-
Как посмотреть сетевую активность процессов использующих UDP протокол Win NT
Стандартные утилиты вроде TCPView(судя по названию) показывают только процесс и тот локальный порт что он использует для UDP протокола. О удаленном адресе/порте ни слова. То же и другие подобные приложения - Outpost FierWall(думаю и другие фаеры) отображает, но не устанавливать же его из-за этого.
Подскажите как это можно сделать в Win NT.
Спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
netstat -abp UDP не помогает?
-
Насколько мне известно UDP не устанавливает соединения как TCP.
-
-
Сообщение от
DoggoD
netstat -abp UDP не помогает?
Показывает тоже самое как и TCPView, CurrPorts, и др.
Сообщение от
zerocorporated
Насколько мне известно UDP не устанавливает соединения как TCP.
Верно.
Проблема в том, что UDP это протокол в принципе без направления и без соединения.
Он не нуждается в 'handshake' (квитирование установление связи?), согласовывать что-нибудь как в TCP с другими клиентами не требуется, соединения совсем не требуется. Не зря же я здесь и в других местах уже говорил, что это для файрволов ОЧЕНЬ сложный протокол...
Paul
Последний раз редактировалось XP user; 18.08.2008 в 09:19.
-
Сообщение от
p2u
Проблема в том, что UDP это протокол в принципе без направления и без соединения.
Paul
Ну так поэтому там есть foreign address * : * что является удаленным адресом, который хотел увидеть автор
О удаленном адресе/порте ни слова.
-
Сообщение от
DoggoD
Ну так поэтому там есть foreign address * : * что является удаленным адресом, который хотел увидеть автор
Netstat и все приложения, которые его читают (TCPView, Currports) просто НЕ МОГУТ выражать удалённый адрес в чём-нибудь конкретном...
Paul
-
Сообщение от
p2u
Netstat и все приложения, которые его читают (TCPView, Currports) просто НЕ МОГУТ выражать удалённый адрес в чём-нибудь конкретном...
Paul
Ключевое выражение - "в чём-нибудь конкретном" или я вообще чего-то не догоняю? Что тогда делает ключ b или вы одругом?
-
Сообщение от
DoggoD
Ключевое выражение - "в чём-нибудь конкретном" или я вообще чего-то не догоняю?
Не указанные или 'обобщённые' адреса и порты показываются как '*'. По UDP вы увидите только *.*
Сообщение от
DoggoD
Что тогда делает ключ b или вы о другом?
http://ru.wikipedia.org/wiki/Netstat
Ключ -b (не обсуждается в статье) показывает насколько я помню состояние портов (+ приложения, которые их занимают + Идентификатор Процесса этих приложений) ТОЛЬКО для TCP.
-a Показывать состояние всех сокетов; обычно сокеты, используемые серверными процессами, не показываются.
-A Показывать адреса любых управляющих блоков протокола, связанных с сокетами; используется для отладки.
-i Показывать состояние автоматически сконфигурированных (auto-configured) интерфейсов. Интерфейсы, статически сконфигурированные в системе, но не найденные во время загрузки, не показываются.
-n Показывать сетевые адреса как числа. netstat обычно показывает адреса как символы. Эту опцию можно использовать с любым форматом показа.
-r Показать таблицы маршрутизации. При использовании с опцией -s, показывает статистику маршрутизации.
-s Показать статистическую информацию по протоколам. При использовании с опцией -r, показывает статистику маршрутизации.
Paul
Последний раз редактировалось XP user; 19.08.2008 в 09:34.
-
Статью приведенную уже читал давно
Сообщение от
p2u
Ключ -b (не обсуждается в статье) показывает насколько я помню состояние портов (+ приложения, которые их занимают) ТОЛЬКО для TCP.
Paul
Мой частичный вывод netstat -abp udp
Proto Local Address Foreign
UDP 0.0.0.0:123 * : *
W32Time
[svchost.exe]
UDP 0.0.0.0:500 * : *
IKEEXT
[svchost.exe]
UDP 0.0.0.0:4500 * : *
IKEEXT
[svchost.exe]
UDP 0.0.0.0:5355 * : *
Dnscache
[svchost.exe]
UDP 0.0.0.0:55389 * : *
[spoolsv.exe]
UDP 127.0.0.1:55387 * : *
NlaSvc
[svchost.exe]
UDP 192.168.2.34:137 * : *
-
Сообщение от
DoggoD
Мой частичный вывод netstat -abp udp
Красиво, когда комбинируете ключи, угу. А теперь посмотрите для себя вывод данных ключа -b отдельно, о котором вы говорили, для того, чтобы понять, что он делает. У меня выдаёт:
Только TCP + процесс + идентификатор.
ЛОКАЛЬНЫЕ Адреса и порты по UDP показываются; Mad Scientist (топик страртер) это уже указал в первом сообщении. Но в смысле безопасности это ничего дополнительного не даёт. А где удалённые адреса, и состояние сокетов у вас?
Повторяю: Не указанные или 'обобщённые' адреса и порты показываются как '*'. По UDP вы увидите только '*.*'.
Вот, что ваша команда у меня выдаёт:
То, что мы видим здесь: так называемые 'Unconnected Endpoints'. Это у меня vpn-туннель по протоколу L2TP (порт 1701). Комьютер зовут P2U. Удалённый адрес у меня tp.corbina.net; удалённый порт тоже 1701. Но ни адреса, ни удалённого порта не видно.
Paul
Последний раз редактировалось XP user; 19.08.2008 в 10:59.
-
Сообщение от
p2u
Красиво, когда комбинируете ключи, угу. А теперь посмотрите для себя вывод данных ключа -b отдельно, о котором вы говорили, для того, чтобы понять, что он делает...
Только TCP + процесс + идентификатор.
ОК, понял смысел..
Добавлю только немного по части цитаты сверху.. Про -b
Displays the executable involved in creating each connection or
listening port. In some cases well-known executables host
multiple independent components, and in these cases the
sequence of components involved in creating the connection
or listening port is displayed. In this case the executable
name is in [] at the bottom, on top is the component it called,
and so forth until TCP/IP was reached. Note that this option
can be time-consuming and will fail unless you have sufficient
permissions.
Это из встроенной справки.. Я к тому, что речи о ТОЛЬКО TCP тут нет - это просто дает вывод исполняемого файла.
-
Сообщение от
Mad Scientist
О удаленном адресе/порте ни слова
Mad Scientist, удаленный адрес - это имя или IP-адрес Вашего текущего DNS-сервера, а порт у него стандартный для запросов по UDP - 53-й.
Утилита для запросов к DNS-серверу: nslookup <имя или IP-адрес DNS-сервера> <имя или IP-адрес, которые требуется получить>
Если имя или IP-адрес DNS-сервера не указывать, будет выбран текущий DNS-сервер: nslookup <имя или IP-адрес, которые требуется получить>
Например, запрос может быть таким: nslookup virusinfo.info
В ответе будут указаны имя и IP-адрес текущего DNS-сервера и имя и IP-адрес сайта вирусинфо.
Доступные команды DNS-серверу: nslookup help
Сообщение от
p2u
это для файрволов ОЧЕНЬ сложный протокол
p2u, извините, очень сложный чем или почему?
И еще, пожалуйста, что Вы думаете об этом:
если имеется любимый DNS-сервер (надежный, доступный, не отравленный), его айпишник можно вбить в свойства сетевого подключения. Туда же можно добавить и еще один запасной, чуть менее любимый.
если запущена Служба DNS-клиента, то будет сформирован локальный кэш доменных имен, что избавит от повторных запросов и уменьшит время запуска сетевых приложений.
Последний раз редактировалось ananas; 25.08.2008 в 18:07.
Причина: добавил
-
Извините, может кто-то еще поделится соображениями, в чем простота/сложность анализа пакетов по TCP или UDP? И, в частности, для различных утилит или файерволов?
-
хм..обширную тему Вы хотите затронуть...
PS: используйте TCPDump и будет счастье
-
Ок. Понятно, что слишком открытые обсуждения приносят не только пользу, но и вред.
-
ну не так все плохо...
по-моему было бы более продуктивным поделиться друг с другом статьями по этому поводу и обсудить их, чем просто высказываться кто что про это думает..
-
Спасибо за предложение, но у меня нет статей. "Я не волшебник, а только учусь." И учусь не по основному профилю. А Ваши, priv8v, прочел бы с удовольствием.
-
Эмм... Я имел в виду делиться не своими статьями - а вообще - найти что-то (какую-либо большую и подробную статью по этому вопросу) и пообсуждать...
-
Ок. Буду иметь ввиду.
А пока: Люди! У кого есть интересные статьи? Или ссылки на них? Заранее спасибо.
И опять же: TCPView... TCPDump...
Похоже, что разработчики, наоборот, считают UDP и легальную область его применения настолько простыми, что не заморачиваются всякими утилитами.
Например, применение UDP в приложениях для трансляции/воспроизведения потоковых сервисов реального времени. Простота даже с некоторым ущербом для качества обслуживания.
Последний раз редактировалось ananas; 25.08.2008 в 23:00.
Причина: добавил
-
Еще раз прошу прощения, но мне не дает покоя некоторая недосказанность по сложно/просто. Возможно, кому-то известно больше сведений, чем те, которые есть в известных мне открытых источниках.
В чем сложность/простота для файервола/утилиты в фильтрации данных по UDP/TCP?
1. в определении принадлежности к протоколу UDP/TCP
2. в определении принадлежности к протоколу UDP/TCP и направления IN/OUT
3. в определении принадлежности к протоколу UDP/TCP, направления IN/OUT и записей об UDP сокетах/TCP парах сокетов
4. что-то еще
Спасибо.