Netstat -a ... wie interpretiert man das?

Chris_3e4008 · 14. Januar 2006 um 15:10

Hallo,

wenn ich über ZUBEHÖR -> EINGABEAUFFORDERUNG dort netstat -a eingebe, dann listet es mir ungeheuer viel auf. Wie ist das zu interpretieren?

An 1. Stelle steht TCP

an 2. Stelle steht „lokale Adresse“ und da drunter lauter 4stellige Ziffern: 1053, 1091 usw.

an 3. Stelle steht „Remote-Adresse“ und da drunter dann lauter 4- oder 1stellige Ziffern, 4885 z.B., manchmal auch eine IP

an 4. Stelle steht der Status, mit dem ich nichts anzufangen weiß.
Da gibts „wartend“, „hergestellt“ und „abhören“.

Gibt es eine Website, wo beschrieben steht, was das alles heißt und bedeutet bzw. für Konsequenzen hat?

Was hat „abhören“ für eine Bedeutung?

Und was ist „wartend“ - wer „wartet“ auf was?

Danke.
Chris

P.S.:
ich hab WIN2000, SP 4, keine Filesharing-Geschichten, kein ICQ, DSL-Flat, Norton Internet-Security und Antivirus aktiv

M_L_ · 14. Januar 2006 um 15:30

Auch hallo.

Hallo,

wenn ich über ZUBEHÖR -> EINGABEAUFFORDERUNG dort netstat
-a eingebe,

…unter Windows XP+SP2 (der Autor dieser Zeilen)

dann listet es mir ungeheuer viel auf. Wie ist das
zu interpretieren?

Schon mal ‚netstat /?‘ eingegeben ?

An 1. Stelle steht TCP

an 2. Stelle steht „lokale Adresse“ und da drunter lauter
4stellige Ziffern: 1053, 1091 usw.

an 3. Stelle steht „Remote-Adresse“ und da drunter dann lauter
4- oder 1stellige Ziffern, 4885 z.B., manchmal auch eine IP

Ja

an 4. Stelle steht der Status, mit dem ich nichts anzufangen
weiß.
Da gibts „wartend“, „hergestellt“ und „abhören“.

Gibt es eine Website, wo beschrieben steht, was das alles
heißt und bedeutet bzw. für Konsequenzen hat?

Was hat „abhören“ für eine Bedeutung?

Freie Interpretation: hier wird auf ein Ereignis von aussen (z.B. aus dem I-net) gewartet. Besser: tecchannel.de - suche nach netstat. Et voila: http://www.intersecu.org/texte/security/netstat.htm (okay, die Begriffe wartend und abhörend werden nicht erklärt ) Oder http://www.doc-tcpip.org/Tcp-ip/netstat.basics.html (basiert auf AIX, sieht dort aber so aus wie unter Windows 2K)

HTH
mfg M.L.

Peter_TOO · 16. Januar 2006 um 12:28

Hallo Chris,

Was hat „abhören“ für eine Bedeutung?

Und was ist „wartend“ - wer „wartet“ auf was?

Für die meisten Dienste muss eine Verbindung aufgebaut und nach Beendigung der Übertragung wieder abgebaut werden.
Ist so ein Dienst bei dir hinter einem Port installiert, hat aber keine Verbindung soe „Wartet“ er auf einen Verbindungsaufbau.

Dann gibt es noch ein paar Dienste welche keinen Verbindungsaufbau benötigen, diese stehen auf „Abhören“.
z.B. der Dienst „ECHO“. Diesem Dienst kann man irgendeine Meldung schicken und der schickt sie mir dann einfach wieder zurück ohne, dass die Meldung irgendwie verändert wird. Damit kann ich z.B. die Fragmentierung einer Verbindung testen oder einfach testen ob diese IP überhaupt online ist.

MfG Peter(TOO)

Oliver_T · 16. Januar 2006 um 13:49

Hallo,

wenn ich über ZUBEHÖR -> EINGABEAUFFORDERUNG dort netstat
-a eingebe, dann listet es mir ungeheuer viel auf. Wie ist das
zu interpretieren?

Das ist ein aus der UNIX-Welt nach Windows portiertes Kommando und listet aktive Netzwerkverbindungen auf.

An 1. Stelle steht TCP

TCP und UDP sind zwei verschiedene Netzwerkprotokolle in der sogenannten Transportschicht (Layer 4).

an 2. Stelle steht „lokale Adresse“ und da drunter lauter
4stellige Ziffern: 1053, 1091 usw.

Das sind Portnummern. TCP/IP-Netzwerkverbindungen sind gekennzeichnet durch ein Quadrupel von lokalen und remote IP-Adressen und Portnummern. Dieses Quadrupel wird Socket genannt.

an 3. Stelle steht „Remote-Adresse“ und da drunter dann lauter
4- oder 1stellige Ziffern, 4885 z.B., manchmal auch eine IP

ditto

an 4. Stelle steht der Status, mit dem ich nichts anzufangen
weiß.
Da gibts „wartend“, „hergestellt“ und „abhören“.

„wartend“ ist mehrdeutig, da es mehrere Zustände gibt wie „FIN_WAIT“, „CLOSE_WAIT“, „TIME_WAIT“. Das ist halt das Problem einer unvollständigen deutschen Lokalisierung.

„hergestellt“ (ESTABLISHED) heißt: Netzwerkverbindung ist vorhanden

„abhören“ (LISTENING) heißt: ein Netzwerkdienst (daemon) lauscht auf diesem Port auf Anfragen von remote

Gibt es eine Website, wo beschrieben steht, was das alles
heißt und bedeutet bzw. für Konsequenzen hat?

die Unix-Manpage von „netstat“. Gibt’s auch im Internet. Ansonsten jegliche Doku über TCP/IP.

Viele Grüße

Oliver T.