전에도 netstat 에 관한 글이 한번 올라왔을때
어떤 분들이 자기는 10명이 훔쳐보고있다 3명이 훔쳐보고 있다
이런 혼란들에 빠지신것 같아서 1시간가량 글을쓰다 날려먹고 올리지 않은적이 있었는데
netstat관련글이 또 올라왔네요;
어떻게 할까 고민하다가 네이버지식인에 잘 정리된 글이있어서 퍼왔습니다.
말이 어려우시면 빨강 글씨만 읽어주세요- ㅠ ㅠ
-----------------------------------------------------------------------------------
Port는 접속 포트이고..
LocalAddress는 사용자의 IP주소이고..
Foreign Address는 상대 IP주소이고..
State는 현재 상태입니다.
State가 Listen이면 포트가 열려가 누군가가 접속하기를 기다리는 중입니다.
만약 님이 웹서핑을 하게 된다면 그 주소까지도 나오게 됩니다.
모든 정보가 누군가가 해킹을 하려고 접속시도를 하는건 아니지요.. ^^;
해킹을 막을려면 방화벽을 설치하는걸 권해 드립니다.
해킹 시도를 하는건 열려있는 특정포트로 접속을 해서 하게 되는데..
방화벽은 포트를 막아 버립니다.
(고급 해커는 방화벽도 뚫습니다.. ^^)
바이러스도 해킹을 위한 바이러스는 포트를 열게 됩니다.
이른바 백도어라고 하지요..
1. netstat : 현재 님 컴퓨터와 연결되었거나 연결될 목록을 프로토콜과 함께 보여주는 도스 명령어입니다.
2. netstat -a : 현재 님컴터와 연결되거나 연결될 목록을 프로토콜과 함께 모두 보여줍니다. -a 옵션이 없으면 연결된 목록만 보여주는데, -a 옵션을 주면 연결되었거나 연결을 기다리는 목록을 모두 보여줍니다.
3. netstat -n : 통상 연결 목록이 컴퓨터 이름이 나오는데, -n 옵션을 주면 컴퓨터이름대신 ip주소가 뜹니다.
4. netstat -an or -na : 둘다 같은 의미인데 님 컴퓨터와 연결되었던 혹은 연결을 기다리는 목록을 아이피주소로 바꾸어서 보여줍니다.
* 도스창 (XP에서는 명령 프롬포트)에서 netstat -a 나 netstat -n을치면 나오는거에요 띄어쓰기주의하세요
Command 모드에서 netstat를 사용하여 PC내의 악성 코드 여부를 확인할 수도 있다.
1. [시작버튼] > [실행]을 눌러서 cmd 라고 입력하여 Command 창을 띄운다.
<참고: CTRL+R 을 누르면 [실행]창이 바로 뜬다.>
<또 참고: Windows 98에서는 cmd 가 아니라 command 라고 해야 command 창이 나온다.>
2. netstat -an
이 명령어를 치면 아래 그림과 같은 메시지가 출력된다.
이 명령어를 치면 아래 그림과 같은 메시지가 출력된다.
앞에 보이는 IP주소(Local Address)는 로컬시스템(내 PC)의 IP주소이며
뒤의 IP주소(Foreign Address)는 나와 네트워크로 연결이 이루어진 시스템의 IP주소이다.
(IP뒤의 ":숫자" 들은 포트 번호이다.)
netstat 명령어는 현재 시스템과 네트워크로 연결이 이루어진 상태를 보여주는 명령어다.
자, 이제 분석 방법이다!(FPORT 블로그에서는 존댓말을 썼었는데 왜 갑자기 반말쓰냐고 욕하지는 마세요;)
먼저 위 메시지의 맨 끝 필드인 State 필드를 보자.
ESTABLISHED는 연결되어있는 상태를 말하며
CLOSED는 이미 연결이 끊어졌음을 말한다.
LISTENING은 현재 시스템에서 열려있는 포트를 말한다.
일단 LISTENING 이라고 되어있는 놈들은 본다.
IP주소는 0.0.0.0으로 된 놈들이 많고 내 IP주소 몇개 안될것이다.
<참고: 0.0.0.0(네트워크 IP) - 이놈을 인식하지 못하면 인터넷을 못한다.>
<또 참고: 127.0.0.1(LocalHost IP) - 이놈은 자기를 스스로 가리킬때 사용하는 주소이다.>
Local Address 필드의 IP는 중요하지 않다. 어차피 거기는 내 컴퓨터의 정보만 나오니까.
중요한것은 LISTENING으로 되어있는, 다시말하면 "열려있는 포트"번호이다.
내 컴퓨터에 몇번 포트들이 열려있는지 살펴본 후에, 만일 그 포트로 접속한 놈이 있다면 90%는 뭔가 이상한 거라고 생각하면 된다.
예를 들어,
0.0.0.0:445 0.0.0.0:0 LISTENING
. . .
. . .
. . .
150.2.50.14:445 68.235.32.153:4461 ESTABLISHED
이렇게 보였다고 하자, 445 번 포트(0.0.0.0:445)가 현재 열려(LISTENING)있음을 알 수 있고,
아래에는 내 445번 포트로(150.2.50.14:445)
웬 68.235.32.153 이라는 놈이 접속(ESTABLISHED)했다는 것이 확 드러났다.
일반 개인 컴퓨터 이므로 누가 내 컴퓨터로 들어올일은 거의 없다!
(P2P로 내 컴퓨터의 폴더가 공유되어 있다면 몰라도..)
아무튼 이런식으로 분석을 하면 되겠다.
그 외의 것들은 죄다 내가 상대방 컴퓨터로 접속한것을 나타내는 것이기 때문에 무시해도 된다. 물론, Reverse 해킹 방식이 있기는 하지만, 그걸 개인 컴퓨터에 적용할 정도로 무식한 크래커는 없을것이다.
netstat 명령어를 치시면 foreign address 라는 게 있죠.
그 곳에 아이피 : 숫자
일케 써있잖아요..
여기서 숫자는 포트라는것 입니다.
컴퓨터의 열려있는 창문이라고 생각하면 되죠.
트로이목마 프로그램이 침투하려면 그 프로그램이 침투할수 있는 고유의 창문 ,즉 포트가 열려있어야 합니다.
서버파일이란게 있는데 그 프로그램이 침투할수있는 포트를 여는 역할을 하죠.
여기서 아까 netstat 명령어 치면 나오는거..
아이피:숫자 있잖아요.
만약에
211.111.111.111 :12345
이렇게 됐으면 12345라는 포트에 211.111.111.111 이라는 아이피가 접속해있다는 겁니다.
12345라는 포트는 넷버스 1.70가 침투할수 있는 포트번호죠...
제가 여러 트로이목마 프로그램이 침투하는 포트번호들을 모아봤습니다.해커뉴스에서 펌
(+만약에 이런 포트번호가 있다면 해킹당하고 있다는것 ㅠ ㅠ)
port 2 - Death
port 21 - Back Construction, Blade Runner, Doly Trojan, Fore, FTP trojan, Invisible FTP, Larva, MBT, Motiv, Net Administrator, Senna Spy FTP Server, WebEx, WinCrash
port 23 - Tiny Telnet Server, Truva Atl
port 25 - Aji, Antigen, Email Password Sender, Gip, Happy 99, I Love You, Kuang 2, Magic Horse, Moscow Email Trojan, Naebi, NewApt, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy
port 31 - Agent 31, Hackers Paradise, Masters Paradise
port 41 - DeepThroat
port 48 - DRAT
port 50 - DRAT
port 59 - DMSetup
port 79 - Firehotcker
port 80 - Back End, Executor, Hooker, RingZero
port 99 - Hidden Port
port 110 - ProMail trojan
port 113 - Invisible Identd Deamon, Kazimas
port 119 - Happy 99
port 121 - JammerKillah
port 123 - Net Controller
port 133 - Farnaz, port 146 - Infector
port 146 (UDP) - Infector
port 170 - A-trojan
port 421 - TCP Wrappers
port 456 - Hackers Paradise
port 531 - Rasmin
port 555 - Ini-Killer, NeTAdministrator, Phase Zero, Stealth Spy
port 606 - Secret Service
port 666 - Attack FTP, Back Construction, NokNok, Cain & Abel, Satanz Backdoor, ServeU, Shadow Phyre
port 667 - SniperNet
port 669 - DP Trojan
port 692 - GayOL
port 777 - Aim Spy
port 808 - WinHole
port 911 - Dark Shadow
port 999 - DeepThroat, WinSatan
port 1000 - Der Spacher 3
port 1001 - Der Spacher 3, Le Guardien, Silencer, WebEx
port 1010 - Doly Trojan
port 1011 - Doly Trojan
port 1012 - Doly Trojan
port 1015 - Doly Trojan
port 1016 - Doly Trojan
port 1020 - Vampire
port 1024 - NetSpy
port 1042 - Bla
port 1045 - Rasmin
port 1050 - MiniCommand
port 1080 - WinHole
port 1081 - WinHole
port 1082 - WinHole
port 1083 - WinHole
port 1090 - Xtreme
port 1095 - RAT
port 1097 - RAT
port 1098 - RAT
port 1099 - BFevolution, RAT
port 1170 - Psyber Stream Server, Streaming Audio trojan, Voice
port 1200 (UDP) - NoBackO
port 1201 (UDP) - NoBackO
port 1207 - SoftWAR
port 1212 - Kaos
port 1225 - Scarab
port 1234 - Ultors Trojan
port 1243 - BackDoor-G, SubSeven, SubSeven Apocalypse, Tiles
port 1245 - VooDoo Doll
port 1255 - Scarab
port 1256 - Project nEXT
port 1269 - Mavericks Matrix
port 1313 - NETrojan
port 1338 - Millenium Worm
port 1349 (UDP) - BO DLL
port 1492 - FTP99CMP
port 1509 - Psyber Streaming Server
port 1524 - Trinoo
port 1600 - Shivka-Burka
port 1777 - Scarab
port 1807 - SpySender
port 1966 - Fake FTP
port 1969 - OpC BO
port 1981 - Shockrave
port 1999 - BackDoor, TransScout
port 2000 - Der Spaeher 3, Insane Network, TransScout
port 2001 - Der Spaeher 3, TransScout, Trojan Cow
port 2002 - TransScout
port 2003 - TransScout
port 2004 - TransScout
port 2005 - TransScout
port 2023 - Ripper
port 2080 - WinHole
port 2115 - Bugs
port 2140 - Deep Throat, The Invasor
port 2155 - Illusion Mailer
port 2283 - HVL Rat5
port 2300 - Xplorer
port 2565 - Striker
port 2583 - WinCrash
port 2600 - Digital RootBeer
port 2716 - The Prayer
port 2773 - SubSeven
port 2801 - Phineas Phucker
port 3000 - Remote Shutdown
port 3024 - WinCrash
port 3128 - RingZero
port 3129 - Masters Paradise
port 3150 - Deep Throat, The Invasor
port 3456 - Teror Trojan
port 3459 - Eclipse 2000, Sanctuary
port 3700 - Portal of Doom
port 3791 - Eclypse
port 3801 (UDP) - Eclypse
port 4000 - Skydance
port 4092 - WinCrash
port 4242 - Virtual hacking Machine
port 4321 - BoBo
port 4444 - Prosiak, Swift remote
port 4567 - File Nail
port 4590 - ICQTrojan
port 5000 - Bubbel, Back Door Setup, Sockets de Troie
port 5001 - Back Door Setup, Sockets de Troie
port 5010 - Solo
port 5011 - One of the Last Trojans (OOTLT)
port 5031 - NetMetropolitan
port 5031 - NetMetropolitan
port 5321 - Firehotcker
port 5343 - wCrat
port 5400 - Blade Runner, Back Construction
port 5401 - Blade Runner, Back Construction
port 5402 - Blade Runner, Back Construction
port 5550 - Xtcp
port 5512 - Illusion Mailer
port 5555 - ServeMe
port 5556 - BO Facil
port 5557 - BO Facil
port 5569 - Robo-Hack
port 5637 - PC Crasher
port 5638 - PC Crasher
port 5742 - WinCrash
port 5882 (UDP) - Y3K RAT
port 5888 - Y3K RAT
port 6000 - The Thing
port 6006 - The Thing
port 6272 - Secret Service
port 6400 - The Thing
port 6667 - Schedule Agent
port 6669 - Host Control, Vampyre
port 6670 - DeepThroat, BackWeb Server, WinNuke eXtreame
port 6711 - SubSeven
port 6712 - Funny Trojan, SubSeven
port 6713 - SubSeven
port 6723 - Mstream
port 6771 - DeepThroat
port 6776 - 2000 Cracks, BackDoor-G, SubSeven
port 6838 (UDP) - Mstream
port 6912 - Shit Heep (not port 69123!)
port 6939 - Indoctrination
port 6969 - GateCrasher, Priority, IRC 3, NetController
port 6970 - GateCrasher
port 7000 - Remote Grab, Kazimas, SubSeven
port 7001 - Freak88
port 7215 - SubSeven
port 7300 - NetMonitor
port 7301 - NetMonitor
port 7306 - NetMonitor
port 7307 - NetMonitor
port 7308 - NetMonitor
port 7424 - Host Control
port 7424 (UDP) - Host Control
port 7789 - Back Door Setup, ICKiller
port 7983 - Mstream
port 8080 - RingZero
port 8787 - Back Orifice 2000
port 8897 - HackOffice
port 8988 - BacHack
port 8989 - Rcon
port 9000 - Netministrator
port 9325 (UDP) - Mstream
port 9400 - InCommand
port 9872 - Portal of Doom
port 9873 - Portal of Doom
port 9874 - Portal of Doom
port 9875 - Portal of Doom
port 9876 - Cyber Attacker, RUX
port 9878 - TransScout
port 9989 - iNi-Killer
port 9999 - The Prayer
port 10067 (UDP) - Portal of Doom
port 10085 - Syphillis
port 10086 - Syphillis
port 10101 - BrainSpy
port 10167 (UDP) - Portal of Doom
port 10528 - Host Control
port 10520 - Acid Shivers
port 10607 - Coma
port 10666 (UDP) - Ambush
port 11000 - Senna Spy
port 11050 - Host Control
port 11051 - Host Control
port 11223 - Progenic trojan, Secret Agent
port 12076 - Gjamer
port 12223 - Hack´99 KeyLogger
port 12345 - GabanBus, My Pics, NetBus, Pie Bill Gates, Whack Job, X-bill
port 12346 - GabanBus, NetBus, X-bill
port 12349 - BioNet
port 12361 - Whack-a-mole
port 12362 - Whack-a-mole
port 12623 (UDP) - DUN Control
port 12624 - Buttman
port 12631 - WhackJob
port 12754 - Mstream
port 13000 - Senna Spy
port 13010 - Hacker Brazil
port 15092 - Host Control
port 15104 - Mstream
port 16660 - Stacheldracht
port 16484 - Mosucker
port 16772 - ICQ Revenge
port 16969 - Priority
port 17166 - Mosaic
port 17300 - Kuang2 The Virus
port 17777 - Nephron
port 18753 (UDP) - Shaft
port 19864 - ICQ Revenge
port 20001 - Millennium
port 20002 - AcidkoR
port 20034 - NetBus 2 Pro, NetRex, Whack Job
port 20203 - Chupacabra
port 20331 - Bla
port 20432 - Shaft
port 20432 (UDP) - Shaft
port 21544 - GirlFriend, Kidterror, Schwindler, WinSp00fer
port 22222 - Prosiak
port 23023 - Logged
port 23432 - Asylum
port 23456 - Evil FTP, Ugly FTP, Whack Job
port 23476 - Donald Dick
port 23476 (UDP) - Donald Dick
port 23477 - Donald Dick
port 26274 (UDP) - Delta Source
port 26681 - Spy Voice
port 27374 - SubSeven
port 27444 (UDP) - Trinoo
port 27573 - SubSeven
port 27665 - Trinoo
port 29104 - Host Control
port 29891 (UDP) - The Unexplained
port 30001 - TerrOr32
port 30029 - AOL Trojan
port 30100 - NetSphere
port 30101 - NetSphere
port 30102 - NetSphere
port 30103 - NetSphere
port 30103 (UDP) - NetSphere
port 30133 - NetSphere
port 30303 - Sockets de Troie
port 30947 - Intruse
port 30999 - Kuang2
port 31335 (UDP) - Trinoo
port 31336 - Bo Whack, ButtFunnel
port 31337 - Baron Night, BO client, BO2, Bo Facil
port 31337 (UDP) - BackFire, Back Orifice, DeepBO, Freak>
port 31338 - NetSpy DK, ButtFunnel
port 31338 (UDP) - Back Orifice, DeepBO
port 31339 - NetSpy DK
port 31666 - BOWhack
port 31785 - Hack´a´Tack
port 31787 - Hack´a´Tack
port 31788 - Hack´a´Tack
port 31789 (UDP) - Hack´a´Tack
port 31791 (UDP) - Hack´a´Tack
port 31792 - Hack´a´Tack
port 32100 - Peanut Brittle, Project nEXT
port 32418 - Acid Battery
port 33333 - Blakharaz, Prosiak
port 33577 - PsychWard
port 33777 - PsychWard
port 33911 - Spirit 2001a
port 34324 - BigGluck, TN
port 34555 (UDP) - Trinoo (Windows)
port 35555 (UDP) - Trinoo (Windows)
port 37651 - YAT
port 40412 - The Spy
port 40421 - Agent 40421, Masters Paradise
port 40422 - Masters Paradise
port 40423 - Masters Paradise
port 40426 - Masters Paradise
port 41666 - Remote Boot
port 41666 (UDP) - Remote Boot
port 44444 - Prosiak
port 47262 (UDP) - Delta Source
port 50505 - Sockets de Troie
port 50766 - Fore, Schwindler
port 51996 - Cafeini
port 52317 - Acid Battery 2000
port 53001 - Remote Windows Shutdown
port 54283 - SubSeven
port 54320 - Back Orifice 2000
port 54321 - School Bus
port 54321 (UDP) - Back Orifice 2000
port 57341 - NetRaider
port 58339 - ButtFunnel
port 60000 - Deep Throat
port 60068 - Xzip 6000068
port 60411 - Connection
port 61348 - Bunker-Hill
port 61466 - Telecommando
port 61603 - Bunker-Hill
port 63485 - Bunker-Hill
port 65000 - Devil, Stacheldracht
port 65432 - The Traitor
port 65432 (UDP) - The Traitor
port 65535 - RC
이렇게 있습니다.
이걸 봄으로서 무슨 프로그램을 사용하여 컴을 공격했는지 알수 있습니다.
그리고 그냥 netstat 명령어를 사용하지 마시고
netstat -an 이라는 명령을 사용해서 보시기 바랍니다.
결론 :
netstat 을 치면 나오는 아이피가 전부다 님들의 컴퓨터를 훔쳐보고 있는 아이피들은 아닙니다.
물론 그중에 해킹하고 있는 아이피가 잡힐 가능성도 있지만
정말 크지 않은 가능성입니다;
이미 방화벽같은것을 설치하신분들은 크게 걱정하실 거 없구..
(왠만한 해킹은 이게다 막아주고 이미 알려진 백도어는 막아주니까요)
그리고 whois로 검색해서 나오신
한국통신, KT등등의 것들은 아마 님들이 쓰시는 통신사 이름일거에요 ;
+ 하나로 를 안쓰는데 왜 하나로가 뜨지? 라고 하시는 분들은 아마 하나로에서 제공하는
콘텐츠를 이용하셨다거나; 그런 경우 일 수 있고요
+ 욕을써서 나갓다고 하시는 분들은 아마 님들이 켜두신 인터넷창을 껏다거나 켰다거나 연결을 끈었다 이었다가 한경우 일거에요;
+ XP에서는 모든프로그램>보조프로그램>명령프롬포트 를 실행하시면 됩니다
+ 너무 말이 복잡해서 최대한 쉬운부분만 남기고 수정했어요 ㅠ ㅠ;;
출처 - 네이버 오픈사전 kacchan님의 지식
첫댓글 와~~~~~~대단해염'ㅅ'乃 그러고보니까 제껀 싹다 인터넷접속한것들이네요ㅡㅡ;; 나가라고해서 나갓다는것에 감동한 저 바보같음 ㅋㅋㅋ;ㅋ;;
와..... 무슨말이지...
어려운가요,,.. 음...그러니까 빨강글만 읽어주세요 ㅠ _ㅠ
길당.......ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ 헐 지금 드러가니까 18명.....................
ㄷㄷㄷ.....
??
너무 전문적이다..
2222222어려워요 ㅠㅠㅠㅠㅠㅠㅠㅠ
80번 포트는 대부분 웹페이지 포트라서 인터넷할때 얘 안열리면 ㄱ=...ㅜ4242포트는 울집에선 공유프로그램으로 뜨고요(이건잘모르겠음ㄱ-) 저기엔 없지만 4661번 포트는 당나귀,푸르나 등에서 뜨더라고요... 그냥 몇개 적어봤는데 태클은 아니고 이런거 뜨면 많이 걱정 마시라고ㅋㅋ
몬소린지모르겠음..........
22222ㅠㅠㅠ
요약. netstat에서 나오는 아이피가 내 컴퓨터를 보고있거나, 해킹하고있을 확률은 거의없다 ㅇㅋ?
아하 그래서 저도 궁금해가지고 눼버지식인에 올리고 난리를 쳤는데도 답변이 안 와서 짜증났는데..감사합니다!!
우리집은 그 State에.. Time-wait 이라고뜨는데.. ㅋㅋㅋㅋㅋㅋ
......... 아..............
ㄳㄳ
정컴시간에...................................ㅜㅜ
너무어려워요ㅠㅠ
나혼자 메모장 켜놓고 쌩쇼를 했는데 결국은 아무도 없잖아ㅡㅡ 혼자서 쇼햇어ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ
22222222 왜 내야동보냐고 욕했는데 아이피떳으니까 신고하기전에 알아서 꺼지라고... foreign address 있길래 외국해커가 들어왔나싶어서 hey!!!! go out!!!!하면서 혼자 메모장에 욕했는데.......
3..ㅋ
전진님 겟아웃;;
저는 그짓 한 8년전에 해본적 있는데요 ㅋㅋ 그때 메모장에서 대화 나눴어요 ㅋㅋㅋ 대화하다가 그 사람도 초보라서 ㅋㅋ 미안하다고 연결 끊고 나갔던 기억이 ㅋㅋ 여리던 그분 지금은 뭐하실라나
메모장에서 대화가 가능해요? 어떻게하는건지 알려주실분
고등학교때 배웠던것같다; ㅋㅋㅋㅋㅋㅋㅋ 기억은 잘 안나지만
무신말인지 .. ㅠㅠㅠㅠㅠㅠㅠ
아하~ 결론만보니 이해감ㅋㅋ
22
어? 저 이상하게 실행들어가 치면 순간 떳다가 사라집니다. 왜그렇죠? ㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠ
포트번호가 1863하고 9000나오는데.. 9000은 Netministrator 요거래요. 이거혹시아시는분?ㅠㅠ;
명령어치면 저 창이 뜨긴뜨는데 볼 새도 없이 바로 꺼져요ㅠㅠㅠㅠ
저도그랫는데 cmd 치고나서 그다음에 netstat치셔야되요
time_wait 가 누긔
음 그러니까 이미 상대방과 연결이 되었고 그래서 종료를 기다리는 상태 혹은 대기중인 거에요
싸이월드 포트가 어떻게 돼졍?
로컬주소에 내컴퓨터라고 되잇는데.. 아무이상없는건가??ㅋㅋ
헉ㄷㄷㄷ
저기 적혀있는 TCP는 안전한 거예요?
foreign address 이거에 0.0.0.0 이렇게되있으면 아무도 접속한거 아니죠?
해킹당하고있다
저 Blakharaz랑 뭐 있던데 어떻게 해야하죠?
TIME-WAIT 은 뭐죠?? 정말 많이 포트번호? 80이 있는데 거기상태에 다 이렇게 쓰여있더라구요;; 요즘에 자꾸 알약으로 트로이목마 감지되고.. 이거 어떻게 치료방법없나요??ㅠㅠ