NETSTAT ile Ağ Analiz Yapmak

TCP/IP iletişim tarzında iletişim, iki hostun birbiriyle paket alışverisi yapma prensibine dayanır.

Yukarıda göreceğiniz üzere;
netstat -an komutuyla bilgisayarımızın bağlantıda olduğu tüm port ve ip’leri gözlemleyebiliyoruz. State (durum) kısmında bağlantıyla ilgili bilgileri de ayrıca görebiliyoruz.

• Listening: Bu durum diğer hosttan bağlantı beklendiğini göstermektedir.
• Established : Bağlantının sağlandığını gösterir.
• Close_wait : bağlantının kapatılmasının beklendiğini göstermektedir.
• Time_wait: Bağlantı sonlandırıldı fakat herhangi bir gecikmiş uygun paket olabileceği öngörüsüyle bağlantı tamamen sonlandırılmıyor.

netstat -a : bu parametre ile tüm aktif oturum ve bağlantılarını görebilirsiniz. Ayrıca host bilgisi de dns yardımıyle size isim olarak döndürülür.

netstat -e : bu parametre ile tüm bağlantılara dair istatistiksel veri bilgileri alabilirsiniz.

netstat -sp : bu parametre yardımıyla her protokole ilişkin istatistiksel veri almak mümkündür.

netstat -b -o 5
parametresi ile netstat komut setini çalıştırdığımızda bize hangi bilgileri verir önce onu inceleyelim.
-b : çalıştırılabilir bir uygulamayla ilişkilendirilmiş bağlantıları gösterir
-o : her bağlantının kimlik bilgilerini gösterir.
-5 : burada 5’in aslında çok fazla bir önemi yok, buradaki sayı değeri kadar bilgi döner. ayrıca bu döngüde durdurmak istediğinizde ctrl+c ile durdurabilirsiniz.

Siz bu parametreyi kullandığınızda bilgisayarınızda çalıştırılabilir tüm uygulamalar ve yağtığı bağlantıları görebilirsiniz.

eğer explorer.exe gibi veya aslında windows’un yerleşik bir uygulaması olmasına rağmen farklı bir internet adresine bağlantı yapıyorsa, bu mutlaka zararlı bir işlemdir ve kapatılmalıdır.

Yukarıdaki explorer.exe PID numarası bizim çıkış noktamız olacak.ilgili PID=Process ID numarasını bularak işlemi sonlandırabilir, çalışan .exe’ye gidebilir, silme işlemini yapabilirsiniz.