|
|
Netstat geeft veel informatie over het TCP/IP netwerk. IBM heeft hier geen online informatie voor. De PEER FAQ van Thomas Baumann (Buchhorn BBS) wel.
De opdracht netstat geeft een globaal overzicht van de parameters. De netstat parameters kunt u combineren: netstat -mtuisprcna >j:/data/netstat.log.
[I:\]netstat
Syntaxis: netstat [ -? ] | [ -mtuisprcna ]
Where:
|
m - mbufs |
[I:\]netstat -m mbufs verkregen van pagina-pool 80 mbufs vrij 32 mbufs gegevens 0 mbufs koptekst 2 mbufs socket-structuur 12 mbufs socket-naam 0 mbufs socket-optie 0 mbufs protocol-stuurblok 18 mbufs routing-tabel 13 mbufs opnieuw samenstellen 0 clusters verkregen van pagina-pool 95 vrije clusters 94 aantal keren dat geen ruimte werd gevonden 0 aantal keren gewacht op ruimte 0 |
|
t - tcp |
Informatie over de TCP/IP transmissie via het TCP protocol. |
|
u - udp |
Informatie over de TCP/IP transmissie via het UDP protocol. |
|
i - ip |
Informatie over de verwerking van de IP pakketten. |
|
s - sockets |
Informatie over internet diensten (sockets). In het onderstaande voorbeeld staat een smpt poort op en is er een telnetverbinding met een samba server op IP adres 192.168.1.20. -------------------------------------------------------------------------- AF_INET Adresfamilie :
SOCK TYPE FOREIGN LOCAL FOREIGN STATE PORT PORT HOST ==== ========= ============= ============= ============= ============= 17 STREAM telnet..23 1025 192.168.1.20 ESTABLISHED 16 STREAMnetbios-ssn..139 1024 192.168.1.20 ESTABLISHED 15 DGRAM 0 13991 0.0.0.0 UDP 14 DGRAM 0 0 0.0.0.0 UDP 13 STREAM 0 0 0.0.0.0 CLOSED 12 STREAM 0 smtp..25 0.0.0.0 LISTEN 11 STREAM 0 0 0.0.0.0 CLOSED 10 DGRAM 0 emfis-data..140 0.0.0.0 UDP 9 STREAM 0 netbios-ssn..139 0.0.0.0 LISTEN 8 DGRAM 0 netbios-ns..137 0.0.0.0 UDP 7 DGRAM 0 netbios-dgm..138 0.0.0.0 UDP -------------------------------------------------------------------------- AF_OS2 Adresfamilie :
-------------------------------------------------------------------------- AF_NB Address Family :
SOCK TYPE PARTNER NAME LOCAL NAME U/G ADP STATE ==== ======= ================ ================ === === =========
|
|
r - routes |
Netstat-r geeft de routing tabel weer. [I:\]netstat -r bestemming router netmasker refcnt gebruik vlaggen snmp intrf decimaal 127.0.0.1 127.0.0.1 255.255.255.255 0 0 UH 0 lo 192.168.1.0 192.168.1.10 255.255.255.0 0 0 U 0 lan0 192.168.1.20 192.168.1.10 255.255.255.255 2 2623 UH 0 lan0 192.168.1.21 192.168.1.10 255.255.255.255 0 1 UH 0 lan0 192.168.1.255 192.168.1.10 255.255.255.255 0 1 UH 0 lan0 Hier een output van netstat -r >netstat.txt tijdens een internet sessie. destination router netmask metric flags intrf default 194.159.73.222 0.0.0.0 0 UGP ppp0 24.2.168.186 194.159.73.222 255.255.255.255 0 UGHW ppp0 63.96.6.195 194.159.73.222 255.255.255.255 0 UGHW3 ppp0 127.0.0.1 127.0.0.1 255.255.255.255 0 UH lo 128.123.3.50 194.159.73.222 255.255.255.255 0 UGHW ppp0 132.248.17.115 194.159.73.222 255.255.255.255 0 UGHW3 ppp0 139.130.51.36 194.159.73.222 255.255.255.255 0 UGHW3 ppp0 149.174.211.5 194.159.73.222 255.255.255.255 0 UGHW3 ppp0 192.168 192.168.0.1 255.255.255.0 0 UC lan0 194.109.74.138 194.159.73.222 255.255.255.255 0 UGHW3 ppp0 194.159.73.10 194.159.73.222 255.255.255.255 0 UGHW ppp0 194.159.73.22 194.159.73.222 255.255.255.255 0 UGHW3 ppp0 194.159.73.136 194.159.73.222 255.255.255.255 0 UGHW3 ppp0 194.237.137.131 194.159.73.222 255.255.255.255 0 UGHW3 ppp0 194.247.47.86 194.159.73.222 255.255.255.255 0 UGHW3 ppp0 195.173.244 195.173.244.121 255.255.255.0 0 UP ppp0 195.173.244.121 127.0.0.1 255.255.255.255 0 UH lo 209.69.142.86 194.159.73.222 255.255.255.255 0 UGHW3 ppp0 209.143.212.20 194.159.73.222 255.255.255.255 0 UGHW3 ppp0 216.167.78.68 194.159.73.222 255.255.255.255 0 UGHW3 ppp0
|
|
c - icmp |
Netstat -c geeft de ICMP statistieken. [I:\]netstat -c ICMP-statistieken ontvangen pakketten 0 ontvangen ber. over onbereikbare bestemming 0 ontvangen ber. over tijdoverschrijding 0 ontvangen ber. over parameterprobleem 0 ontvangen ber. over brononderdrukking 0 ontvangen redirect-berichten ontvangen 0 ontvangen verzoeken om 0 ontvangen antwoorden met echo 0 ontvangen verzoeken om tijdaanduiding 0 ontvangen antwoorden met tijdaanduiding 0 ontvangen verzoeken om adresmasker 0 ontvangen antwoorden met adresmasker 0 DRUK OP EEN TOETS OM DOOR TE GAAN verzonden pakketten 0 verzonden ber. over onbereikbare bestemming 0 verzonden ber. over tijdoverschrijding 0 verzonden ber. over parameterprobleem 0 verzonden ber. over brononderdrukking 0 verzonden redirect-meldingen 0 verzonden verzoeken om echo 0 verzonden antwoorden met echo 0 verzonden verzoeken om tijdaanduiding 0 verzonden antwoorden met tijdaanduiding 0 verzonden verzoeken om adresmasker 0 verzonden antwoorden met adresmasker 0 |
|
n - interfaces |
Netstat -n [I:\]netstat -n interface 0 DIX+802.3 fysiek adres 0000b4a2a28d MTU 1500 snelheid 10000000 bits/sec unicast-pakketten ontvangen 6046 broadcast-pakketten ontvangen 77 totaal aantal bytes ontvangen 2644803 unicast-pakketten verzonden 5689 broadcast-pakketten verzonden 138 totaal aantal bytes verzonden 1155536 pakketten verwijderd tijdens transmissie 0 pakketten verwijderd bij ontvangst 0 ontvangen pakketten met een fout 0 fouten tijdens verzenden 0 pakketten ontvangen in niet-ondersteunde protocollen 0 |
|
a - address |
Waarheen de datagrammen verzonden worden. [I:\]netstat -a adr 192.168.1.10 interface 0 masker ffffff00 verzenden 192.168.1.255 adr 127.0.0.1 interface 0 masker ff000000 verzenden 127.0.0.1 |
|
p - arp |
Geeft evenals arp -a(ll) de ARP tabel weer. [I:\]netstat -p inhoud ARP-tabel: interface apparatuuradres IP-adres minuten verstreken sinds laatste gebruik 0 0000b4b81e20 192.168.1.20 5 |
|
? - help |
Geeft het staatje in de eerste kolom. |
ARP staat voor het Address Resolution Protocol .
Arp host vraagt het fysieke hardware-adres van de netwerkaart op. Dit adres is door de fabrikant in de netwerkadapter aangebracht.
[I:\]arp zolder
zolder (192.168.0.2) at 0:0:b4:b8:1e:20
Warps arp kan "visser" hardware adres niet achterhalen.
[I:\]arp visser visser (192.168.0.1) -- geen item
Met telnet vanuit Linux lukt het (na een opvallende vertraging) wel, maar ook linux kan zijn eigen hardware-adres niet vinden:
sjoerd@zolder:~ > /sbin/arp visser Address HWtype HWaddress Flags Mask Iface visser.thuis ether 00:00:B4:A2:A2:8D C eth0 sjoerd@zolder:~ > /sbin/arp zolder zolder (192.168.0.2) -- no entry sjoerd@zolder:~ >
Arp -a geeft de inhoud van de ARP tabel:
[F:\DESKTOP]arp -a
ARP table contents:
interface hardware address IP address minutes since
last use
lan0 0 :50:7f:0 :de:98 192.168.1.1 0
lan0 0 :0 :b4:b8:1e:20 192.168.1.2 0
lan0 0 :3 :ff:6d:a6:a0 192.168.1.4 0Netstat -p doet dat ook:
[F:\DESKTOP]netstat -p
ARP table contents:
interface hardware address IP address minutes since
last use
lan0 0 :50:7f:0 :de:98 192.168.1.1 2
lan0 0 :0 :b4:b8:1e:20 192.168.1.2 0
lan0 0 :3 :ff:6d:a6:a0 192.168.1.4 2
lan0 (incomplete) 192.168.1.8 2
lan0 (incomplete) 192.168.1.11 2
lan0 (incomplete) 192.168.1.12 2
lan0 (incomplete) 192.168.1.255 2F:\MPTN\BIN>route
Usage: route [-nqv] [COMMAND] [[MODIFIERS] args]
route [-nqv] [add|delete] [-net|-host] <dest> <gateway> [-netmask <netmask>]
route [-nqv] [change] [-net|-host] <dest>[<gateway>] [-lock|-lockrest] [-rtt|
-rttvar|-sendpipe|-recvpipe|-mtu|-hopcount|-expire|-ssthresh] <value>
route [-nqv] [get] [-net|-host] <dest>
route [-nqv] [monitor]
route [-nqv] [flush]
route [-nqv] [add|delete|change|get] [default] <gateway>
Where:
-n -Bypass translating IP addresses to symbolic host names.
-q -Suppress all output.
-v -Verbose.
add -To add a route.
delete -To delete a route.
change -To change aspects of a route.
get -To look up the route for a destination.
monitor -To continuously report changes to routes.
flush -To remove all routes.
-net -The following <dest> is a network address.
-host -The following <dest> is a host name or address (default).
-netmask -The following is the mask of the route.
<dest> -The IP address or host name of the destination.
<gateway> -The IP address or host name of the next-hop router.
default -0.0.0.0, for all destinations not defined by any other routes.
Examples:
route add default 129.34.10.1 -hopcount 1
route add -host 9.67.96.4 129.34.10.1
route add -net 9.1.2 router.ibm.com -netmask 255.255.255.0 -hopcount 3
route delete -net 9.37.47 -netmask 255.255.240.0
route change -host 9.67.96.4 -mtu 1492
route change -net 128.1.1 -lock -mtu 1492 -rtt 4321
route get -host 9.67.96.4
route -n flushTraceroute ( tracerte onder OS/2 en Linux, tracert onder NT ) geeft de weg weer van uw IP adres naar een andere host. De weg naar uw eigen provider (hieronder) is natuurlijk kort, maar ga je verder dan kom je tientallen tussenstations (routers) tegen.
[F:\]tracerte www.demon.nl 0 * * * 1 du-ams-202.access.nl.demon.net (195.11.247.202) 109 ms 94 ms 109 ms 2 cow-2.access.nl.demon.net (195.11.247.130) 101 ms 289 ms 94 ms 3 hotel.router.nl.demon.net (194.159.73.248) 101 ms 109 ms 149 ms 4 www-3.www.nl.demon.net (195.11.243.23) 109 ms 109 ms 109 ms [F:\]tracerte -help Usage: tracerte [-dnrv] [-w wait] [-m max_ttl] [-p port#] [-q nqueries] [-t tos] [-s src_addr] host [data size] Traceroute
Nslookup (OS/2, Linux, NT) is vooral bedoeld voor het opsporen van domeinen. Het gaat om een test voor de DNS. De door mij ingestelde DNS server van Demon geeft zonder blikken en blozen het IP adres van mijn domein. Dat is logisch, want Demons naamserver(ns-cache-1.ns.nl.demon.net) is verantwoordelijk voor de hosts in het domein demon.nl.
[F:\]nslookup sjoerd-visser.demon.nl Server: ns-cache-1.ns.nl.demon.net Adres: 194.159.73.136 Naam: sjoerd-visser.demon.nl Adres: 195.173.244.121
Vraag je de de DNS server van Demon om het IP adres van IBM, dan blijken er meerdere adressen voor www.ibm.com te bestaan. Demon geeft een "Antwoord zonder machtiging", d.w.z dat de cache ingangen voor "www.ibm.com" bevat, maar dat hier de "authoritative" DNS server van het domein www.ibm.com niet geraadpleegd is.
[F:\]nslookup www.ibm.com Server: ns-cache-1.ns.nl.demon.net Adres: 194.159.73.136 Antwoord zonder machtiging: Naam: www.ibm.com Adressen: 198.133.16.99, 198.133.17.99, 204.146.80.99, 204.146.81.99
Het commando "host domein" geeft aan dat 198.133.17.99 gebruikt moet worden. Overigens gaven de door nlookup geleverde IP adressen hetzelfde resultaat.
[F:\]host www.ibm.com www.ibm.com = 204.146.81.99 [F:\]arp ibm.com ibm.com (198.133.17.99) -- geen item
Met iptrace kunt u al het netwerkverkeer loggen. Voor hulp type "help iptrace".
De volgende opdracht logt het verkeer op lan0:
F:\>iptrace -i lan0 lan0: tracing enabled lan0:[ 0.000]: Dest: 192.168.1.5 Source: 120.168.1.10 lan0:[ 0.922]: Dest: 192.168.1.5 Source: 192.168.1.1 lan0:[ 1.343]: Dest: 192.168.1.2 Source: 192.168.1.5
Met Ctr-c maakt u er een einde aan. Vergeet dit niet want anders maakt het "dumpbestand" F:\iptrace.dmp uw vaste schijf vol. Iptrace schrijft de transacties op het scherm, maar de inhoud op de schijf.
Het iptrace dumpbestand bestand is meet een eenvoudige viewer al goed te doorzoeken op de Unix plain text passwords van ftpd en sendmail. Lan Manager "plain text passwords" zult u er niet vinden. Want deze NetBIOS en NetBIOS via TCP/IP wachtwoorden zijn versleuteld. Vanaf Windows 3.11 maken MS en OS/2 Lan Manager en clients al van encryptie gebruik. Dit versleutelingssysteem werd in NT SP3 sterk verbeterd. Daarna weigerde NT en latere en andere opgewaardeerde MS Lan manager clients contact te maken met serves die onversleutelde wachtwoorden ondersteunden.
Het iptrace.dmp bestand kan in een leesbare vorm opgemaakt worden met de opdracht ipformat:
ipformat f:\iptrace.dmp >iptrace_lan0.txt
Deze tekstbestanden zijn vaak megabytes groot.