netstat 명령을 사용하여 프로토콜 통계 및 현재 TCP/IP 연결을 표시할 수 있다.
- netstat -a : 모든 연결을 표시한다.
- netstat -r : 경로 테이블과 활성 연결을 표시한다.
- netstat -o : 프로세스 ID를 표시하므로 각 연결에 대한 포트 소유자를 볼 수 있다.
- netstat -e : 이더넷 통계를 표시한다.
- netstat -s : 프로토콜별 통계를 표시한다.
- netstat -n : 주소와 포트 번호가 이름으로 변환되지 않는다.
netstat 는 시스템의 각종 네트워크 정보를 알려주는 명령어로 네트워크 연결, 라우팅 현황, 인터페이스 통계 등의 정보를 확인할 수 있게 해준다.
netstat -na 로 확인해 보면 Local Address, Foreign Address, State 등의 정보가 출력되는데, 이 중 State 부분에 보이는 메시지를 주목해야 한다.
- LISTEN : 서버의 데몬이 떠서 접속 요청을 기다리는 상태
- SYS-SENT : 로컬의 클라이언트 어플리케이션이 원격 호스트에 연결을 요청한 상태
- SYS_RECEIVED : 서버가 원격 클라이언트로부터 접속 요구를 받아 클라이언트에게 응답을 하였지만 아직 클라이언트에게 확인 메시지를 받지 않은 상태
- ESTABLISHED : 3 way-handshaking이 완료된 후 서로 연결된 상태
- FIN-WAIT1, CLOSE-WAIT, FIN-WAIT2 : 서버에서 연결을 종료하기 위해 클라이언트에게 종결을 요청하고 회신을 받아 종료하는 과정의 상태
- CLOSING : 확인 메시지가 전송도중 분실된 상태
- TIME-WAIT : 연결을 종료되었지만 분실되었을지 모를 느린 세그먼트를 위해 당분간 소켓을 열어놓은 상태
- CLOSED : 완전히 종료
이 중에 주목해야 할 메시지는 SYS_RECEIVED 이다. 이 메시지가 많이 보인다면 SYN Flooding 공격을 당하고 있는 것으로 판단하면 된다.
'네트워크 > 네트워크' 카테고리의 다른 글
| TCP Syn Flooding 공격 (0) | 2012.05.25 |
|---|---|
| ipconfig 명령어 (0) | 2012.02.22 |
| nbtstat 를 사용하여 NetBIOD 이름 문제 해결 (0) | 2012.02.21 |
| QoS (0) | 2012.02.21 |
| tracert 명령어 (0) | 2011.04.18 |