【浅谈趣说网络知识】第十弹 保护安全居家必备的网络命令netstat

记得有段时间特别喜欢看恐怖小说，看的最多就是余以键的小说，印象最深的就是《背后有人》，大晚上看的我后脊梁骨直发冷。其实这种现实中的暗中窥视，你不一定会碰到而且还比较容易发现。但是在这个网络时代，你更有可能被人从网上偷窥而毫无知觉。

这里我就大家说一个保护安全居家必备的网络命令—netstat,这个命令可以查看本机正在进行的网络通讯情况的详细信息，简单的说，就是你通过它可以看到你家那个门开着，有谁在跟外面联系，也可以知道谁在偷窥你家，试图侵入或者企图勾搭你家**。下面我使用win7环境下的natstat解说下基本方法。

网络通讯传递信息数据一般需要三项基本要素结合，即 IP地址+端口+服务，IP地址相当于门牌号，端口相当于开的门（当然这种门不止一扇，一个服务对应一扇门），服务就是具体提供的功能。举个最简单的例子，我们浏览网易的网页，就表现为: 网易web服务器IP地址+80端口+http(服务)。

我们现在看下键入netstat,看下它最简单的显示情况会带给我们什么信息

第一列 是网络协议。这个信息可以结合端口号，判断一些不知名的服务。你如果要问我怎么判断，我告诉你---就是去问百度大神。

第二列 是本地地址和本地侦听端口。这个本地地址就是你这台电脑的IP地址。在这个IP地址的冒号后面的数字就是本机正在侦听准备接收信息使用的端口。

当本机对外提出一个网络服务需求以后，就开着对应的这个门等着接收相应的信息。

这里我们再看下面的图，大家有没有发现什么。

没错，外部地址显示的都是HTTPS服务，本地地址这边有多个端口。这个说明了什么呢？说明了你这台机器上有多个程序向外请求https服务。同样的HTTPS信息发过来，为了把对应的信息发给对应的程序，就使用不同的端口进行区分，各人进各门。这个端口就是本地入口方向的端口。

第三列 是外部地址。显示的模式跟本地地址一样，先是远端设备的IP地址，冒号后面是端口号，如果是知名端口和注册端口，则会直接显示服务名称，如果不是就显示相应的端口号。这个端口就是外部出口方向的端口.

第四列 是状态。显示信息表示目前端口处在的活动状态，主要有四种：

LISTEN:在监听状态中;

ESTABLISHED:已建立联机的联机情况;

TIME_WAIT:该联机在目前已经是等待的状态;

CLOSE_WAIT: 被动关闭的状态

前三种状况顾名思义，都比较好理解。就是第四种CLOSE_WAIT: 被动关闭的状态，比较特别。正常端口关闭的简单过程是：客户端告诉服务器，我要关闭了，服务器回复OK，并开始处理善后事宜；服务器后续处理好后，再告诉客户端我搞定了，你可以关闭了。客户端收到后确认，服务端关闭。而CLOSE_WAIT，就是客户端告诉服务器，我要关闭了，但是服务端收到信息后,一直没有处理好后续事宜,做最后一轮确认。

有了上面这些基础的知识，我们再使用上两个netstat重要的参数-a和-b。

-a 就是显示所有连接和监听端口

-b 就是显示包含于创建每个连接或监听端口的可执行组件

使用这两个参数加持以后，就可以清楚的看到什么样的程序在使用那个端口在跟什么地方通讯了。如果显示的信息里面有奇怪的进程使用奇怪的端口，你就要怀疑电脑有没有问题了。然后通过百度搜索相应的信息，就可以知道情况了。

我是挨踢栋哥。希望我的文章对您有所帮助。有什么问题可以在评论里面留言，我会及时回复大家。谢谢您来过。有什么不足之处敬请斧正。

我是挨踢栋哥