Thắc mắc về bảng netstat

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận hệ điều hành *nix

Thắc mắc về bảng netstat

[Question] Thắc mắc về bảng netstat	11/08/2006 03:02:27 (+0700) \| #1 \| 13872

vietwow
Member

Joined: 28/06/2006 13:15:47
Messages: 90
Offline

Khi show bảng netstat -nat ra thì nó sẽ hiện ra trạng thái của tất cả những port như đang listen, established, time_wait, fin_wait... nhưng mình ko hiểu 1 điều, đó là cách "diễn tả" 1 port đang được listen của nó, vd mình bật apache thì có khi là :

0.0.0.0:80 0.0.0.0:*

Cũng có khi là :

:::80 :::*

Và đôi khi lại là :

127.0.0.1:80 0.0.0.0:*

Vậy các kiểu "diễn tả" vậy có gì khác nhau ? và mục đích của nó để làm gì ? tại sao ko dùng chung 1 kiểu ?

[Question] Thắc mắc về bảng netstat	11/08/2006 03:25:52 (+0700) \| #2 \| 13879

tranvanminh
HVA Friend

Joined: 04/06/2003 06:36:35
Messages: 516
Location: West coast
Offline

vietwow wrote:

Khi show bảng netstat -nat ra thì nó sẽ hiện ra trạng thái của tất cả những port như đang listen, established, time_wait, fin_wait... nhưng mình ko hiểu 1 điều, đó là cách "diễn tả" 1 port đang được listen của nó, vd mình bật apache thì có khi là :

0.0.0.0:80 0.0.0.0:*

Cũng có khi là :

:::80 :::*

Và đôi khi lại là :

127.0.0.1:80 0.0.0.0:*

Vậy các kiểu "diễn tả" vậy có gì khác nhau ? và mục đích của nó để làm gì ? tại sao ko dùng chung 1 kiểu ?

Cũng là từ trong file httpd.conf mà ra , ví dụ chỉnh trong file httpd.conf như sau

Listen 192.168.0.100:80

thì netstat -nat sẽ xuất ra là

Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 192.168.0.100:80 0.0.0.0:* LISTEN

Còn trường họp chỉnh trong file httpd.conf

Listen *:80

thì khi netstat -nat sẽ là

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN

đối với các chương trình khác thì tui nghĩ cũng thế .

[Question] Re: Thắc mắc về bảng netstat	11/08/2006 03:44:58 (+0700) \| #3 \| 13884

vietwow
Member

Joined: 28/06/2006 13:15:47
Messages: 90
Offline

Thanx lão 777 rất nhiều, vậy còn cái IP loopback thì giải thích ra sao nhỉ smilie

[Question] Re: Thắc mắc về bảng netstat	11/08/2006 03:47:47 (+0700) \| #4 \| 13889

tranvanminh
HVA Friend

Joined: 04/06/2003 06:36:35
Messages: 516
Location: West coast
Offline

vietwow wrote:

Thanx lão 777 rất nhiều, vậy còn cái IP loopback thì giải thích ra sao nhỉ

Cũng thế thôi , lão vào file config sửa rồi thử khởi động lai apache xem ? smilie

)

[Question] Thắc mắc về bảng netstat	11/08/2006 22:59:11 (+0700) \| #5 \| 14096

Mr.Khoai
Moderator

Joined: 27/06/2006 01:55:07
Messages: 954
Offline

vietwow wrote:

Khi show bảng netstat -nat ra thì nó sẽ hiện ra trạng thái của tất cả những port như đang listen, established, time_wait, fin_wait... nhưng mình ko hiểu 1 điều, đó là cách "diễn tả" 1 port đang được listen của nó, vd mình bật apache thì có khi là :

0.0.0.0:80 0.0.0.0:*

Cũng có khi là :

:::80 :::*

Và đôi khi lại là :

127.0.0.1:80 0.0.0.0:*

Vậy các kiểu "diễn tả" vậy có gì khác nhau ? và mục đích của nó để làm gì ? tại sao ko dùng chung 1 kiểu ?

Bạn hãy tìm hiểu kỹ lại về IP address và port. Output của netstat khá rõ ràng. Để Khoai cho một ví dụ bạn sẽ hiểu.
Một máy có nhiều NIC. Xét output của netstat:

Cột đầu tiên chỉ Protocol. Là TCP hay UDP

Cột thứ hai chỉ local port. Nghĩa là xem port nào đang mở.
o Nếu cột này có dạng: x.y.z.t smilie

ORT có nghĩa là máy đang có một service lắng nghe cổng là PORT, IP là x.y.z.t Nếu có một host khác muốn connect đến máy này, nhưng không kết nối với NIC có IP x.y.z.t thì sẽ không thể connect đến PORT được.
o Nếu cột này có dạng: 0.0.0.0 smilie

ORT có nghĩa là máy có service lắng nghe trên cổng là PORT. Tất cả các host nếu có route đến đều có thể connect.

Cột tiếp theo (số 3) là foreign port.
o Nếu status là ESTABLISHED thì cột này chỉ IP smilie

ORT của remote host
o Nếu status là LISTENING thì cột này chỉ các IP smilie

ORT mà service đó chập nhận. Thường cột này sẽ có dạng 0.0.0.0:* hoặc *:* chỉ đầu kia của socket có thể có IP bất kỳ và port bất kỳ. Vì đa phần các client khi connect sẽ dùng các empherical port (các port lớn hơn 1024, không phải dành cho các service thông dụng)

Hope I help
Khoai

[Question] Re: Thắc mắc về bảng netstat	11/08/2006 23:12:10 (+0700) \| #6 \| 14106

vietwow
Member

Joined: 28/06/2006 13:15:47
Messages: 90
Offline

Về trạng thái của các connection thì mình hoàn toàn hiểu rõ vì mình đã có 1 thời gian tìm hiểu khá kỹ về TCP/IP nhưng cái mình thắc mắc là cả 2 kiểu diễn tả :

0.0.0.0:*

và :

:::*

đều diễn tả là chấp nhận tất cả các connection đển tất cả các port, vậy khác biệt của nó là gì ? Mình đang test theo kiểu lão 777 chỉ

Thanx for helping me

[Question] Re: Thắc mắc về bảng netstat	11/08/2006 23:40:58 (+0700) \| #7 \| 14126

subnetwork
Member

Joined: 05/09/2004 06:08:09
Messages: 1666
Offline

Bạn đọc ở đây
Code:

http://www.hlug.org/presentations/tcpip/tcpip.html

Trong đây có phần giới thiệu về netstat .

Nếu bạn tìm hiểu netstat thì theo mình, bạn nên kết hợp tìm hiểu các process đang run trên server và port của các tiến trình này .

Thân

Quản lý máy chủ, cài đặt, tư vấn, thiết kế, bảo mật hệ thống máy chủ dùng *nix
http://chamsocmaychu.com

[Question] Re: Thắc mắc về bảng netstat	03/01/2009 12:28:50 (+0700) \| #8 \| 165006

secmask
Elite Member

Joined: 29/10/2004 13:52:24
Messages: 553
Location: graveyard
Offline

ở đây nè anh quanta http://docs.hp.com/en/B2355-60105/netstat.1.html
0.0.0.0 là ipv4 , :: là ipv6 smilie

[Question] Re: Thắc mắc về bảng netstat	03/01/2009 13:00:20 (+0700) \| #9 \| 165010

quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline

secmask wrote:

ở đây nè anh quanta http://docs.hp.com/en/B2355-60105/netstat.1.html
0.0.0.0 là ipv4 , :: là ipv6

Cảm ơn secmask nhiều.

Theo em, đoạn sau anh conmale viết trong /hvaonline/posts/list/26431.html#160596 mình có cần xem lại chỗ nào không?

conmale wrote:

Tôi nhớ trước đây tôi đã tạo dịch vụ discard trên firewall của HVA và đã thử nghiệm qua khoản này nhưng chưa đi sâu bởi vì nạn DDoS x-flash ngày ấy (cuối 2005, đầu 2006) không nhằm mục đích saturate đường dẫn như dạng UDP DDoS lần này. Dịch vụ "discard" chỉ có thể access từ trên chính firewall nên không có gì phải ngại. Hơn nữa, nó được chính firewall bảo vệ. Bởi thế, có lẽ nó vẫn còn đó vì tôi nhớ mình chưa hề tắt bỏ nó.

Đăng nhập vào firewall của HVA, tôi thử:
Code:
[conmale@hva]# netstat -nau | grep 9
udp        0      0 0.0.0.0:9                   0.0.0.0:*
Quả thật "discard" vẫn còn đó. Tôi kiểm tra lại config của dịch vụ này cho bảo đảm:
Code:
[conmale@hva]# cat /etc/xinetd.d/discard-udp
# default: off
# description: An xinetd internal service which discard any UDP packet sent to it. \
# This is the udp version.
service discard
{
        disable         = no
        type            = INTERNAL
        id              = discard-dgram
        socket_type     = dgram
        protocol        = udp
        user            = root
        wait            = yes
}
Restart lại một phát cho chắc ăn. Ngon lành! Tôi bắt tay vào "ngâm" công đoạn làm sao để các UDP packets đi vào sẽ được "match" và được chuyển đến cổng dịch vụ của discard.

Let's build on a great foundation!

[Question] Re: Thắc mắc về bảng netstat	03/01/2009 13:15:50 (+0700) \| #10 \| 165015

secmask
Elite Member

Joined: 29/10/2004 13:52:24
Messages: 553
Location: graveyard
Offline

em chỉ thấy anh mỗi chỗ "service discard" anh ý viết nhầm là "service echo" thôi, em chưa sài xinetd bao giờ không biết phải không nữa.
ps: theo em nhớ thì echo là dịch vụ trả lại y nguyên cái mà nó đã nhận từ phía client.

[Question] Re: Thắc mắc về bảng netstat	03/01/2009 19:35:31 (+0700) \| #11 \| 165033

quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline

secmask wrote:

em chỉ thấy anh mỗi chỗ "service discard" anh ý viết nhầm là "service echo" thôi, em chưa sài xinetd bao giờ không biết phải không nữa.
ps: theo em nhớ thì echo là dịch vụ trả lại y nguyên cái mà nó đã nhận từ phía client.

À ừ, chỗ đấy anh conmale sửa lại rồi:
Code:

$ grep echo /etc/services
echo		7/tcp
echo		7/udp
at-echo		204/tcp				# AppleTalk echo
at-echo		204/udp
echo		4/ddp				# AppleTalk Echo Protocol
lsp-ping	3503/tcp		# MPLS LSP-echo Port
lsp-ping	3503/udp		# MPLS LSP-echo Port
echonet		3610/tcp		# ECHONET
echonet		3610/udp		# ECHONET
bfd-echo	3785/tcp		# BFD Echo Protocol
bfd-echo	3785/udp		# BFD Echo Protocol

Anh conmale có thể cho biết firewall của HVA dùng distro nào không ạ?

Let's build on a great foundation!

[Question] Re: Thắc mắc về bảng netstat	04/01/2009 05:19:07 (+0700) \| #12 \| 165063

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

quanta wrote:

secmask wrote:

em chỉ thấy anh mỗi chỗ "service discard" anh ý viết nhầm là "service echo" thôi, em chưa sài xinetd bao giờ không biết phải không nữa.
ps: theo em nhớ thì echo là dịch vụ trả lại y nguyên cái mà nó đã nhận từ phía client.

À ừ, chỗ đấy anh conmale sửa lại rồi:
Code:
$ grep echo /etc/services
echo		7/tcp
echo		7/udp
at-echo		204/tcp				# AppleTalk echo
at-echo		204/udp
echo		4/ddp				# AppleTalk Echo Protocol
lsp-ping	3503/tcp		# MPLS LSP-echo Port
lsp-ping	3503/udp		# MPLS LSP-echo Port
echonet		3610/tcp		# ECHONET
echonet		3610/udp		# ECHONET
bfd-echo	3785/tcp		# BFD Echo Protocol
bfd-echo	3785/udp		# BFD Echo Protocol
Anh conmale có thể cho biết firewall của HVA dùng distro nào không ạ?

Được. 1/3 FC smilie

What bringing us together is stronger than what pulling us apart.

[Question] Re: Thắc mắc về bảng netstat	04/01/2009 05:46:34 (+0700) \| #13 \| 165067

quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline

conmale wrote:

quanta wrote:

Anh conmale có thể cho biết firewall của HVA dùng distro nào không ạ?

Được. 1/3 FC .

Hì, vậy đoạn sau có thiếu "flags" không anh nhỉ:
Code:

[conmale@hva]# cat /etc/xinetd.d/discard-udp
# default: off
# description: An xinetd internal service which discard any UDP packet sent to it. \
# This is the udp version.
service discard
{
        disable         = no
        type            = INTERNAL
        id              = discard-dgram
        socket_type     = dgram
        protocol        = udp
        user            = root
        wait            = yes
}

Nếu không, chắc hẳn anh đã disabled IPv6 trong /etc/modprobe.conf, để được thế này:
Code:

[conmale@hva]# netstat -nau | grep 9
udp        0      0 0.0.0.0:9                   0.0.0.0:*

Let's build on a great foundation!

[Question] Re: Thắc mắc về bảng netstat	04/01/2009 05:58:44 (+0700) \| #14 \| 165069

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

quanta wrote:

conmale wrote:

quanta wrote:

Anh conmale có thể cho biết firewall của HVA dùng distro nào không ạ?

Được. 1/3 FC .

Hì, vậy đoạn sau có thiếu "flags" không anh nhỉ:
Code:
[conmale@hva]# cat /etc/xinetd.d/discard-udp
# default: off
# description: An xinetd internal service which discard any UDP packet sent to it. \
# This is the udp version.
service discard
{
        disable         = no
        type            = INTERNAL
        id              = discard-dgram
        socket_type     = dgram
        protocol        = udp
        user            = root
        wait            = yes
}
Nếu không, chắc hẳn anh đã disabled IPv6 trong /etc/modprobe.conf, để được thế này:
Code:
[conmale@hva]# netstat -nau | grep 9
udp        0      0 0.0.0.0:9                   0.0.0.0:*

Hì hì, anh disabled IPv6 hoàn toàn khi compile lại kernel smilie

What bringing us together is stronger than what pulling us apart.

Go to:

Users currently in here
1 Anonymous