شرح الأداة Netstat في نظام ويندوز

NETSTAT

في نظام ويندوز

المقدمة:

تستخدم الأداة "NETSTAT" في عرض معلومات عن الاتصالات بالشبكة و البروتوكولات المستخدمة مع المنافذ المستخدمة و التي تنتظر الاتصال و العناوين المتصلة لحاسبك وتتواجد على نظامي ويندوز و لينكس وسأبدأ بشرح استخدام الأداة على نظام ويندوز ثم نظام لينكس (أن شاء الله) .

الاستخدام :

يقدم برنامج "NETSTAT" معلومات الاتصال على شكل نصي لذا يجب استخدام مترجم الأوامر "cmd" لكي تستطيع التعامل معه,(أذا أردت التعرف على مترجم الأوامر أضغط الرابط" .

قم بطباعة الأمر "NETSTAT" في مترجم الأوامر , سيكون المخرجات كالتالي:

Active Connections

  Proto  Local Address          Foreign Address        State

TCP    DELL-LAPTOP:211   www.google.com:80 ESTABLISED

هذا الأمر سيظهر الاتصالات الجارية فقط , نبدأ بشرح المعطيات :

proto: نوع البرتوكول المستخدم في الاتصال (TCP, UDP)

Local Address: عنوان الجهاز المستخدم (جهازك) و المنفذ المستخدم , لاحظ أنه يفصل بين أسم الحاسب و المنفذ باستخدام ":" .

Foreign Address: عنوان الحاسب الذي يتم الاتصال به مع رقم المنفذ , يفصل بينها بـ ":".

State: حالة الاتصال و في هذه الحالة "ESTABLISED" , و لكي تفهم الحالات الأخرى سأتطرق بشكل مبسط لبرتوكول "TCP" و "UDP".

البرتوكول "TCP" :

يعتمد برتوكول "TCP" على Flags)-أعلام( في الحزمة للتحكم بعملية الاتصال كما في عملية الاتصال العادية  والتي تسمى عملية "3-Way Hand Shack" لبدأ الاتصال أنظر النموذج :

 

1-يقوم حاسبك بإرسال طرد "TCP" يكون فيه العلم (Flag) "ACK" موجود ليطلب الاتصال لنفترض أنه المنفذ 80 تكون حالة الاتصال في الحاسب العميل "SYN_SENT" .

2-في حالة كون المنفذ متاح على الحاسب "Server", أي أن المنفذ في وضعية  انتظار الاتصال "LISTENING" في هذه الحالة يرسل الخادم "SERVER" طرد "TCP"  يحمل العلمين (Flag) "SYN/ACK" إلى المنفذ الذي صدر منه الطلب على حاسبك لنفترض أن 2443 و تكون حالة الاتصال في الخادم(ٍSERVER) "SYN_RCVD".

3- تصبح حالة الاتصال في العميل "Client" "ESTABLISHED" متصل ,لتأكيد الطلب يرسل حاسبك طرد "TCP" يحمل العلم (Flag) "ACK".

4-عند استلام الحزمة من العميل , تتحول حالة الاتصال إلى  "ESTABLISHED" متصل.

في حالة إنهاء الاتصال تكون كالتالي:

1-يرسل أحد أطراف الاتصال حزم "TCP" مع العلم "Flag" (FIN) الذي يرمز لطلب إنهاء الاتصال تصبح حالة الاتصال (FIN_WAIT_1).

2- عند استلام الحزم التي تحتوي على طلب إنهاء الاتصال يتحول حالة الاتصال في الخادم إلى "CLOSE_WAIT".

3-يرسل الخادم حزمة تحتوي على العلم "Flag" (ACK) إلى العميل , تتحول حالة الاتصال في العميل إلى "FIN_WAIT_2" .

4-يرسل الخادم حزمة تحتوي على العلم "Flag" (FIN) , وتتحول حالة الاتصال إلى "LAST_ACK" في الخادم.

5-عند استقبال "LAST_ACK" , يقوم العميل بتحويل حالة الاتصال لديه إلى "TIME_WAIT" ,أي أنه ينتظر لإنهاء الاتصال , ويقوم أيضا بإرسال حزمه تحتوي على العلم "Flag" (ِACK)
 

6- عند استلام الخادم (SERVER) لحزمة من العميل , يقوم بإغلاق الاتصال. 

البرتوكول UDP:

يعتمد البرتوكول "UDP" على طريقة اتصال أقل تعقيدا كما في المثال التالي:

في البرتوكول "UDP" يحتوي على حالتين لمنفذ برتوكول "UDP" و هي :

1-      LISTENING ( حالة انتظار الاتصال)

2-      ESTABLISED (في حالة الاتصال النشط)

 

المعلمات :

الأمر	الشرح
-a	عرض جميع الاتصالات , و المنافذ المستخدمة و التي في حالة انتظار لاتصال " LISTENING".
-e	عرض إحصائيات مثل عدد البايتات المرسلة و المستقبلة و الأخطاء.
-n	تقوم بعرض العناوين الرقمية "IP ADDRESS" بدل الأسماء .
-o	يقوم بعرض معرف العملية (رقم يستخدم في ويندوز لتعريف العمليات) PID .
-p	تحديد البرتوكول المراد عرض الإحصائيات له (TCP,UDP,TCPv6)
-b	عرض الملفات التنفيذية التي قامت بإنشاء الاتصال .
(رقم الثواني)	تستطيع أن تضع عدد يرمز للثواني التي يقوم فيها برنامج "Netstat" بتحديث الإحصائيات , و لإيقاف البرنامج أضغط "CTRL+C" , يوضع هذا الرقم في نهاية الأمر.

الأمثلة:

netstat -ano

 سيكون مخرجات البرنامج كالتالي:

ستلاحظ وجود السطر "PID" الذي يدل على معرف البرنامج .

netstat –anb

أنظر التالي كمثال للمخرجات :

  Proto     Local Address          Foreign Address        State           PID 

TCP        0.0.0.0:445                     0.0.0.0:0          LISTENING   4

  [System]

سيعرض الأمر معلومات الاتصال و معرف البرنامج ثم سيعرض في سطر جديد أسم الملف  .

netstat –na 3

سيقوم بعرض جميع الاتصالات الجارية , و بدل أسم الموقع سيعرض "IP" و ستحدث المعلومات كل 3 ثواني إلى أن تضغط "CTRL+C".

استخدام "PID" في ويندوز:

لكي تعرف المزيد من المعلومات عن العمليات التي تستخدم تحاول الاتصال بالشبكة , ستستخدم برنامج "أدارة المهام في ويندوز" , لتشغيل البرنامج أضغط أزرار لوحة المفاتيح "CTRL+ALT+DEL".

1-قم باختيار "العمليات"

2-ثم بأخيار "عرض" ثم "تحديد الأعمدة"

3-قم بتحديد الاختيار "معرف العملية PID".

4-الآن تستطيع البحث بواسطة القيمة "PID" و إنهاء العملية في حالة شكك أن هذه العملية تابعة لبرنامج تجسس.

اقرأ هذا المقال لأنظمة ويندوز الأحدث عن بديل برنامج netstat

https://abgoor.blogspot.com/2021/08/netstat-powershell.html

لغة البرمجة Batch في نظام ويندوز

Batch programming

لغة البرمجة Batch  في نظام ويندوز

ما هو برنامج Batch:

هو ملف نصي يحتوي على مجموعة من الأسطر التي تحتوي على أوامر تنفذه بالتتابع من السطر الأول إلى نهاية الملف, ويكون الملف النصي بالامتداد .bat"" , ويفرر نظام ويندوز XP و Vista مجموعة من الأوامر التي تسمح لغة Batch بأن تتعامل مع جميع مكونات النظام بما فيها الملفات و الشبكات و أيضا حسابات المستخدمين, يتعامل البرنامج "cmd.exe" مع ملفات الباتش, لمعرفة استخدام هذا البرنامج أقرأ الموضوع التالي.

 

كيفية أنشاء ملف batch  بسيط:

شرح مترجم الأوامر في ويندوز و الأوامر الأساسية

شرح مترجم الأوامر في ويندوز

و الأوامر الأساسية

مقدمة:

يستخدم مترجم الأوامر "cmd" لتعامل مع البرامج التي لا تملك واجهة رسومية "GUI" , بل يكون المخرجات على شكل نصي فقط , ويوفر نظام ويندوز أوامر تتعامل مع الملفات والشبكات و أيضا جدولة المهام.

كيفية تشغيل مترجم الأوامر:

تستطيع تشغيل مترجم الأوامر بأكثر من طريقة لكني سأتطرق لطريقتين:

1-      من القائمة "أبدأ" أختر الأمر "تشغيل" ثم أكتب في مربع النص "cmd"

2-      من القائمة "أبدأ" أختر القائمة "البرامج" ثم القائمة "البرامج الملحقة" و أخيرا أختر "موجه الأوامر"

نظرة أولى على مترجم الأوامر :

عند تشغيل مترجم الأوامر ستظهر لك معطيات كالتالي:

Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp. C:\Documents and Settings\>

و شرح المعطيات كالتالي:

المعطيات	الشرح
Microsoft Windows XP [Version 5.1.2600]	رسالة تظهر إصدار ويندوز
(C) Copyright 1985-2001 Microsoft Corp.	رسالة تظهر حقوق النشر
C:\Documents and Settings\>	هذا هو السطر المهم هذا السطر يظهر المجلد الحالي الذي يتعامل معه مترجم الأوامر

الأوامر الأساسية لتعامل مع الملفات و المجلدات:

الأمر	الشرح	مثال
dir	يعرض هذا الأمر محتويات المجلد المحدد و في حالة عدم التحديد سيعرض محتويات المجلد الحالي.	`Dir C:\Windows سيعرض محتويات المجلد C:\Windows
		dir /a C:\ سيقوم بعرض جميع الملفات بما فيها ملفات النظام و المخفية
		Dir /s C:\Windows سيعرض الملفات في المجلد Windows كما سيعرض الملفات في المجلدات الفرعية أيضا
C:	يقوم هذه الأمر بتغير القرص تستطيع وضع الحرف الذي يرمز القرص يليه الحرف ":"	F: سوف يقوم بتغير القرص إلى F:
del	حذف ملف أو مجموعة من الملفات	del file.txt سيحذف الملف المسمى FILE.txt
		Del D:\*.txt سيحذف جميع الملفات النصية من القرص D:
		DEl ????.txt سيحذف الملفات النصية التي تحمل أسم يتكون من 4 حروف
TYPE	عرض محتويات الملفات النصية على الشاشة .	TYPE names.txt سيعرض محتويات الملف النصي names.txt
md	أنشاء مجلد جديد	md test أنشاء المجلد Test
Rd	يستخدم لحذف مجلد , تستخدم التعليمتان : /s:حذف جميع الملفات و المجلدات المنتمية للمجلد /q: عدم أظهار رسالة تطلب تأكيد الحذف	rd /q /s test حذف المجلد test  و جميع الملفات مع عدم رسالة تطلب التاكيد
CLS	مسح الشاشة	CLS
attrib	تغير الخصائص التابعة للملف و عرضها هي:  -r للقراءة فقط H-مخفي A-أرشيف S-ملف نظام و تستخدم التعليمة "+" لإضافة الخاصية  و "-"  لأزالتها	attrib –r  -h –s file.exe سيزيل صفات القراءة فقط و الأرشيف و ملف نظام عن البرنامج File.exe
		attrib c:\ سيعرض الملفات في "C:\" و خصائصها
cd	يقوم بتغير المجلد الحالي بالنسبة لمترجم الأوامر	cd .. يقوم بالخروج من المجلد الحالي ألى المجلد الذي يحتويه
		cd \ يغير الدليل إلى المجلد الذي يرمز للقرص "C:" أو "f:"
		cd c:\Windows يغير الدليل ألى C:\Windows
>	تستطيع بهذه التعليمة تحويل المعطيات من برنامج و حفظها إلى ملف نصي	dir c:\Windows > C:\list.txt يحفظ قائمة الملفات الناتجة عن الأمر Dir في الملف C:\list.txt
help	يعرض هذا الأمر ملفات المساعدة للأوامر الموجودة	HELP cd يعرض شرح لأمر cd
edit	محرر نصي تستطيع التعامل معه باستخدام الماوس	Edit list.txt