Bu yazımda windows ile öntanımlı gelen bir ağ izleme yazılımına değineceğim. Aslında windows ile yerleşik gelen ve başka üçüncü bir yazılım kullanmadan işlerimizi kolayca halledebileceğimiz birçok yerleşik yazılım bulunmakta. Genelde komut satırından kullanılıyor olsalar da, bu bize ciddi hız ve kolaylık kazandırıyor. Bahsettiğim bu etkileyici yazılımlardan biri de netstat
Bilindiği gibi; TCP/IP iletişim tarzında iletişim, iki hostun birbiriyle paket alışverisi yapma prensibine dayanır.
Yukarıda göreceğiniz üzere;
netstat -an komutuyla bilgisayarımızın bağlantıda olduğu tüm port ve ip’leri gözlemleyebiliyoruz. State (durum) kısmında bağlantıyla ilgili bilgileri de ayrıca görebiliyoruz.
- Listening: Bu durum diğer hosttan bağlantı beklendiğini göstermektedir.
- Established : Bağlantının sağlandığını gösterir.
- Close_wait : bağlantının kapatılmasının beklendiğini göstermektedir.
- Time_wait: Bağlantı sonlandırıldı fakat herhangi bir gecikmiş uygun paket olabileceği öngörüsüyle bağlantı tamamen sonlandırılmıyor.
netstat -a : bu parametre ile tüm aktif oturum ve bağlantılarını görebilirsiniz. Ayrıca host bilgisi de dns yardımıyle size isim olarak döndürülür.
netstat -e : bu parametre ile tüm bağlantılara dair istatistiksel veri bilgileri alabilirsiniz.
netstat -sp : bu parametre yardımıyla her protokole ilişkin istatistiksel veri almak mümkündür.
daha fazla parametre için ilgili komut setinin yardım metnini okuyabilirsiniz.
netstat /?
bu komut seti bize nasıl yardımcı olur, neden buna gerek duyarız sorusunu ise şöyle bir örnekle açıklayalım.
Bilgisayarımızda bir malware olduğunu ve bu zararlının komuta ve kontrol merkeziyle haberleştiğini varsayıyoruz. Bu zararlının tespiti ve yok edilmesinde netstat parametreleri işimizi ciddi anlamda kolaylaştıracak ve bunun için 3rd party bir yazılıma ihtiyaç duymayacaksınız.
netstat -b -o 5
parametresi ile netstat komut setini çalıştırdığımızda bize hangi bilgileri verir önce onu inceleyelim.
-b : çalıştırılabilir bir uygulamayla ilişkilendirilmiş bağlantıları gösterir
-o : her bağlantının kimlik bilgilerini gösterir.
-5 : burada 5’in aslında çok fazla bir önemi yok, buradaki sayı değeri kadar bilgi döner. ayrıca bu döngüde durdurmak istediğinizde ctrl+c ile durdurabilirsiniz.
Siz bu parametreyi kullandığınızda bilgisayarınızda çalıştırılabilir tüm uygulamalar ve yağtığı bağlantıları görebilirsiniz.
eğer explorer.exe gibi veya aslında windows’un yerleşik bir uygulaması olmasına rağmen farklı bir internet adresine bağlantı yapıyorsa, bu mutlaka zararlı bir işlemdir ve kapatılmalıdır.
Örnek ekran :
Buradaki PID numarası bizim çıkış noktamız olacak.
ilgili PID=Process ID numarasını bularak işlemi sonlandırabilir, çalışan .exe’ye gidebilir, silme işlemini yapabilirsiniz.
Kolaylıklar dilerim.
nbtstat komutunu da unutmamak lazım hocam
Bu güzel ve faydalı yazı için teşekkür ederim hocam. Çok işime yarayacak.
peki bu listening vs. nasıl kaldırılır nasıl temizlenir bilgisayar tamamen
merhaba cengiz; hangi uygulama ya da port dinliyorsa bunu kapatmak yeterli olacaktır. eğer herhangi bir çekirdek uygulamayı taklit eden bir uygulama herhangi bir portu dinliyorsa buna göre işlem yapılmalıdır.