Tweet
Khi đã cấu hình xong IP và DNS, hệ thống Windows có thể sử dụng được tài nguyên mạng. Tuy nhiên, để quản trị tốt và bảo mật hệ thống, chúng ta cần kiểm tra xem máy có đang mở những cổng dịch vụ nào, và có kết nối nào bất thường ra/vào hay không. Đây là lúc lệnh netstat trở thành một công cụ cực kỳ hữu ích.
Netstat là gì?
Netstat (Network Statistics) là lệnh dòng lệnh có sẵn trong Windows (và cả Linux/Unix), cho phép hiển thị:
Nếu chỉ chạy netstat, Windows sẽ hiển thị danh sách các kết nối TCP đang hoạt động.
Ứng dụng trong bảo mật
Trong môi trường thực tế, netstat thường được dùng để phân tích khi nghi ngờ có malware trong hệ thống. Phần mềm độc hại thường mở backdoor để kết nối ra ngoài đến máy chủ điều khiển (Command & Control). Khi chạy netstat, quản trị viên có thể thấy được các kết nối bất thường hoặc các cổng lạ đang mở, từ đó truy ngược lại tiến trình gây ra vấn đề.
Cách phân tích chi tiết với netstat
Để biết được kết nối nào đang gắn với process nào, chúng ta dùng lệnh:
netstat -abno
Trong đó:
Sau đó, mở Task Manager, bật cột PID lên để dò đúng tiến trình. Nếu cần, có thể tắt hẳn tiến trình lạ ngay tại đây.
Một số lệnh netstat hay dùng
Câu hỏi ôn tập
Anh em nào làm hệ thống, ảo hóa, cloud chắc chắn sẽ cần lệnh này trong việc quản trị và xử lý sự cố. Đây là kỹ năng cơ bản nhưng cực quan trọng để bảo vệ hạ tầng Windows của mình.
Netstat là gì?
Netstat (Network Statistics) là lệnh dòng lệnh có sẵn trong Windows (và cả Linux/Unix), cho phép hiển thị:
- Các kết nối TCP đang hoạt động.
- Các cổng mà host đang lắng nghe.
- Thống kê Ethernet.
- Bảng định tuyến IP.
- Thống kê giao thức IPv4 và IPv6.
Nếu chỉ chạy netstat, Windows sẽ hiển thị danh sách các kết nối TCP đang hoạt động.
Ứng dụng trong bảo mật
Trong môi trường thực tế, netstat thường được dùng để phân tích khi nghi ngờ có malware trong hệ thống. Phần mềm độc hại thường mở backdoor để kết nối ra ngoài đến máy chủ điều khiển (Command & Control). Khi chạy netstat, quản trị viên có thể thấy được các kết nối bất thường hoặc các cổng lạ đang mở, từ đó truy ngược lại tiến trình gây ra vấn đề.
Cách phân tích chi tiết với netstat
Để biết được kết nối nào đang gắn với process nào, chúng ta dùng lệnh:
netstat -abno
Trong đó:
- -a: Hiển thị tất cả kết nối và cổng listening.
- -b: Hiển thị chương trình đang sử dụng kết nối.
- -n: Hiển thị địa chỉ và port dạng số (không dịch DNS).
- -o: Hiển thị PID (Process ID).
Sau đó, mở Task Manager, bật cột PID lên để dò đúng tiến trình. Nếu cần, có thể tắt hẳn tiến trình lạ ngay tại đây.
Một số lệnh netstat hay dùng
- netstat -a → Liệt kê toàn bộ kết nối TCP/UDP và cổng listening.
- netstat -n → Xem địa chỉ và port dạng số.
- netstat -o → Xem kết nối gắn với PID.
- netstat -r → Hiển thị bảng định tuyến IP.
Câu hỏi ôn tập
- Bạn nghi ngờ một host Windows bị nhiễm malware và tạo nhiều kết nối TCP bất thường. Lệnh nào dùng để hiển thị tất cả các kết nối TCP đang hoạt động?
→ netstat - Muốn liên kết kết nối mạng với Process ID (PID) của chương trình thì dùng tham số nào?
→ -abno
Anh em nào làm hệ thống, ảo hóa, cloud chắc chắn sẽ cần lệnh này trong việc quản trị và xử lý sự cố. Đây là kỹ năng cơ bản nhưng cực quan trọng để bảo vệ hạ tầng Windows của mình.
Attached Files