win2003網路異常檢測

ifsapp

• 察看Server的log紀錄：開始/系統管理工具/事件檢視器/系統
• 檢查網卡硬體設置：硬體/裝置管理員/網路介面卡 檢視安裝的網路卡是否都在內
• 檢查網路連線組態：檢查ip, mask, getway, dns等設置
• 檢查網卡是否作用：ping 127.0.0.1 (loopback test)
• 檢查本身IP：ping 本身IP
• 檢查與getway的連線：ping GATEWAY的IP
• 檢查網路封包是否正常傳送：ping 168.95.192.1 (看看封包是否能正常送到hinet的DNS server)
• 檢查封包傳送過程的router狀況：tracert www.hinet.net / 168.95.192.1 (當ping不通時建議使用)
• 檢查防火牆設置
  

常用的網路指令pingping用於確定本地主機是否能與另一台主機交換（發送與接收）資料。根據返回的訊息，你就可以推斷TCP/IP參數是否設置正 確以及運作是否正常。 Windows上的Ping指令預設發送4個ICMP封包(32byte)，如果一切正常，應能得到4個回應封包。Ping還能顯示TTL（Time To Live存在時間）值，你可以通過TTL值推算一下封包已經通過了多少個路由器。netstatnetstat用於顯示與IP、TCP、UDP和ICMP等協定的統計資料，一般用於檢驗本機各埠的網絡連接情況。ipconfigipconfig用於查詢目前電腦的網路組態，包括IP位址、MAC硬體位址、Gateway、子網路遮罩、DHCP主機、DNS主機& hellip;等等資訊。arparp用於確定對應IP的網卡實際位址。tracerttracert命令可以用來追蹤封包使用的路由(路徑)。pathpingpathping的功能與tracert很類似，一樣可以偵測本機電腦到對方電腦的所經路徑，並列出經過的全部節點。不過 pathping有一個更實用的 功能，它可以顯示各節點的資料封包遺失狀況，讓我們可以直接判斷是哪台路由器或電腦造成連線速度驟減或其他網路障礙。routeroute命令可以用來顯示和修改路由表的內容。nbtstatnbtstat命令用來提供關於NetBIOS的統計資料。運用NetBIOS，你可以查看本機或遠方主機的NetBIOS名字表格。netnet命令有很多函數可用於電腦之間的NetBIOS連接，如net view、net config和net use等。如何判斷哪些程式使用或阻礙特定的TCP 連接埠(port)

• 使用微軟的netstat -o 指令，再配合tasklist 指令
• 使用微軟的netstat -b 指令
• 使用微軟的portqry 指令
• 使用免費工具
  

ps.winxp以後的netstat 指令才有 -o 與 -b 的參數，但不適用於Win2k, Win2k只能使用portqry指令，Win2003 Server也無法使用-b參數。

1.使用-o 參數，可以用來顯示與每個連線相關的處理程序識別碼 (PID)。

D:\Documents and Settings\peter>netstat -ano

Active Connections

Proto Local Address Foreign Address State PID
TCP 0.0.0.0:22 0.0.0.0:0 LISTENING 408
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 2656
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 1132
TCP 0.0.0.0:443 0.0.0.0:0 LISTENING 2656
......
TCP 140.128.77.194:1034 207.46.107.86:1863 ESTABLISHED 2360
......

再利用tasklist 指令，就可以將列出的處理程序識別碼(PID)與處理程序名稱 (程式) 做比較。

D:\Documents and Settings\peter>tasklist
Image Name                  PID  Session Name     Session#    Mem Usage
========================= ====== ================ ======== ============
System Idle Process            0 Console                 0         16 K
System                         4 Console                 0        284 K
smss.exe                     704 Console                 0        392 K
csrss.exe                    752 Console                 0      6,940 K
winlogon.exe                 776 Console                 0      4,284 K
services.exe                 820 Console                 0      6,380 K

2.使用-b 參數，除可顯示與每個連線相關的PID之外，還能顯示該PID對應的程式或函式名稱。目前僅有WinXP支援此參數

D:\Documents and Settings\peter>netstat -anb

Active Connections

Proto Local Address Foreign Address State PID
TCP 0.0.0.0:22 0.0.0.0:0 LISTENING 408
[sshd.exe]

TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 2656
[Skype.exe]

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 1132
d:\windows\system32\WS2_32.dll
D:\WINDOWS\system32\RPCRT4.dll
d:\windows\system32\rpcss.dll
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\ADVAPI32.dll
[svchost.exe]

TCP 0.0.0.0:443 0.0.0.0:0 LISTENING 2656
[Skype.exe]
......

3. 使用PortQry Command Line Port Scanner工具程式

PortQry Command Line Port Scanner 2.0 是微軟的命令列公用程式，此公用程式會報告本機電腦或遠端電腦上，目標 TCP 及「使用者資料包通訊協定」(UDP，User Datagram Protocol) 連接埠的連接埠狀態。

• 執行該程式後會解壓縮檔案到 C:\PortQryV2 目錄
• 開啟命令提示字元
  c:
  cd \portQryv2
  portqry -local | more
  
  

4.使用免費工具TCPView用來檢測系統的埠號或網路連線是由那個Process所開啟ActivePorts同TCPview，用來檢測系統的埠號或網路連線是由那個Process所開啟ProcessExplorer列出WindowsNT/2000/XP目前所執行的Process及相關資訊