* 특정 포트를 점유하는 프로그램 확인



- 윈도우

. CurrPorts www.nirsoft.net/utils/cports.html

. TCPView ; netstat 유틸리티의 윈도우 버전



- 리눅스
[ fuser ]

fuser는 특정한 파일 시스템을 사용하고 있는 프로세스의 pid를 보여주는 명령어로 'fuser -n tcp 10101'과 같이 실행하면 10101번 포트를 사용중인 프로세스 id를 보여준다.

이때 프로세스 id가 570번이라는 것을 확인했다면 pid 570번을 사용하는 프로세스를 확인해야 하는데, 이는 'ps aux'로 확인한다.



[ netstat ]

netstat -nlp

-l 옵션은 listen을, -p 옵션은 port를 의미

    . TIME-WAIT은 연결은 종료되었지만 당분간 소켓들 열어놓은 상태

    . 웜 바이러스, 케이블 불량, 스위치 허브 포트 불량으로 인해 데이터 송수신 속도가 늦거나 할 때 "netstat -e 10" 명령으로 10초의 주기로 이더넷 인터페이스의 데이터 송수신을 계속 보여주게 함으로써 웜 바이러스로 트래픽이 증가하는지 확인할 수 있다.

-a  현재 다른 PC와 연결(Established)되어 있거나, 대기(Listening) 중인 모든 포트 번호를 확인한다.

-r 라우팅 테이블 확인 및 커넥션되어 있는 포트 번호를 확인한다.

-n 현재 다른 PC와 연결되어 있는 포트 번호를 확인 (IP 주소로 화면 출력)한다.

-e 랜 카드에서 송수신한 패킷의 용량 및 종류를 확인한다.

-s IP,ICMP,TCP,UDP 프로토콜별의 상태를 보여준다.

-p 프로토콜별 분류

interval   초 단위로 갱신해 출력. 'netstat -e 2'



<netstat 상태 정보>

ESTABLISHED   3단계 핸드쉐이킹 완료 후 연결이 성립된 상태

LISTENNING   TCP/IP 연결 요청을 기다리고 있는 상태

TIME_WAIT   횐선 종결 절차가 완료됐으나, 시스템의 종료 재전송을 대기하고 있는 상태 (소켓은 열린 상태로 유지)

SYN_SENT   원격지 시스템에 접속하기 위해 시도중인 상태.

                   주로 SYN를 보내고 ACK를 대기하고 있는 상태 (능동적 열기)

SYN_RECV   원격지 시스템이 접속을 위해 시도 중이며, 연결 초기화 상태.

                   SYN에 SYN+ACK 전송 후, ACK를 대기하고 있는 상태 (수동적 열기)

FIN_WAIT1   원격지 시스템에 닫기 요청을 한 후, 연결 종료 대기 상태 (능동적 닫기)

FIN_WAIT2   원격지 시스템에 FIN 전송 후 종결 세그먼트를 대기중인 상태

CLOSED   모든 접속이 종결되고 자원을 해제한 상태

CLOSED_WAIT  원격지 시스템으로부터 FIN 세그먼트 수신 후, 확인 메시지 전송 상태

                       원격지 시스템이 연결 중단을 요청한 경우 발생 (수동적 닫기)

LAST_ACK   원격지 시스템으로부터 FIN 요청을 받고 연결을 종결한 상태 (소켓 닫힘)

UNKNOWN   소켓 상태에 대해 확인이 불가능한 경우