabilir bir uygulamayla ilişkilendirilmiş bağlantıları gösterir
-o : her bağlantının kimlik bilgilerini gösterir.
-5 : burada 5’in aslında çok fazla bir önemi yok, buradaki sayı değeri kadar bilgi döner. ayrıca bu döngüde durdurmak istediğinizde ctrl+c ile durdurabilirsiniz.

Siz bu parametreyi kullandığınızda bilgisayarınızda çalıştırılabilir tüm uygulamalar ve yağtığı bağlantıları görebilirsiniz.
6

eğer explorer.exe gibi veya aslında windows’un yerleşik bir uygulaması olmasına rağmen farklı bir internet adresine bağlantı yapıyorsa, bu mutlaka zararlı bir işlemdir ve kapatılmalıdır.
Örnek ekran :
netstat-b-o-5
Buradaki PID numarası bizim çıkış noktamız olacak.

8ilgili PID=Process ID numarasını bularak işlemi sonlandırabilir, çalışan .exe’ye gidebilir, silme işlemini yapabilirsiniz.

Kolaylıklar dilerim.

“Netstat ile ağ analizi” üzerine 2 yorum

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.