ISA Server 的故障排除工具（2）

2024-09-01 13:47:04

字體：大中小

來源：轉載

供稿：網友

ISA Server 的故障排除工具
　　 10.1.1.4 Netstat
　　　　 Netstat是一個命令行工具。它可以用來排除安全和連接問題。在命令行中輸入netstat，就可以檢查ISA Server計算機的端口配置以及查看進出計算機的連接。

　　注意　TCP和UDP中使用端口來命名邏輯連接終端。端口號從0到65535，分成以下3種：熟知端口、注冊端口、動態/或專用端口。熟知端口從0到1023，注冊端口從1024到49151，動態/或專用端口從49151到65535。相關更多詳細信息，請參考Web站點

　　 assignments/port-numbers

　　上的端口數。

　　利用Netstat命令-a選項，可以接受到所有活動連接和偵聽端口的輸出信息。使用-n選項時，地址和端口號不轉換成字符名稱。這樣就可將ISA Server計算機上的外部和內部IP的連接區別開來，并可確定在某個特殊接口上在任何給定時間哪個端口是開放的。可以通過比較-an和-a選項可以知道在哪個特殊端口上哪個服務是活動的。用-p TCP或-p UDP選項指定一個特殊的協議可以限定netstat -an的輸出。例如，Netstat –an –p TCP命令將打印所有活動TCP連接和偵聽端口的輸出信息。Netstat –an –p UDP命令將只打印UDP端口狀態的輸出信息。

　　　　此外，了解端口配置可以檢查連接問題、端口沖突和安全漏洞。例如，如果連接不到遠程服務器，netstat輸出信息可能確定這不是本地網絡的問題，而是遠程計算機拒絕連接請求。同時，每一次連接時，還可以確認本地機是否收到TCP重置或ICMP Port Unreachable數據包的信息。

　　　　最后，Netstat可以用來診斷對系統的攻擊。例如， SYN攻擊通過創建大量的半公開TCP連接從而使服務器癱瘓。在這種情況下，外部地址通常是一個偽地址，并且有以增量方式增加的端口號。因此，根據SYN攻擊的這一顯著特性，可以從下面的netstat輸出信息里把它識別出來。

　　 c:/>net stat -a

　　 c:/>netstat -n -p TCP

　　 Active Connections

　　 Proto　　　 LocaAddress　　　 Foreign Address　　　　 State

　　 TCP　　　　 127.0.0.1:1030　　　127.0.0.1:1032　　　　　ESTABLISHED

　　 TCP　　　　 127.0.0.1:1032　　　127.0.0.1:1030　　　　　ESTABLISHED

　　 TCP　　　　 10.1.1.5:21　　　　 192.168.0.1:1025　　　　SYN-RECEIVD

　　 TCP　　　　 10.1.1.5:21　　　　 192.168.0.1:1026　　　　SYN-RECEIVD

　　 TCP　　　　 10.1.1.5:21　　　　 192.168.0.1:1027　　　　SYN-RECEIVD

　　 TCP　　　　 10.1.1.5:21　　　　 192.168.0.1:1028　　　　SYN-RECEIVD

　　 TCP　　　　 10.1.1.5:21　　　　 192.168.0.1:1029　　　　SYN-RECEIVD

　　 TCP　　　　 10.1.1.5:21　　　　 192.168.0.1:1030　　　　SYN-RECEIVD

　　 TCP　　　　 10.1.1.5:21　　　　 192.168.0.1:1031　　　　SYN-RECEIVD

　　 TCP　　　　 10.1.1.5:21　　　　 192.168.0.1:1032　　　　SYN-RECEIVD

　　 TCP　　　　 10.1.1.5:21　　　　 192.168.0.1:1033　　　　SYN-RECEIVD

　　 TCP　　　　 10.1.1.5:21　　　　 192.168.0.1:1034　　　　SYN-RECEIVD

　　 TCP　　　　 10.1.1.5:21　　　　 192.168.0.1:1035　　　　SYN-RECEIVD

　　 10.1.1.5 Telnet
　　　　在Telnet命令后面指定端口號，可以測試服務器是否通過此端口接收命令。例如，在運行Netstat -an -p TCP 命令后，發現端口3149是用來偵聽傳入請求的。然后，在命令行中輸入telnet externa_ip_address 3149，可以確定ISA Server是否允許用戶telnet到該端口。這里externa_ip_Address指分配給ISA Server計算機的公共IP地址。如果返回的是空白屏幕或者不是連接失敗的響應輸出，那么理論上外部用戶直接輸入服務命令就可以和位于該端口的服務通信。注意，通常此狀態并不能說明存在安全漏洞，但如果給定服務存在安全弱點的話，黑客通常會用Telnet來開發這些弱點。

　　　　 Telnet還可以用來斷定計算機上的服務是否活動的。例如，如果能Telnet ISA Server計算機的端口25，說明SMTP服務正在運行，且對外部用戶是可訪問的。如果要阻止外部用戶訪問SMTP服務，您可以選擇來改正該情形。您可以通過關掉此項服務，可以驗證啟動了ISA Server上的數據包過濾作用，可以且/或確保ISA Server上沒有啟動允許入站通信通過端口25的IP數據數據包篩選器。另一方面，如果要發布服務器并測試外部訪問，您可能想Telnet連接到服務的端口，來看它是否接受連接。例如，如果在ISA Server計算機的端口9999發布Web服務器，可以輸入telnet externa_ip_Address 9999來確定能連接到該端口。

上一篇：ISA Server故障排除策略（1）

下一篇：ISA Server 的故障排除工具（3）