¿Cómo interpreto la salida 'netstat -a'?
https://stackoverflow.com/questions/20882
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Algunas cosas me parecen extrañas:
- ¿Cuál es la distinción entre 0.0.0.0, 127.0.0.1 y [::]?
- ¿Cómo se debe leer cada parte de la dirección extranjera (parte1:parte2)?
- ¿Qué significa un estado Time_Wait, Close_Wait?
- etc.
¿Alguien podría dar una descripción general rápida de cómo interpretar estos resultados?
Solución
0.0.0.0 generalmente se refiere a cosas que se escuchan en todas las interfaces.127.0.0.1 = localhost (solo su interfaz local) no estoy seguro de [::
Time_wait significa que ambas partes han acordado cerrar y TCP ahora debe esperar un tiempo prescrito antes de bajar la conexión.
Close_wait significa que el sistema remoto ha terminado de enviar y su sistema aún no ha dicho que esté terminado.
Otros consejos
Entiendo que la respuesta ha sido aceptada pero aquí hay información adicional:
- si dice
0.0.0.0en la columna Dirección local, significa que el puerto está escuchando en todas las 'interfaces de red' (es decir,su computadora, su(s) módem(s) y su(s) tarjeta(s) de red). - si dice
127.0.0.1en la columna Dirección local, significa que el puerto SÓLO escucha conexiones desde su PC, no desde Internet o la red.No hay peligro allí. - Si muestra su
online IPen la columna Dirección local, significa que el puerto SÓLO escucha conexiones desde Internet. - Si muestra su
local network IPen la columna Dirección local, significa que el puerto SÓLO escucha conexiones de la red local. - Dirección externa: la dirección IP y el número de puerto de la computadora remota a la que está conectado el socket.Se muestran los nombres que corresponden a la dirección IP y al puerto a menos que se especifique el parámetro -n.Si el puerto aún no está establecido, el número de puerto se muestra como un asterisco (*).(de wikipedia)
127.0.0.1 es su dirección de loopback, también conocida como 'localhost' si está configurada en su archivo HOSTS.Vea aqui para mas informacion: http://en.wikipedia.org/wiki/Localhost
0.0.0.0 significa que una aplicación se ha vinculado a todas las direcciones IP mediante un puerto específico.Información de MS aquí: http://support.microsoft.com/default.aspx?scid=kb;en-us;175952
'::' es la abreviatura de ipv6 para ipv4 0.0.0.0.
¿Cuál es la distinción entre 0.0.0.0, 127.0.0.1 y [::]?
- 0.0.0.0 indica algo que está escuchando en todas las interfaces de la máquina.
- 127.0.0.1 indica su propia máquina.
- [::] es la versión IPv6 de 0.0.0.0
- Mi máquina también muestra *:\* para UDP, lo que muestra que las conexiones UDP realmente no tienen una dirección extranjera: reciben paquetes desde cualquier lugar.Esa es la naturaleza de UDP.
¿Cómo se debe leer cada parte de la dirección extranjera (parte1:parte2)?
Send-Q es la cantidad de datos enviados por la aplicación, pero que aún no han sido reconocidos por el otro lado del socket.
Recv-Q es la cantidad de datos recibidos de la NIC, pero que la aplicación aún no ha consumido.
Ambas colas residen en la memoria del kernel.Hay guías para ayudarle a modificar estos buffers del kernel, si así lo desea.Sin embargo, es posible que los parámetros predeterminados funcionen bastante bien.
Este enlace me ha ayudado mucho a interpretar netstat -a
Una copia de allí.
TCP Connection States
A continuación se ofrece una breve explicación de este apretón de manos.En este contexto, el "cliente" es el par que solicita una conexión y el "servidor" es el par que acepta una conexión.Tenga en cuenta que esta notación no refleja las relaciones Cliente/Servidor como principio arquitectónico.
Establecimiento de conexión
El cliente envía un mensaje SYN que contiene el puerto del servidor y el número de secuencia inicial (ISN) del cliente al servidor (apertura activa).
El servidor devuelve su propio SYN y ACK (que consta del ISN + 1 del cliente).
El Cliente envía un ACK (que consta del ISN + 1 del servidor).
Desconexión de la conexión (apretón de manos de tres vías modificado).
El cliente envía un FIN (cierre activo).Esta es ahora una conexión medio cerrada.El cliente ya no envía datos, pero aún puede recibir datos del servidor.Al recibir este FIN, el servidor entra en un estado de cierre pasivo.
El servidor envía un ACK (que es la secuencia FIN del cliente + 1)
El servidor envía su propio FIN.
El cliente envía un ACK (que es la secuencia FIN del servidor + 1).Al recibir este ACK, el servidor cierra la conexión.
Se puede utilizar una conexión medio cerrada para finalizar el envío de datos mientras aún se reciben datos.Las aplicaciones de socket pueden llamar al apagado con el segundo argumento establecido en 1 para ingresar a este estado.
Explicaciones estatales como se muestran en Netstat:
Explicación del estado
SYN_SEND Indica apertura activa.
SYN_RECEIVED El servidor acaba de recibir SYN del cliente.
ESTABLISHED El cliente recibió el SYN del servidor y se estableció la sesión.
LISTEN El servidor está listo para aceptar la conexión.
NOTA:Consulte la documentación para la llamada al socket listening().Los sockets TCP en estado de escucha no se muestran; esto es una limitación de NETSTAT.Para obtener información adicional, consulte el siguiente artículo en Microsoft Knowledge Base:134404 NETSTAT.EXE no muestra las tomas de escucha TCP FIN_WAIT_1 Indica cierre activo.
TIMED_WAIT El cliente ingresa a este estado después del cierre activo.
CLOSE_WAIT Indica cierre pasivo.El servidor acaba de recibir el primer FIN de un cliente.
FIN_WAIT_2 El cliente acaba de recibir acuse de recibo de su primer FIN del servidor.
LAST_ACK El servidor está en este estado cuando envía su propio FIN.
CLOSED El servidor recibió ACK del cliente y la conexión se cerró.
Para aquellos que ven [::] en su salida de netstat, apuesto a que su máquina ejecuta IPv6;eso sería equivalente a 0.0.0.0, es decirescuche en cualquier dirección IPv6.
