ISA Server 的故障排除工具
　　 10.1.1.4 Netstat 
　　　　 Netstat是一個(gè)命令行工具。它可以用來(lái)排除安全和連接問(wèn)題。在命令行中輸入netstat，就可以檢查ISA Server計(jì)算機(jī)的端口配置以及查看進(jìn)出計(jì)算機(jī)的連接。 


　　 注意　TCP和UDP中使用端口來(lái)命名邏輯連接終端。端口號(hào)從0到65535，分成以下3種：熟知端口、注冊(cè)端口、動(dòng)態(tài)/或?qū)Ｓ枚丝?。熟知端口?到1023，注冊(cè)端口從1024到49151，動(dòng)態(tài)/或?qū)Ｓ枚丝趶?9151到65535。相關(guān)更多詳細(xì)信息，請(qǐng)參考Web站點(diǎn) 

　　 http://www.idi.edu/in-notes/ assignments/port-numbers 

　　 上的端口數(shù)。 


　　 利用Netstat命令-a選項(xiàng)，可以接受到所有活動(dòng)連接和偵聽(tīng)端口的輸出信息。使用-n選項(xiàng)時(shí)，地址和端口號(hào)不轉(zhuǎn)換成字符名稱。這樣就可將ISA Server計(jì)算機(jī)上的外部和內(nèi)部IP的連接區(qū)別開來(lái)，并可確定在某個(gè)特殊接口上在任何給定時(shí)間哪個(gè)端口是開放的?？梢酝ㄟ^(guò)比較-an和-a選項(xiàng)可以知道在哪個(gè)特殊端口上哪個(gè)服務(wù)是活動(dòng)的。用-p TCP或-p UDP選項(xiàng)指定一個(gè)特殊的協(xié)議可以限定netstat -an的輸出。例如，Netstat –an –p TCP命令將打印所有活動(dòng)TCP連接和偵聽(tīng)端口的輸出信息。Netstat –an –p UDP命令將只打印UDP端口狀態(tài)的輸出信息。 

　　　　 此外，了解端口配置可以檢查連接問(wèn)題、端口沖突和安全漏洞。例如，如果連接不到遠(yuǎn)程服務(wù)器，netstat輸出信息可能確定這不是本地網(wǎng)絡(luò)的問(wèn)題，而是遠(yuǎn)程計(jì)算機(jī)拒絕連接請(qǐng)求。同時(shí)，每一次連接時(shí)，還可以確認(rèn)本地機(jī)是否收到TCP重置或ICMP Port Unreachable數(shù)據(jù)包的信息。 

　　　　 最后，Netstat可以用來(lái)診斷對(duì)系統(tǒng)的攻擊。例如， SYN攻擊通過(guò)創(chuàng)建大量的半公開TCP連接從而使服務(wù)器癱瘓。在這種情況下，外部地址通常是一個(gè)偽地址，并且有以增量方式增加的端口號(hào)。因此，根據(jù)SYN攻擊的這一顯著特性，可以從下面的netstat輸出信息里把它識(shí)別出來(lái)。

　　 c:\>net stat -a 

　　 c:\>netstat -n -p TCP 

　　 Active Connections 

　　 Proto　　　 LocaAddress　　　 Foreign Address　　　　 State 

　　 TCP　　　　 127.0.0.1:1030　　　127.0.0.1:1032　　　　　ESTABLISHED 

　　 TCP　　　　 127.0.0.1:1032　　　127.0.0.1:1030　　　　　ESTABLISHED 

　　 TCP　　　　 10.1.1.5:21　　　　 192.168.0.1:1025　　　　SYN-RECEIVD 

　　 TCP　　　　 10.1.1.5:21　　　　 192.168.0.1:1026　　　　SYN-RECEIVD 

　　 TCP　　　　 10.1.1.5:21　　　　 192.168.0.1:1027　　　　SYN-RECEIVD 

　　 TCP　　　　 10.1.1.5:21　　　　 192.168.0.1:1028　　　　SYN-RECEIVD 

　　 TCP　　　　 10.1.1.5:21　　　　 192.168.0.1:1029　　　　SYN-RECEIVD 

　　 TCP　　　　 10.1.1.5:21　　　　 192.168.0.1:1030　　　　SYN-RECEIVD 

　　 TCP　　　　 10.1.1.5:21　　　　 192.168.0.1:1031　　　　SYN-RECEIVD 

　　 TCP　　　　 10.1.1.5:21　　　　 192.168.0.1:1032　　　　SYN-RECEIVD 

　　 TCP　　　　 10.1.1.5:21　　　　 192.168.0.1:1033　　　　SYN-RECEIVD 

　　 TCP　　　　 10.1.1.5:21　　　　 192.168.0.1:1034　　　　SYN-RECEIVD 

　　 TCP　　　　 10.1.1.5:21　　　　 192.168.0.1:1035　　　　SYN-RECEIVD 



　　 10.1.1.5 Telnet 
　　　　 在Telnet命令后面指定端口號(hào)，可以測(cè)試服務(wù)器是否通過(guò)此端口接收命令。例如，在運(yùn)行Netstat -an -p TCP 命令后，發(fā)現(xiàn)端口3149是用來(lái)偵聽(tīng)傳入請(qǐng)求的。然后，在命令行中輸入telnet externa_ip_address 3149，可以確定ISA Server是否允許用戶telnet到該端口。這里externa_ip_Address指分配給ISA Server計(jì)算機(jī)的公共IP地址。如果返回的是空白屏幕或者不是連接失敗的響應(yīng)輸出，那么理論上外部用戶直接輸入服務(wù)命令就可以和位于該端口的服務(wù)通信。注意，通常此狀態(tài)并不能說(shuō)明存在安全漏洞，但如果給定服務(wù)存在安全弱點(diǎn)的話，黑客通常會(huì)用Telnet來(lái)開發(fā)這些弱點(diǎn)。 

　　　　 Telnet還可以用來(lái)斷定計(jì)算機(jī)上的服務(wù)是否活動(dòng)的。例如， 如果能Telnet ISA Server計(jì)算機(jī)的端口25，說(shuō)明SMTP服務(wù)正在運(yùn)行，且對(duì)外部用戶是可訪問(wèn)的。如果要阻止外部用戶訪問(wèn)SMTP服務(wù)，您可以選擇來(lái)改正該情形。您可以通過(guò)關(guān)掉此項(xiàng)服務(wù)，可以驗(yàn)證啟動(dòng)了ISA Server上的數(shù)據(jù)包過(guò)濾作用，可以且/或確保ISA Server上沒(méi)有啟動(dòng)允許入站通信通過(guò)端口25的IP數(shù)據(jù)數(shù)據(jù)包篩選器。另一方面，如果要發(fā)布服務(wù)器并測(cè)試外部訪問(wèn)，您可能想Telnet連接到服務(wù)的端口，來(lái)看它是否接受連接。例如，如果在ISA Server計(jì)算機(jī)的端口9999發(fā)布Web服務(wù)器，可以輸入telnet externa_ip_Address 9999來(lái)確定能連接到該端口。