- ベストアンサー
コマンドプロントの“ESTABLISHED”状態について
いつもお世話になっていますm(_ _)m。 コマンドプロントに“netstat -an”とうってみた所、 “Proto” “Local Address” “Foreign Address” “State” という項目が出てきますが、その“Foreign Address” の所に何種類ものIPアドレスが表示され、隣の “State”の所に“ESTABLISHED ”と表示されました。 この状態が、ネットサーフィンしている時(新しいページを開く、開かない区別なく)やチャットしている 時に30秒毎くらいにチェックしてみたら、頻繁に色々 なIPアドレスが出ていました。 そして、それぞれのIPアドレスをIEのアドレス欄に http://~IPアドレス と入力してみたら“今見ていたHP”だったり“ページ を表示できません”になったり“真っ白”だったりで した。 所が中に“行った事のないHP”が表示されてしまいま した。 これは、不正アクセスされてしまった、という事なの でしょうか・・・? この“ESTABLISHED”となっているのは、どれが不正アクセスの可能性があるもの(不正アクセスがあるとす れば)なのか見分ける方法があるのでしょうか? そして、その他の “LISTENING” “CLOSE_WAIT” “SYNLSENT” というのは、それぞれ危険はないのでしょうか? OSはXPで、ISDNルーターで1台のパソコンを無線でつな いでいます。 ファイアーウォールはOutpostを入れています。 もし何かご存知の方がいたら教えて下さい・・・!
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
その他の回答 (5)
- ittochan
- ベストアンサー率64% (2667/4137)
HomeEditionには tasklist.exeが無いんですね。``r(・_・;) タスクマネージャの「プロセス」タブをクリックして 「表示」→「列の選択」から 「PID」にチェックを入れます。 お詫びに、これあげます。 (*`▽´)_旦~~ strComputer = "." Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2") Set colProcess = objWMIService.ExecQuery("Select * from Win32_Process") Set WshShell = CreateObject("WScript.Shell") Set objExplorer = WScript.CreateObject _ ("InternetExplorer.Application", "IE_") objExplorer.Navigate "about:blank" objExplorer.Visible = 1 objExplorer.ToolBar = 0 objExplorer.MenuBar = 0 objExplorer.AddressBar = 0 objExplorer.StatusBar = 0 objExplorer.Width = 600 objExplorer.Height = 400 objExplorer.Left = 0 objExplorer.Top = 0 Set objDocument = objExplorer.Document objDocument.open objDocument.writeln "<B>by いっとちゃん</B><BR><BR>" objDocument.writeln "<TABLE cellSpacing=1 cellPadding=1 width='100%' border=1>" objDocument.writeln "<TR><TD>Caption</TD><TD>ProcessId</TD></TR>" 'on error resume next For Each objItem in colProcess objDocument.writeln "<TR><TD>" & objItem.Caption & "</TD>" &_ "<TD>" & objItem.ProcessId & "</TD></TR>" Next objDocument.writeln "</TABLE>" DispPID.vbs って名前で保存して このファイルを実行します。
お礼
ご回答ありがとうございます! XPは、HomeEditionでプレインストールされていたものです。 説明ぶそくですみません(>_<)! それなのに、詳しく教えて頂いてありがとうございました・・・! あと、XPのインストールCDというのは、リカバリCDの事でしょうか(まちがえていたらごめんなさい!)? お詫びだなんてとんでもないです・・・! 私のミスなのに、こちらこそすみません(;_;)。 ご回答ありがとうございました。
補足
締め切りが遅くなってすみません! ittochanさんのほそくの欄をお借りして皆様にお礼を言わせて下さい・・・! 詳しいご回答ありがとうございました!
#2 お礼より >‘tasklist.exe’は、内部コマンドまたは外部コマンド、操作可能なプログラムまたは >バッチファイルとして認識されていません。 > XP HomeEditionということでしょうね。 とりあえず#2の参考URLでほとんど情報が間に合うと思いますが、 HomeEditionでのプロセスIDとの連携確認方法が参考URLにのっているので参考にしてみてください。
お礼
ご回答ありがとうございます! 教えて頂いた参考URLで、確認方法がわかりました・・・! ただ、この“イメージ名”という所を見ても、どんなプログラムなのか分からないものが多くてとまどってしまいました・・・。 もっと勉強したいと思います。 もしどうしてもわからない時は・・・また質問させて頂くかもしれません・・・(^^ゞ。 ご回答ありがとうございました!
- ittochan
- ベストアンサー率64% (2667/4137)
IP関連は詳しくないのです(ToT)>゛ >‘tasklist.exe’は、 スタート→「ファイル名を指定して実行」をクリック %windir%system32 と入力して「OK」をクリック system32フォルダが開くので ここにtasklist.exeがあるかどうか確認してみてください。 WindowsXPがプレインストールされたパソコンでしょうか? WindowsXPのインストールCDはありますか?
お礼
#6の欄にまとめて書かせて頂きましたm(_ _)m。
- ittochan
- ベストアンサー率64% (2667/4137)
↓も参考になればいいんですが。
お礼
ご回答ありがとうございます! 詳しいURL、ありがとうございました・・・! とても勉強になりました。 不正アクセスかどうかを確認するには“established”と表示されたForeign Addressをひとつひとつ調べる、という事ですよね!? 質問にも書かせて頂いたのですが、ここに表示されたIPアドレスをhttp://~に入力してみたのですが、真っ白のページだったりエラーだったり、全くアクセスした覚えのないページだったりしました・・・。 どうすれば不正アクセスでないかどうかを調べられるのでしょうか・・・? それと、#2で教えて頂いた参考URLの “プロセスIDとコネクションの関連の調査” に載っていた“tasklist.exe”コマンドをコマンドプロントにうってみたのですが、 ‘tasklist.exe’は、内部コマンドまたは外部コマンド、操作可能なプログラムまたはバッチファイルとして認識されていません。 と表示されてしまいました(>_<)。 試しに“tasklist”でも試したのですが同じでした・・・。 どうしたらプロセス名が表示されるのでしょうか・・・? 質問ばかりですみません! もし何かご存知でしたら、良かったら教えて下さい・・・!
- ittochan
- ベストアンサー率64% (2667/4137)
↓が参考になればいいんですが。
お礼
#2の欄にまとめて書かせて頂きましたm(_ _)m。
関連するQ&A
- ポートの状態について
初心者です。 netstat -anを実行した時に表示される情報の見方を 教えてください。 Proto Local Address Foreign Address State TCP 0.0.0.0:5000 0.0.0.0:0 LISTENING TCP 127.0.0.1:8431 0.0.0.0:0 LISTENING この5000番と8431番は、いつもLISTENINGという状態に なっているみたいです。
- ベストアンサー
- ネットワーク
- :80 ESTABLISHED からの接続が頻繁に
netstat を行ってみたところ、不特定のIPがポート80番を使って接続しているようです。 例えば、 Proto Local Address Foreign Address State TCP 自分のIP:1337 2**.***.***.***:80 ESTABLISHED という表示が頻繁に表示されます。 Local Addressのポートは1000番台以上のポートが多いです。 Foreign Addressの表示はIPは常にかわりますが、ポートはいつも80番 です。 これは、攻撃されているのでしょうか? 古いルータに繋いでいまして、インターネットセキュリティも入れています。 シマンテックのオンラインスキャンでもポートは閉じていましたが、すべてのポートについての表示ではありませんでした。 今までは何も不都合なくPCを使っていましたが、netstatを最近知ってから不安です。 どういう状況が考えられますか? もし攻撃されていたとしたらどうしたらいいですか? OSは XP home sp3 です。 どうか助けてください。 回答、宜しくお願い致します。
- ベストアンサー
- ネットワーク
- netstatコマンド
Windowsでnetstatコマンドを入力したら、 Local Addressに自分のコンピュータ名とポート番号が表示されました。 Foreign Addressには”localhost”とポート番号が表示されて、Stateが ESTABLISHEDになっていました。 自分のパソコン内のポートとポートが通信しているという認識で正しいですか? (アプリとアプリの通信?) 無知でごめんなさい、教えてください。
- ベストアンサー
- Windows XP
- ローカルホストのみでの通信
C:\Documents and Settings\AAA>netstat -n Active Connections Proto Local Address Foreign Address State TCP 127.0.0.1:1031 127.0.0.1:40000 ESTABLISHED TCP 127.0.0.1:40000 127.0.0.1:1031 ESTABLISHED 上記のようにローカルマシンでポートを使用して通信しているみたいですが、ローカルマシンでこのような通信をして何か意味があるのでしょうか?プログラミングモジュールを作りなおすのが面倒だからとかいう理由からなのでしょうか?ちなみにこの通信はウイルス○スターが行っていました。 ご存知の方よろしくお願いします。
- ベストアンサー
- ネットワーク
- netstatコマンドのアドレスについて
netstat コマンドの ローカルアドレスと、外部アドレスに関しての質問です。 私は、コンピューター初心者で、上手く質問できていなかったらすみません。 netstat -aを実行すると、以下のような結果になりました。(一部抜粋) Proto Local Address Foreign Address State (1) TCP 0.0.0.0:xxx 自分のPCのホスト名:0 LISTENING (2) TCP 自分のPCのIPアドレス:xxx 自分のPCのホスト名:0 LISTENING (3) TCP 127.0.0.1:xxx 自分のPCのホスト名:0 LISTENING *xxxの部分はポート番号です。 質問(1) ローカルアドレス部分の 0.0.0.0が、自分のPCが持つ全てのIPアドレスで待ち受けると言う意味合いで合っていますか? そして、ローカルアドレスに0.0.0.0 に対して、外部アドレスに 「自分のPCのホスト名」 がきているのは何故でしょうか? 質問(2) ローカルアドレスに自分のIPアドレス、外部アドレスに 自分のホスト名があるのはどういったことでしょう? 質問(3) (3)のケースでは、自分のパソコンの上で動いているアプリケーション等に自分がアクセスしに言っているという事でしょうか? もし具体例があれば教えていただけると助かります。 よろしくおねがいします。
- ベストアンサー
- ネットワーク
- 通信ポートのリストの見方を教えてください
WinXP(sp2)を使用しています。 このPCで開いている通信ポートを netstat -anコマンドで調べましたら 下記のリストが表示されました。 見方がわからないので、ポートの解説してあるサイトがあれば紹介してください。 0.0.0.0:**** や 127.0.0.1:**** のポートがなぜあるのかわかりません。 (***.***.***.*** はこのPCのIPアドレスです) >netstat -an Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:7 0.0.0.0:0 LISTENING TCP 0.0.0.0:9 0.0.0.0:0 LISTENING TCP 0.0.0.0:13 0.0.0.0:0 LISTENING TCP 0.0.0.0:17 0.0.0.0:0 LISTENING TCP 0.0.0.0:19 0.0.0.0:0 LISTENING TCP 0.0.0.0:135 0.0.0.0:0 LISTENING TCP 0.0.0.0:445 0.0.0.0:0 LISTENING TCP 0.0.0.0:6515 0.0.0.0:0 LISTENING TCP 127.0.0.1:1026 0.0.0.0:0 LISTENING TCP 127.0.0.1:1120 127.0.0.1:1121 ESTABLISHED TCP 127.0.0.1:1121 127.0.0.1:1120 ESTABLISHED TCP 127.0.0.1:1122 127.0.0.1:1123 ESTABLISHED TCP 127.0.0.1:1123 127.0.0.1:1122 ESTABLISHED TCP ***.***.***.***:139 0.0.0.0:0 LISTENING TCP ***.***.***.***:1119 ***.***.***.17:3128 CLOSE_WAIT UDP 0.0.0.0:7 *:* UDP 0.0.0.0:9 *:* UDP 0.0.0.0:13 *:* UDP 0.0.0.0:17 *:* UDP 0.0.0.0:19 *:* UDP 0.0.0.0:445 *:* UDP 0.0.0.0:500 *:* UDP 0.0.0.0:1039 *:* UDP 0.0.0.0:1075 *:* UDP 0.0.0.0:4500 *:* UDP 0.0.0.0:6514 *:* UDP 0.0.0.0:6515 *:* UDP 0.0.0.0:6516 *:* UDP 0.0.0.0:12352 *:* UDP 127.0.0.1:123 *:* UDP 127.0.0.1:1036 *:* UDP 127.0.0.1:1900 *:* UDP ***.***.***.***:123 *:* UDP ***.***.***.***:137 *:* UDP ***.***.***.***:138 *:* UDP ***.***.***.***:520 *:* UDP ***.***.***.***:1900 *:*
- 締切済み
- ネットワーク
- 「netstat -a」で覚えの無いアドレスが表示されます。
ネット接続中にDosプロンプトより「netstat -a」コマンドを入力すると、たまにその日に一度も訪れていないような覚えの無いアドレスや、自分以外のIPアドレスが表示されて、stateが「ESTABLISHED」となっている時があります。 PCはOSがWindows98で、ダイヤルアップ接続、ウイルスバスター2002を入れて、定義ファイルはマメに更新しています。 セキュリティに関する知識はまだほとんど無く、最近セキュリティ関連のページを読んでいたら「パーソナルファイアウォールではふさげていないポートがある」「「netstat -a」コマンドで接続状況がわかる」というよな記述をみたので試しにやってみた程度なのですが、結果を見てちょっと不安になってきました。 ブラウザでページ更新直後とかではなく、いきなりランダムなタイミングでコマンドを入力してみたりすると、たまーに覚えの無いアドレスで「ESTABLISHED」と表示される時があるのですが、これは不正アクセスの可能性はあるのでしょうか・・・?なお、ファイアーフォールには不正アクセスは検出されておらず、ログにすら残っていません。 知識が足りず、中途半端な情報ですみません。これは心配しなくてもいい状態なのか、何かしら対策を取ったほうが良いのか、お教えください。お願いしますm(_ _)m
- ベストアンサー
- ネットワーク
- 127.0.0.1とは?
ポートの状態を表示したときに以下の状態でした(抜粋です)。 ---------------- Proto Local Address Foreign Address State TCP 0.0.0.0:135 0.0.0.0:0 LISTENING TCP 127.0.0.1:1025 0.0.0.0:0 LISTENING TCP 127.0.0.1:1031 127.0.0.1:1030 ESTABLISHED ---------------- 0アドレスに対してLISTENIGとは何なんでしょうか? 127.0.0.1というアドレスは、私のパソコンのアドレスではありませんが何でしょうか? ポートはアプリケーションが外部との通信につかう入り口だと思うのですが・・・。 ネットワーク初心者です、誰か教えてください。
- ベストアンサー
- Windows XP
- コマンド netstat -a(an)について
PC起動 ⇒ スタート ⇒ プログラム ⇒ アクセサリ ⇒ コマンドプロンプト ⇒ netsata -aを実行したら以下になってますが、なぜこのような表示になるのか分かりません。 ntt.setup(192.168.1.1)にはアクセスしてないのに・・・。 ***以下*** C:\Documents and Settings\yuuya>netstat -an Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:135 0.0.0.0:0 LISTENING TCP 0.0.0.0:445 0.0.0.0:0 LISTENING TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING TCP 192.168.1.6:139 0.0.0.0:0 LISTENING TCP 192.168.1.6:2740 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2741 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2746 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2749 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2762 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2766 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2774 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2777 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2793 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2795 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2813 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2829 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2847 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2862 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2865 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2870 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2880 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2882 192.168.1.1:80 TIME_WAIT UDP 0.0.0.0:445 *:* UDP 192.168.1.6:137 *:* UDP 192.168.1.6:138 *:* UDP 192.168.1.6:500 *:* UDP 192.168.1.6:4500 *:* ***************** またサイトを二つ開いていてしばらく置いた後、 同じくnetstat -anを実行した時は下記のように表示されてるが、 サイトをいくつ開いたままでもねは表示されないとのことでしょうか? **下記** C:\>netstat -an Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:135 0.0.0.0:0 LISTENING TCP 0.0.0.0:445 0.0.0.0:0 LISTENING TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING UDP 0.0.0.0:445 *:* UDP 127.0.0.1:1246 *:* UDP 127.0.0.1:1348 *:*
- ベストアンサー
- その他([技術者向] コンピューター)
- ポート1900について
OutPostのAllowedを見るとUndefined RuleでSVCHOST.EXEが1900のポートで送受信しています。それなのに[netstat -an]で見ると1900番のForeign Addressは*:*となっています(UDPはつながっていてもForeign Address表示されないのですか?) ポート塞いだほうがいいでしょうか? ちなみにSVCHOST.EXEはすでにルール作ってあります。
- ベストアンサー
- ウィルス・マルウェア
お礼
#6の欄にまとめて書かせて頂きましたm(_ _)m。