คำสั่งพื้นฐานบางคำสั่งมักจะมีบทบาทสำคัญในการปกป้องความปลอดภัยของเครือข่าย คำสั่งต่อไปนี้มีความโดดเด่นมาก
ตรวจสอบการเชื่อมต่อเครือข่าย
หากคุณสงสัยว่ามีบุคคลอื่นติดตั้งโทรจันหรือไวรัสบนคอมพิวเตอร์ของคุณ แต่คุณไม่มีเครื่องมือที่สมบูรณ์แบบในการตรวจสอบว่าสิ่งนั้นเกิดขึ้นจริงหรือไม่ คุณสามารถใช้คำสั่งเครือข่ายที่มาพร้อมกับ Windows เพื่อดูว่าใครคือใคร เชื่อมต่อคอมพิวเตอร์ของคุณ รูปแบบคำสั่งเฉพาะคือ: netstat -an คำสั่งนี้สามารถดู IP ทั้งหมดที่เชื่อมต่อกับเครื่องคอมพิวเตอร์ได้ ประกอบด้วยสี่ส่วน - โปรโต (วิธีการเชื่อมต่อ) ที่อยู่ในพื้นที่ (ที่อยู่การเชื่อมต่อในเครื่อง) ที่อยู่ต่างประเทศ (และที่อยู่การเชื่อมต่อในเครื่อง) , state (สถานะพอร์ตปัจจุบัน) จากข้อมูลโดยละเอียดของคำสั่งนี้ เราสามารถตรวจสอบการเชื่อมต่อบนคอมพิวเตอร์ได้อย่างสมบูรณ์เพื่อให้บรรลุวัตถุประสงค์ในการควบคุมคอมพิวเตอร์
เราป้อนข้อมูลต่อไปนี้ในพรอมต์คำสั่ง: netstat -a แสดงพอร์ตทั้งหมดที่เปิดอยู่ในคอมพิวเตอร์ของคุณในปัจจุบัน, netstat -s -e แสดงข้อมูลเครือข่ายของคุณโดยละเอียดมากขึ้น รวมถึงสถิติ TCP, UDP, ICMP และ IP เป็นต้น คุณอาจเคยเห็น พวกเขาทั้งหมด คุณเคยคิดบ้างไหมว่าจะมีความเข้าใจที่ดีขึ้นเกี่ยวกับสถิติโปรโตคอลการแสดงผลของ Vista และ Windows 7 และการเชื่อมต่อเครือข่าย TCP/IP ในปัจจุบันหรือไม่
การใช้งานคำสั่ง netstat มีดังนี้ (เคล็ดลับ: จัดเรียงตามลำดับ ab)——
NETSTAT: แสดงสถิติโปรโตคอลและการเชื่อมต่อเครือข่าย TCP/IP ปัจจุบันภายใต้ Vista/Windows7 คุณสามารถรัน netstat ได้โดยตรงโดยไม่ต้องเพิ่มพารามิเตอร์ ดังแสดงในรูป:
NETSTAT [-a] [-b] [-e] [-f] [-n] [-o] [-p โปรโต] [-r] [-s] [-t] [ช่วงเวลา]
-a แสดงการเชื่อมต่อและพอร์ตการฟังทั้งหมด
-b แสดงโปรแกรมปฏิบัติการที่เกี่ยวข้องกับการสร้างการเชื่อมต่อหรือพอร์ตการฟังแต่ละรายการ ในบางกรณี โปรแกรมที่ปฏิบัติการได้เป็นที่รู้กันว่าโฮสต์ส่วนประกอบอิสระหลายตัว ในกรณีเหล่านี้ จอแสดงผล
ลำดับของส่วนประกอบที่เกี่ยวข้องในการสร้างการเชื่อมต่อหรือพอร์ตการฟัง ในกรณีนี้ ชื่อของโปรแกรมปฏิบัติการจะอยู่ใน [] ที่ด้านล่าง และส่วนประกอบที่เรียกใช้จะอยู่ที่ด้านบน จนกระทั่งถึง TCP/IP โปรดทราบว่าตัวเลือกนี้
อาจใช้เวลานานและอาจล้มเหลวหากคุณไม่มีสิทธิ์เพียงพอ
-e แสดงสถิติอีเทอร์เน็ต ตัวเลือกนี้สามารถใช้ร่วมกับตัวเลือก -s
-f แสดงชื่อโดเมนแบบเต็ม (FQDN) ของที่อยู่ภายนอก
-n แสดงที่อยู่และหมายเลขพอร์ตในรูปแบบตัวเลข
-o แสดง ID กระบวนการที่เป็นเจ้าของซึ่งเชื่อมโยงกับแต่ละการเชื่อมต่อ
-p proto แสดงการเชื่อมต่อสำหรับโปรโตคอลที่ระบุโดย proto สามารถเป็นอย่างใดอย่างหนึ่งต่อไปนี้: TCP, UDP, TCPv6 หรือ UDPv6 หากใช้กับอ็อพชัน -s แต่ละโปรโตคอล
สถิติโปรโตคอล โปรโตสามารถเป็นอย่างใดอย่างหนึ่งต่อไปนี้: IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP หรือ UDPv6
-r แสดงตารางเส้นทาง
-s แสดงสถิติสำหรับแต่ละโปรโตคอล ตามค่าเริ่มต้น สถิติสำหรับ IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP และ UDPv6 จะถูกแสดงขึ้น โดยสามารถใช้ตัวเลือก -p เพื่อระบุค่าเริ่มต้นได้
ซับเน็ตที่ได้รับการยอมรับ
-t แสดงสถานะออฟโหลดการเชื่อมต่อปัจจุบัน
ช่วงเวลา จำนวนวินาทีที่จะหยุดระหว่างการแสดงผลเมื่อมีการแสดงสถิติที่เลือกอีกครั้ง กด CTRL+C เพื่อหยุดการแสดงสถิติอีกครั้ง
ปิดการใช้งานบริการที่ไม่รู้จัก
เพื่อน ๆ หลายคนจะพบว่าความเร็วของคอมพิวเตอร์ช้าลงหลังจากระบบรีสตาร์ทในวันหนึ่ง ในเวลานี้ มีแนวโน้มว่าจะมีคนบุกรุกคอมพิวเตอร์ของคุณและเปิดบริการพิเศษสำหรับคุณ เช่น บริการข้อมูล IIS คุณสามารถใช้ "net start" เพื่อตรวจสอบบริการที่เปิดอยู่ในระบบ หากเราพบบริการที่ไม่เปิดให้เราเราสามารถปิดการใช้งานบริการในลักษณะที่กำหนดเป้าหมายได้ วิธีการคือการป้อน "net start" โดยตรงเพื่อดูบริการ จากนั้นใช้ "net stop server" เพื่อปิดใช้งานบริการ
ตรวจสอบบัญชีได้อย่างง่ายดาย
ผู้โจมตีที่เป็นอันตรายได้ใช้บัญชีโคลนเพื่อควบคุมคอมพิวเตอร์ของคุณมาเป็นเวลานาน วิธีการที่พวกเขาใช้คือการเปิดใช้งานบัญชีเริ่มต้นในระบบ แต่บัญชีนี้ไม่ค่อยได้ใช้ จากนั้นจึงใช้เครื่องมือเพื่ออัปเกรดบัญชีนี้ให้เป็นสิทธิ์ของผู้ดูแลระบบ โดยภายนอกแล้ว บัญชีนี้ยังคงเหมือนเดิมแต่เป็นเช่นนี้ บัญชีที่ถูกโคลนถือเป็นความเสี่ยงด้านความปลอดภัยที่ใหญ่ที่สุดในระบบ ผู้โจมตีที่เป็นอันตรายสามารถใช้บัญชีนี้เพื่อควบคุมคอมพิวเตอร์ของคุณโดยอำเภอใจ เพื่อหลีกเลี่ยงสถานการณ์นี้ คุณสามารถใช้วิธีการง่ายๆ ในการตรวจสอบบัญชีได้
ขั้นแรก ให้ป้อน net user ที่บรรทัดคำสั่งเพื่อตรวจสอบผู้ใช้ที่อยู่ในคอมพิวเตอร์ จากนั้นใช้ "ผู้ใช้เน็ต + ชื่อผู้ใช้" เพื่อตรวจสอบสิทธิ์ที่ผู้ใช้รายนี้มีสิทธิ์ใดบ้าง โดยทั่วไป ยกเว้นผู้ดูแลระบบซึ่งอยู่ในกลุ่มผู้ดูแลระบบ ไม่! หากคุณพบ หากผู้ใช้ภายในระบบอยู่ในกลุ่มผู้ดูแลระบบ แสดงว่าคุณเกือบจะถูกแฮ็กและมีคนอื่นโคลนบัญชีบนคอมพิวเตอร์ของคุณ ใช้ "ชื่อผู้ใช้เน็ต/เดล" อย่างรวดเร็วเพื่อลบผู้ใช้รายนี้!