Trong một bài viết khác, chúng tôi đã giải thích các cổng máy tính và chúng được sử dụng để làm gì. Ngoài ra, chúng ta có thể làm gì với thông tin về cổng? Vì tất cả lưu lượng truy cập vào và ra khỏi máy tính đều đi qua các cổng, chúng tôi có thể kiểm tra chúng để xem chúng đang làm gì. Có lẽ cổng không lắng nghe lưu lượng truy cập? Có lẽ một cái gì đó đang sử dụng một cổng không nên?
Chúng ta sẽ sử dụng lệnh Windows netstat để xem các cổng lắng nghe và PID (Process ID) của chúng tôi. Chúng tôi cũng sẽ xem chúng tôi có thể làm gì với thông tin đó.
Nội dung bài viết
Netstat là gì?
Lệnh netstat là sự kết hợp của các từ ‘mạng’ và ‘thống kê’. Lệnh netstat hoạt động trên tất cả các phiên bản Windows từ Windows XP cho đến Windows 10. Nó cũng được sử dụng trong các hệ điều hành (OS) khác như Unix và Linux, nhưng chúng tôi sẽ sử dụng Windows ở đây.
Netstat có thể cung cấp cho chúng tôi:
- Tên của giao thức mà cổng đang sử dụng (TCP hoặc UDP).
- Địa chỉ IP cục bộ và tên của máy tính và số cổng đang được sử dụng.
- Địa chỉ IP và số cổng mà chúng tôi đang kết nối.
- Trạng thái của kết nối TCP. Để biết chi tiết về những trạng thái này, hãy đọc phần Xử lý sự kiện của RFC 793.
Sử dụng Netstat để xem các cổng nghe và PID
- Sử dụng tổ hợp phím Phím Win + X. Trong menu mở ra, hãy chọn Dấu nhắc lệnh.
- Xem kết quả và ghi lại địa chỉ, số cổng, trạng thái và PID. Giả sử chúng tôi muốn biết những gì đang sử dụng cổng 63240. Lưu ý rằng PID của nó là 8552 và nó đang kết nối với địa chỉ IP 172.217.12.138 trên cổng 443.
Đang sử dụng cổng đó là gì?
- Mở Trình quản lý Tác vụ. Điều đó dễ dàng thực hiện nhất bằng cách sử dụng tổ hợp phím Ctrl + Shift + Esc.
- Bấm vào Chi tiết chuyển hướng. Để làm cho việc tìm kiếm này dễ dàng hơn, hãy nhấp vào PID tiêu đề cột để sắp xếp các PID theo số.
- Cuộn xuống PID 8552 và xem quá trình đó là gì. Trong trường hợp này, nó googledrivesync.exe. Nhưng nó có thực sự không? Đôi khi vi-rút có thể làm cho chúng trông giống như các quy trình hợp pháp.
- Trong trình duyệt web, truy cập ipinfo.io. Nhập địa chỉ IP 172.217.12.138. Như chúng ta thấy, địa chỉ IP đã được đăng ký với Google. Vì vậy, googledrivesync.exe này là một hợp pháp.
Cách lấy cổng, PID và tên quy trình trong PowerShell
PowerShell là cách mới hơn của Microsoft để sử dụng giao diện dòng lệnh với Windows. Chúng tôi nói là mới hơn, nhưng nó đã tồn tại trong một số phiên bản. Bạn nên học PowerShell ngay cả khi bạn là người dùng gia đình.
Hầu hết các lệnh Windows cũng hoạt động trong PowerShell, ngoài ra chúng ta có thể kết hợp chúng với các lệnh ghép ngắn của PowerShell – phát âm lệnh cho phép. Joe tại Winteltools.com cung cấp tập lệnh cho phương pháp này.
- Mở Sổ tay và nhập mã sau:
$netstat = netstat -aon | Select-String -pattern "(TCP|UDP)"
$processList = Get-Process
foreach ($result in $netstat) {
$splitArray = $result -split " "
$procID = $splitArray[$splitArray.length – 1]
$processName = $processList | Where-Object {$_.id -eq $procID} | select processname
$splitArray[$splitArray.length – 1] = $procID + " " + $processName.processname
$splitArray -join " "
}
- Lưu tệp dưới dạng get-NetstatProcessName.ps1. Hãy nhớ ghi lại nơi nó được lưu. Điều quan trọng là thay đổi Lưu kiểu, mẫu: đến Tất cả các tệp (*. *) hoặc nó sẽ được lưu dưới dạng get-NetstatProcessName.ps1.txt và nó sẽ không hiệu quả với chúng tôi.
- Mở PowerShell và điều hướng đến vị trí đã lưu tập lệnh. Trong trường hợp này, đó là
cd C: Scripts
. Đánh Đi vào để chạy lệnh.
- Chạy tập lệnh bằng cách sử dụng công cụ tìm nguồn cung ứng điểm để làm cho nó hoạt động. Điều đó có nghĩa là sử dụng ./ trước tên của tệp. Lệnh sẽ là
./get-NetstatProcessName.ps1
- Bây giờ chúng ta có thể thấy tất cả thông tin netstat truyền thống cùng với tên quy trình. Không cần mở Trình quản lý tác vụ nữa.
Đi lấy chúng về
Chúng tôi đã giới thiệu hai cách sử dụng lệnh netstat để xem các cổng lắng nghe. Nó có thể được sử dụng trong Command Prompt cũ hoặc trong tập lệnh PowerShell. Với thông tin nó có thể cung cấp cho chúng tôi, chúng tôi đã xem xét cách nó có thể giúp chúng tôi tìm ra máy tính của chúng tôi đang làm gì.
Nếu bạn nghĩ netstat là một tiện ích tuyệt vời, hãy xem một số tiện ích TCP / IP Windows khác như tracert, ipconfig và nslookup. Hoặc sử dụng Resource Monitor để có cái nhìn rõ hơn về trang web ẩn và các kết nối Internet. Bạn có thể làm rất nhiều thứ để xem chính xác máy tính của mình đang làm gì.
Bạn đã sử dụng netstat để giải quyết vấn đề chưa? Hãy cho chúng tôi biết bạn đã làm gì. Bất kỳ câu hỏi nào về cách sử dụng netstat? Vui lòng hỏi chúng tôi trong phần bình luận bên dưới.
