การใช้งาน netstat (แบบดอส)

สังเกตว่า 2 ภาพด้านล่างเป็นการใช้ 2 option การแสดงผลก็ต่างกันนิดหน่อย แต่ความหมายแต่ละบรรทัดมีค่าเท่ากัน เพียงแต่การแสดงแตกต่างเป็นชื่อกับตัวเลข (เลข IP/Prot)

ยังไม่เชื่อมต่อจะขึ้นแบบนี้ครับ

1. Proto TCP -- คือโปรโตคอลที่เครื่องกำลังเชื่อมต่ออยู่

2. Local Address qillip:telnet -- [ชื่อเครื่อง qillip] : [telnet Service (port ที่เครื่องได้เปิด)] ซึ่งตอนนี้เป็นหรือบริการที่เปิด และเราจะรู้ได้ตรงนี้เอง เช่นพวกโทรจัน Trojan หรือโปรแกรมบางโปรแกรมมักจะเปิด Service หรือบริการที่เปิดรอ เพื่อจะเข้ามาควบคุมเครื่องหรือมีการแชร์เครื่อง เพื่อใช้ในการถ่ายโอนข้อมูลระหว่างเครื่องในระบบ Network

3. Foreign Address qillip:0 -- ชื่อเครื่อง [qillip] : [เครื่องที่เชื่อมต่อกับเครื่องที่คุณได้ใช้อยู่] ที่เป็นเลข 0 เพราะว่าผมยังไม่ได้ต่อเน็ต

4. State LISTENING -- สถานะการติดต่อ ซึ่งจะมีอยู่หลายแบบ

เพื่อให้เข้าใจง่ายขึ้น การใช้งานทั่วไป มักจะใช้คำสั่ง C:>netstat -an หรือ C:>netstat -a เวลาใช้ พิมพ์แค่ netstat -a หรือ netstat -an ที่ Dos Prompt เพราะว่าจะทำให้มีการดูเป็นรูปแบบที่ง่ายขึ้น ส่วน Option อื่นลองไปใช้เองดู ซึ่งใช้เดี่ยวๆหรือคู่กันไปก็ได้ ที่ผมได้แนะนำมาแบบนี้ คำสั่งทั้ง 2 ตัวที่ผมได้ยกขึ้นมานี้ได้ครอบคลุมการดูเกือบทั้งหมดแล้ว เพียงแต่คุณต้องไปศึกษาว่า Port แต่ละหมายเลขเป็นบริการของอะไร เป็นโทรจันหรือไม่ อาจเป็นโปรแกรม Remote ก็ได้ ซึ่งโปรแกรม Remote จะสามารถหลบการแสกนจากโปรแกรม Anti Virus / Trojan Scan

จากตัวอย่างที่ผมได้ทำเป็นแถบสีขาวให้ดูจาก 2 รูปด้านบน ที่บริการที่ผมได้เปิด Local Address=qillip:telnet ตรง telnet คุณต้องรู้ว่า telnet คือ port 23 หรืออาจพิมพ์คำสั่ง netstat -an เพื่อตรวจดูหมายเลข port ซึ่งจะอยู่บรรทัดเดียวกันดัง 2 รูปข้างต้น (ถ้าใช้ในเวลาเดียวกัน 2 Option ทั้ง -a และ -an และ -n คุณลองใช้ดูครับ การแสดงผลจะได้ค่าที่เหมือนกัน แต่แตกต่างที่จะเป็นชื่อบริการที่คุณได้เปิดหรือเป็นแบบตัวเลข IP)

(ตอนนี้ผมได้ต่อ Internet) ดังรูปด้านล่าง

สีเหลือง เป็นสถานะ ESTABLISHED

Local Address ซึ่ง IP ผมคือ 203.118.74.149 ได้เปิด port 135 เอาไว้และเข้ามาที่เครื่องทาง port นี้
Foreign Address เป็น IP ของเครื่องที่มา hack เครื่องผมคือ 203.118.82.158
State เป็นสถานะ ESTABLISHED หมายความว่า เป็นการเชื่อมต่อระหว่างเครื่อง 2 เครื่องได้แล้ว พูดอีกแบบคือ มีเครื่องอื่นได้เข้ามาในเครื่องผมแล้ว


สีฟ้า เป็นสถานะ LISTENING

Local Address ซึ่ง IP ผมคือ 203.118.74.149 ได้เปิด port 139
Foreign Address ยังไม่มีเครื่องใดมาทำการติดต่อ
State เป็นสถานะ LISTENING คือรอการติดต่อ ซึ่งเครื่องอื่นสามารถเข้าได้ทางนี้

** ให้สังเกตเครื่องคุณ ถ้าได้มีตัวนี้อยู่บรรทัดไหน ให้สังเกตที่บรรทัดเดียวกันว่า เครื่องคุณได้เปิด Port ไหนเอาไว้บ้าง **


สีม่วง เป็นสถานะ TIME_WAIT

Local Address ซึ่ง IP ผมคือ 203.118.74.149 ได้เปิด port 139
Foreign Address เครื่องที่มี IP 203.118.74.110 ได้กำลังแสกนเครื่องผมอยู่ เพื่อหาช่องโหว่
State เป็นสถานะ TIME_WAIT คือเค้ากำลังแสกนเครื่องผมโดยผ่าน port 139 กำลังแสกน หรืออีกความหมายคือ เครื่องนั้นอาจกำลังถอด password เครื่องคุณอยู่ก็ได้


TIP : ซึ่งตอนนี้คุณคงอ่าน และคงสามารถที่จะเดาได้ว่าแต่ละบรรทัดที่โปรแกรมแสดงหมายความว่าอะไรบ้าง แต่ถ้าใช้ Option ดังรูปข้างบน (ต่อ Internet) ให้พิมพ์คำสั่ง netstat -a เพื่อจะแสดงเป็นชื่อ ซึ่งบางทีในสถานะ ESTABLISHED หมายความว่า มีเครื่องอื่นได้เข้ามาในเครื่องผมแล้วนั้น อาจเป็นเว็บไซด์ที่คุณกำลังดาว์นโหลดอยู่ก็ได้ คำสั่ง netstat -a จะแสดงเป็นชื่อเว็บต่างๆ ซึ่งถ้าใช้คำสั่ง netstat -an จะแสดงเป็นตัวเลข IP ยากต่อการเดา และการดูจริงๆคุณต้องสังเกตที่ port ที่เครื่องคุณด้วยว่าเป็น port ที่ใช้ทำอะไร


HACK : ถ้าคุณกำลัง chat อยู่ ไม่ว่าจะเป็น icq , msn , yahoo ect.. ก็ตาม และได้มีการรับ/ส่งไฟล์ระหว่างเครื่องเกิดขึ้น ให้พิมพ์คำสั่ง netstat -an หรือ netstat -a หรือ netstat -n ก็ได้ โปรแกรมนี้จะมีการแสดงเลข IP ต่างๆที่คุณได้ติดต่ออยู่ และคุณรู้ IP เครื่องเป้าหมายแล้ว อิอิ ถ้ามีความรู้ในเรื่องอื่น ก็นำมาใช้ได้เลย


นี่คือการทำงานโดยใช้ดอสแบบทั่วไป ให้คุณลองดูว่าเครื่องคุณได้เปิด Port อะไรไว้บ้าง ถ้ามีการเปิดที่เยอะมาก คุณต้องรู้ว่าแต่ละ Port ไหนโปรแกรมอะไรเป็นตัวเปิด โดยทำการค้นหาได้จากโปรแกรมที่คุณใช้ได้ถนัด ซึ่งแล้วแต่คนจะถนัดทางไหน และหัวข้อต่อไป ผมจะอธิบายการใช้โปรแกรมอีกตัว ซึ่งใช้ได้ดีมากสำหรับการหาโปรแกรมตัวแสบ ที่แอบมาเปิด port และยังสามารถใช้งานได้อีกหลายอย่าง แทนโปรแกรม NETSTAT ได้ดีอีกด้วย แถมยังมีโปรแกรมให้ HACK เครื่องแถมมาด้วย

** การกระทำใดๆที่ละเมิดสิทธิผู้อื่นโดยเจตนา มันไม่ดีเลยนะครับ และถ้าคุณคิดที่จะทำ ผมขอแนะว่า ต้องมีสติรู้ว่ากำลังทำอะไรอยู่ ทำเพื่ออะไร ผลที่คุณจะได้จะคุ้มค่าหรือไม่ **


ที่ผมชอบใช้แบบ dos เพราะว่าชีวิตจริงคุณไม่ได้เล่นแค่เครื่องคุณเองเครื่องเดียว แต่คุณต้องไปทำอะไรต่างๆที่เครื่องอื่น และโปรแกรมนี้มีอยู่ในเครื่องทุกเครื่องอยู่แล้ว ซึ่งไม่ว่าเครื่องไหนที่เป็นระบบ Window คุณก็ใช้คำสั่งนี้ได้ เพราะไม่งั้นคุณต้องหอบโปรแกรมไปติดตั้ง ยุ่งยาก ผมจึงอยากให้ใช้เป็นพวกโปรแกรมในดอสนี่แหละ พระเอกตัวจริงเวลาเครื่องมีปัญหา