ISA Server 的故障排除工具
　　 10.1.1.4 Netstat 
　　　　 Netstat是一個命令行工具。它可以用來排除安全和連接問題。在命令行中輸入netstat，就可以檢查ISA Server計算機(jī)的端口配置以及查看進(jìn)出計算機(jī)的連接。 


　　 注意　TCP和UDP中使用端口來命名邏輯連接終端。端口號從0到65535，分成以下3種：熟知端口、注冊端口、動態(tài)/或?qū)Ｓ枚丝?。熟知端口?到1023，注冊端口從1024到49151，動態(tài)/或?qū)Ｓ枚丝趶?9151到65535。相關(guān)更多詳細(xì)信息，請參考Web站點 

　　 http://www.idi.edu/in-notes/ assignments/port-numbers 

　　 上的端口數(shù)。 


　　 利用Netstat命令-a選項，可以接受到所有活動連接和偵聽端口的輸出信息。使用-n選項時，地址和端口號不轉(zhuǎn)換成字符名稱。這樣就可將ISA Server計算機(jī)上的外部和內(nèi)部IP的連接區(qū)別開來，并可確定在某個特殊接口上在任何給定時間哪個端口是開放的。可以通過比較-an和-a選項可以知道在哪個特殊端口上哪個服務(wù)是活動的。用-p TCP或-p UDP選項指定一個特殊的協(xié)議可以限定netstat -an的輸出。例如，Netstat –an –p TCP命令將打印所有活動TCP連接和偵聽端口的輸出信息。Netstat –an –p UDP命令將只打印UDP端口狀態(tài)的輸出信息。 

　　　　 此外，了解端口配置可以檢查連接問題、端口沖突和安全漏洞。例如，如果連接不到遠(yuǎn)程服務(wù)器，netstat輸出信息可能確定這不是本地網(wǎng)絡(luò)的問題，而是遠(yuǎn)程計算機(jī)拒絕連接請求。同時，每一次連接時，還可以確認(rèn)本地機(jī)是否收到TCP重置或ICMP Port Unreachable數(shù)據(jù)包的信息。 

　　　　 最后，Netstat可以用來診斷對系統(tǒng)的攻擊。例如， SYN攻擊通過創(chuàng)建大量的半公開TCP連接從而使服務(wù)器癱瘓。在這種情況下，外部地址通常是一個偽地址，并且有以增量方式增加的端口號。因此，根據(jù)SYN攻擊的這一顯著特性，可以從下面的netstat輸出信息里把它識別出來。

　　 c:\>net stat -a 

　　 c:\>netstat -n -p TCP 

　　 Active Connections 

　　 Proto　　　 LocaAddress　　　 Foreign Address　　　　 State 

　　 TCP　　　　 127.0.0.1:1030　　　127.0.0.1:1032　　　　　ESTABLISHED 

　　 TCP　　　　 127.0.0.1:1032　　　127.0.0.1:1030　　　　　ESTABLISHED 

　　 TCP　　　　 10.1.1.5:21　　　　 192.168.0.1:1025　　　　SYN-RECEIVD 

　　 TCP　　　　 10.1.1.5:21　　　　 192.168.0.1:1026　　　　SYN-RECEIVD 

　　 TCP　　　　 10.1.1.5:21　　　　 192.168.0.1:1027　　　　SYN-RECEIVD 

　　 TCP　　　　 10.1.1.5:21　　　　 192.168.0.1:1028　　　　SYN-RECEIVD 

　　 TCP　　　　 10.1.1.5:21　　　　 192.168.0.1:1029　　　　SYN-RECEIVD 

　　 TCP　　　　 10.1.1.5:21　　　　 192.168.0.1:1030　　　　SYN-RECEIVD 

　　 TCP　　　　 10.1.1.5:21　　　　 192.168.0.1:1031　　　　SYN-RECEIVD 

　　 TCP　　　　 10.1.1.5:21　　　　 192.168.0.1:1032　　　　SYN-RECEIVD 

　　 TCP　　　　 10.1.1.5:21　　　　 192.168.0.1:1033　　　　SYN-RECEIVD 

　　 TCP　　　　 10.1.1.5:21　　　　 192.168.0.1:1034　　　　SYN-RECEIVD 

　　 TCP　　　　 10.1.1.5:21　　　　 192.168.0.1:1035　　　　SYN-RECEIVD 



　　 10.1.1.5 Telnet 
　　　　 在Telnet命令后面指定端口號，可以測試服務(wù)器是否通過此端口接收命令。例如，在運(yùn)行Netstat -an -p TCP 命令后，發(fā)現(xiàn)端口3149是用來偵聽傳入請求的。然后，在命令行中輸入telnet externa_ip_address 3149，可以確定ISA Server是否允許用戶telnet到該端口。這里externa_ip_Address指分配給ISA Server計算機(jī)的公共IP地址。如果返回的是空白屏幕或者不是連接失敗的響應(yīng)輸出，那么理論上外部用戶直接輸入服務(wù)命令就可以和位于該端口的服務(wù)通信。注意，通常此狀態(tài)并不能說明存在安全漏洞，但如果給定服務(wù)存在安全弱點的話，黑客通常會用Telnet來開發(fā)這些弱點。 

　　　　 Telnet還可以用來斷定計算機(jī)上的服務(wù)是否活動的。例如， 如果能Telnet ISA Server計算機(jī)的端口25，說明SMTP服務(wù)正在運(yùn)行，且對外部用戶是可訪問的。如果要阻止外部用戶訪問SMTP服務(wù)，您可以選擇來改正該情形。您可以通過關(guān)掉此項服務(wù)，可以驗證啟動了ISA Server上的數(shù)據(jù)包過濾作用，可以且/或確保ISA Server上沒有啟動允許入站通信通過端口25的IP數(shù)據(jù)數(shù)據(jù)包篩選器。另一方面，如果要發(fā)布服務(wù)器并測試外部訪問，您可能想Telnet連接到服務(wù)的端口，來看它是否接受連接。例如，如果在ISA Server計算機(jī)的端口9999發(fā)布Web服務(wù)器，可以輸入telnet externa_ip_Address 9999來確定能連接到該端口。

最新評論