30 Temmuz 2019 Cihan Dikmen 0Comment

Merhaba arkadaşlar. Bu makalemizde netstat komutları hakkında bilgi sahibi olacağız.

Bilindiği gibi cihazlar, network üzerinde iletişim ve bilgi alışverişi yaparken, internet yapısından içeri girmek istemesi gibi durumlarda bazı protokolleri kullanmaktadır. Bu protokoller, belirli standartlara göre yazılır ve her bir cihaz network ve internet üzerinde gezinirken bu protokoller çerçevesinde iletişim kurarlar. Örneğin bir bilginin karşı tarafa güvenli bir şekilde gidip gitmediğini kontrol eden ve güvenli bir iletişim sağlayan protokol TCP iken, bir bilginin kaynak ve hedef bilgilerinin belirlenmesi işlemi IP protokolü ile yapılmaktadır. İletişimin hızlı olması için (güvenliliği önem taşımayan) verilerin aktarımında ise UDP protokolü kullanılır.

Bazı protokoller; cihazlar üzerinde sürekli açık olarak (dinlenilebilir) kalmalı ki her istenildiğinde iletişim ve bilgi alış verişi sağlanabilsin. Tabi bu durum istenmedik sonuçlara da yol açabilmektedir. Port üzerinden saldırılar genel itibariyle 139, 445 gibi portlar üzerinden olmaktadır.

NETSTAT: NETwork STATistic kelimelerinden meydana gelmiş, bilgisayar üzerindeki portların kontrolünü yapabildiğimiz, istatistik durumlarına bakabildiğimiz bir komut yapılandırmasıdır. Bu komut ile bilgisayar üzerindeki portları kontrol edip gereği gibi yapılandırabilmemiz mümkündür.

Bilgisayar üzerindeki açık portları görüntüleyerek NETSTAT komutlarına bir giriş yapalım. Komut satırını yönetici olarak açmamız gerekir. (Bazı parametreleri standart kullanıcı ile açmaz) Komut satırını açmak için;

1- Başlat > çalıştır > cmd yazarak,

2- C:\Users\”kullanıcınız”\AppData (gizli olabilir)\Roaming\Microsoft\Windows\Start Menu\Programs\System Tools üzerinden,

3- Başlat + X ‘e basarak “Komut İstemi” kısmından açabiliriz.

Komut istemcisini açtıktan sonra ” netstat /? ” şeklinde bir komut verdiğimiz zaman,

şeklinde parametreler  görüntülenecektir. Bu parametreler sayesinde IP ve Port kısımlarını detaylarıyla görebilmekteyiz. Şimdi bu detaylara değinelim.

Netstat: Bu komut bilgisayar üzerindeki aktif portları getiren komuttur.

Yukarıda görüldüğü gibi bir komut dizini gelecektir. Bu kısımda “Active Connection” yazısından da belli olduğu üzere aktif portların durumu görüntülenir. Bakıldığında “Proto”, “Local Adress”, “Foreign Adress” ve “State” gibi bölümler görülmektedir. Bu bölümleri de kısaca açıklayalım.

Proto: Bu kısımda Port’un adı mevcuttur. Yani hangi port üzerinden bağlantı yapıldı ise o port’un adını verir. (TCP , UDP vs.)

Local Adress: Bu kısımda gördüğümüz bilgi Local IP ve port numarasıdır.

Foreign Adress: Bu kısımda NETSTAT komutu “-n” parametresiyle yazılmadıkça bağlantı kurulan IP yi ve port numarasını verir. Eğer “-n” komutuyla beraber verilirse sadece IP adresi görülecektir.

State: Bu kısımda ilgili port’un durumu hakkında bilgi verilmektedir.  (Established, Listening, Time_Wait, Close_Wait gibi. )

Netstat Durumu

State (Durum) bilgilerini hızlıca inceleyelim.

LISTENING        : Bilgisayar gelen bağlantı isteğini dinliyor.
SYN_RCVD        : Uzak bilgisayar bağlantı isteğinde bulunmuş.
SYN_SEND         : Bilgisayarımız bağlantıyı kabul etmiş.
ESTABLISHED  : İki bilgisayar (yerel ve uzak) bağlantı kurmuş.
CLOSING             : Uzak bilgisayar bağlantıyı kapatmaya karar vermiş.
CLOSE_WAIT    : Uzak bilgisayar bağlantıyı kapatıyor.
LAST_ACK          : Bilgisayarımız kapatmadan önce verileri siliyor.
FIN_WAIT1       : Bir bilgisayar bağlantıyı kapatıyor.
FIN_WAIT2       : İki bilgisayar bağlantıyı kapatıyor.

Netstat komutlarını parametreleriyle beraber inceleyecek olursak;

Netstat -a: Bu komut aktif olan portların (TCP-UDP) listesini vermektedir. (cv-a = active)

Netstat -b: Bu komut Aktif portları gösterirken, hangi uygulamanın bu portu kullandığını da gösterir.

Uygulamalar chrome.exe ve firefox.exe bilgisayar üzerinden belirlenen portlar üzerinden işlem görür. En sağ kısımda da gördüğümüz üzere “ESTABLISHED” yazısı , soket bağlantının kurulduğunu göstermektedir.

Netstat -e: Ehternet istatistiklerini gösterir. Bu durumda alınan ve gönderilen paketlerin değerlerini, varsa hataların durumuna bakabiliriz.

Netstat -f: Yabancı adresler için etki adlarını FQDN bilgisi ile görüntüler.

Netstat -n: Adres ve bağlantı noktalarını sayısal olarak görüntüler.

Netstat -o: Her bağlantı için sahip işlem kimliğini görüntüler (PID)

Netstat -p: Proto kısmında gösterilen bağlantıları listeler. “netstat -sp” şeklinde yazılırsa TCP ve UDP bağlantıların istatistiğini ve durumunu verir. Eğer “netstat -sp TCP” denirse, sadece TCP protokol istatistik ve durumunu verir.

Netstat -r: Yönlendirme tablosunu görüntüler.

Netstat -s: Her protokolün ayrı ayrı istatistiklerini gösterir. Extra parametre ile de istenilen protokol istatistiği izlenebilir. “netstat -sp UDP” veyahut “netstat -sp ICMP” gibi.

Netstat -t: Geçerli bağlantı boşaltma durumunu görüntüler.

Bunlara ek olarak da;

Hem ethernetin hem de protokollerin istatistiklerini görüntülemek için “Netstat -e-s” komutu verilir.

Yalnızca istenen protokollerin durumunu görmek için ise,

“Netstat -s -p tcp”,

“Netstat -s -p udp”

şeklinde kullanabiliriz.

Bir başka makalede görüşmek üzere…

Cihan Dikmen
/System and Network Specialist\

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir