黑客攻防基础知识

导航要点：
1）认识黑客
2）认识常见的网络协议
3）IP地址与端口
4）认识系统进程
5）黑客常用的DOS命令

本章主要内容：
什么是黑客？
常见的网络协议。
认识IP地址，端口和系统进程以及黑客常用的DOS命令。
黑客常用的专业术语。

1.1认识黑客

黑客也有高手和菜鸟之分，只要用户了解了黑客的基本手段，一般的黑客是无法入侵电脑
的。
而对于黑客高手来说，可能您的电脑没有让他入侵的价值，所以不用太担心。

"黑客"是英文hacker直接音译过来的，简单地说，可将黑客理解为破坏者，黑客一般是利用系统或者软件的漏洞来入侵用户电脑，当用户使用了一些较为危险的操作时就会给黑客创造机会。

疑问：为何通过软件的漏洞可以入侵电脑？
条件是软件是有控制电脑的权限吗？

如今的『黑客』定义：
黑客一词，原意是指计算机技术水平高超的电脑专家，尤其是指程序设计人员。但到
了今天，黑客一词已被用于泛指那些专门利用电脑网络搞破坏或恶作剧的家伙，而对这些
人正确的英文叫法是cracker，音译为"骇客"。黑客与骇客的主要区别是黑客们修补相关
漏洞，而骇客们却抓住这些漏洞对其他电脑进行入侵。

黑客的发展：
在网络发展初期，网络方面的立法还不够健全，黑客在法律的漏洞下可以为所欲为。
目前各国法律的发展速度仍落后于互联网的发展速度，在黑客活动转入地下以后，其攻击
的隐蔽性更强，使得当前法律和技术缺乏针对网络犯罪卓有成效的法纪和跟踪手段，无规
范的黑客活动已经成为网络安全的重要威胁。

红客

"红客"一词源于黑客，它是指维护国家利益，不利用网络技术入侵自己国家的电
脑，而是维护正义，为自己国家争光的黑客。在中国，红色有着特定的价值含义，代表
正义、道德、进步、强大等。红客是一种精神，它是一种热爱祖国、坚持正义、开拓进
取的精神。所以只要具备这种精神并热爱着计算机技术的人都可称为红客。红客通常会
利用自己掌握的技术去维护国内网络的安全，并对外来的进攻进行还击。

1.2.网络攻击基础 -- 认识网络协议

什么是网络协议？

网络协议是指为在计算机网络中进行数据交换而建立的规则，标准或约定的集合。常见的网络协议有 TCP/IP协议簇，ARP协议，ICMP协议和SMTP协议，除此之外还有UDP协议，IPX/SPX协议等。

1）TCP/IP协议
传输控制协议/因特网互联协议，又叫网络通信协议。众所周知，如今计算机接入互联网后都要设置TCP/IP协议，因此TCP/IP协议是互联网最基本的协议，也是国际互联网网络的基础。
TCP/IP定义了计算机如何连入因特网，以及数据如何在其中传输的标准。
TCP/IP包含了两层协议，即TCP协议和IP协议。其中高层的TCP协议负责收集信息或者把文件拆分为更小的数据包。发送端将这些数据包通过网络传送到接收端的TCP层，接受端的TCP层把数据还原为原始文件；而低层的IP协议则处理每个数据包的地址部分，使得网络上的网关计算机能够识别数据包的地址并进行路由选择，从而让这些数据包能够正确到达目的地。

TCP/IP协议簇： https://baike.baidu.com/item/tcp%2Fip协议簇

2）ARP协议（ARP欺骗攻击必知）

ARP，即地址解析协议。
作用：它能够通过已知的IP地址来获取与其对应的物理地址（MAC 地址）。
在TCP/IP网络环境下，每个主机都分配了一个32bit（比特）的IP地址（如 220.248.138.166），它是在网络中标识主机的一种逻辑地址，如果想要成功地将报文（网络中主机之间交换与传输的数据单元）传送给目的主机，则必须知道目的主机的物理地址，此时就可以使用ARP协议将目的主机的IP地址转换为物理地址。

简单地说，ARP协议就是主机在发送报文之前将目标主机的IP地址转换为与之对应的MAC地址的过程。
谈到ARP就离不开ARP欺骗，第五章将会介绍ARP欺骗的工作原理以及方法方法。

3）ICMP协议
即Internet控制报文协议，它是TCP/IP协议簇中的一个子协议，用于在IP主机，路由器之间传递控制消息。控制消息包括网络通不通，主机是否存在，路由是否可用等网络本身的消息，这些控制消息虽然并不传递用户数据，但是对于用户数据的传递起着非常重要的作用。
ICMP在网络中提供了一致，易懂的出错报告信息，将发送的出错报文返回到发送数据的主机。ICMP唯一的功能是报告问题，而不是解决问题，解决问题的任务由发送方完成。
这是因为这样（可以任意检测，比如ping啊什么的），使得它非常容易被用于攻击网络上的路由器和主机。例如：
Ping Of Death攻击，在还没有发布限制发送ICMP数据包大小的补丁之前，操作系统规定了ICMP数据包的最大尺寸不超过64KB，因此Ping Of Death根据这一规定向主机发起攻击。其工作原理是：如果ICMP数据包的尺寸超过64KB上限时，主机出现内存分配错误，导致TCP/IP堆栈崩溃，致使主机死机。

提示：检测
网络通不通：可以ping
主机是否存在：
路由是否可用：
https://segmentfault.com/q/1010000013441887

洪水攻击
洪水攻击是现在黑客比较常用的一种攻击技术，特点是实施简单，威力强大，无论电脑的防护措施多么好，都很难保证不受到该攻击。常见的洪水攻击包含MAC泛洪，网络泛洪和应用程序泛洪。
MAC泛洪是指攻击者进入局域网内，将假冒的源MAC地址和目的MAC地址数据帧发送到以太网上，使得假冒的源MAC地址和目标MAC地址塞满交换机的MAC地址表，导致交换机无法正确地传送数据。
网络泛洪包括：Smurf和DDoS。其中Smurf是指攻击者假冒ICMP广播ping，如果路由器没有关闭定向广播，那攻击者就可以在某个网络对其他网络发送定向广播ping，网络中的主机越多，造成的结果就越严重，因为每个主机都会默认相应这个ping，导致链路流量过大而拒绝服务。而DDoS是指攻击者将DDoS控制软件安装到连接到互联网的系统中，并使之感染其他系统，然后攻击者将攻击指令发送给DDoS控制软件，让DDoS控制的系统向某个IP发送大量假冒的网络流量，受攻击者的网络将被这些假的流量所占据，导致无法为它们的正常用户提供服务。
应用程序泛洪的目的就是消耗应用程序或者系统资源，常见的形式就是垃圾邮件。

4）SMTP协议（邮件攻击必知）
SMTP，即简单邮件传输协议，它是一组用于由源地址到目的地址传送邮件的规则，由它来控制信件的中转方式。SMTP协议属于TCP/IP协议簇，它帮助每台计算机在发送或中转信件时找到下一个目的地，通过SMTP协议所指定的服务器就可以把电子邮件寄到收件人的服务器上了，整个过程只需要几分钟。

疑问：几分钟是很长的啊？
https://segmentfault.com/q/1010000013443514?_ea=3381060

由于SMTP协议是与邮件传输有关的协议，因此提到SMTP就不得不让人想起邮件攻击，将在第9章具体介绍邮件攻击与防范的相关内容。

1.3 IP地址与端口

（黑客必须经过的两道门）
黑客攻击其他人的电脑必须确定目标主机的IP地址和扫描目标主机的开放端口。因此目标主机的IP地址和开放端口对于黑客来说是非常重要的信息，也是黑客入侵主机的必备信息。

端口是计算机与外界通信交流的端口，而IP地址则是网络中主机的重要标识之一，因此用户如果想要了解黑客是怎样获取IP地址和扫描开放端口的，则必须首先知道什么是IP地址和端口。

1）IP地址
IP地址就是给每个连接在互联网上的主机分配的一个32bit（比特）地址。按照TCP/
IP协议规定，IP地址用二进制来表示，每个IP地址长32bit。比特换算成字节，就是4个字
节，例如一个采用二进制形式的IP地址是11000000101010000000000100000001，这么
长的IP地址处理起来会很费劲，因此为了方便人们的使用，IP地址经常被写成十进制的形
式，中间使用符号"."分开不同的字节，所以上面的IP地址可以写成192.168.1.1。IP地
址的这种记法叫做点分十进制表示法，这显然比一长串的1和0要好记得多。
互联网中的每个接口都必须有一个唯一的IP地址，该地址并不是采用平面形式的地址
空间，它具有一定的结构，一般情况下IP地址可分为A、B、C、D、E 5大类。

A类IP地址由1个字节的网络地址和3个字节主机地址组成，网络地址的最高位必须是 
"0"，其地址范围为1.0.0.1～126.255.255.254。可用的A类网络有126个，每个网络能够 
容纳16 777 214个主机。 
B类IP地址由2个字节的网络地址和2个字节的主机地址组成，网络地址的最高位必须是"10"，其地址范围为128.0.0.1～191.255.255.254。可用的B类网络有16 384个，每个网 
络能够容纳65  534个主机。 
C类IP地址由3个字节的网络地址和1个字节的主机地址组成，网络地址的最高位必 
须是"110"，其地址范围为192.0.0.1～223.255.255.254。其中192.168.0.0～192. 
168.255.255为私有IP地址，C类网络可达2  097  150个，每个网络能容纳254个主机。 
D类IP地址用于多点广播，其第一个字节以"1110"开始。它是一个专门保留的地址， 
不能在互联网上作为接点地址使用。其地址范围为224.0.0.1～239.255.255.254。
E类IP地址用于实验和开发，也不能在互联网上使用。其第一个字节以"1111"开始， 
为将来使用保留。
除了以上5类IP地址之外，还有两个IP地址，即全"0"地址（0.0.0.0）和全"1"地 
址（255.255.255.255），其中全"0"地址是指任意网络，全"1"地址是广播地址（现在 
CISCO上可以使用全0地址）。一般常用的为A、B、C  3类地址。 

2）端口

简单地说，端口就是计算机和外界连接的通道。
为了解释清楚端口，接下来用房子来打个比方，端口就好比房子的门窗，它是信息出入的必经通道。另外，就如不同的门窗有不同的用处一样，不同的端口也有不同的功能，例如：
使用浏览器浏览网页用的是80号端口。计算机上可开启的端口数值范围为1～65535。

常用端口：

有21号端口（FTP——文件传输协议）、
23号端口（Telnet——远程登录协 
议）、
53号端口（DNS——域名服务器）、
79号端口（finger——查看机器的运行情况）、 
80号端口（HTTP——超文本传输协议）、
110号端口（POP——邮局协议）、139号端口 
（NetBIOS服务，即共享服务）、
3389号端口（用于远程登录）。

端口按照端口号的分布可分为:
公认端口、注册端口以及动态和私有端口。

公认端口，也称常用端口。这类端口包括0～1023号端口，它们紧密地绑定一些特定的
服务。通常这些端口的通信明确地表明了某种服务的协议，这类端口不可再重新定义它的
作用对象。

注册端口，包括1024～49151号端口，它们松散地绑定于一些服务。也就是说有许多服
务绑定于这些端口，这些端口同样用于许多其他的目的。这些端口多数没有明确的定义服
务对象，不同程序可以根据实际需要自己定义。这些端口会定义一些远程控制软件和木马
程序，因此对这些端口的防护和查杀是非常有必要的。

动态和私有端口，包括49152～65535号端口，从理论上讲不应该把常用服务分配在
这些端口上。但实际上有些较为特殊的程序，特别是一些木马程序就非常喜欢使用这些端
口，因为这些端口常常不会引起注意，容易隐藏。

3）IP

IP地址是网络中主机的重要标识之一，因此电脑中安装了网卡之后，需要对电脑设置IP地址后才可以连接到网络。设置IP地址的操作方法如下所示。

图片.png

图片.png

图片.png

图片.png

提示：
设置连接了路由器的电脑IP地址。
当用户使用路由器实现共享上网时，由于路由器具有自动分配IP地址的功能，因此用户在设置电脑IP地址时只需要选择自动获得IP地址和DNS服务器即可。

查看目标主机的端口方式：

• 端口扫描软件（X-Scan,SuperScan）
  （端口扫描软件不仅能够查看本机的开放端口，还能查看网络中其他电脑的端口）
• 在Win系统或者其他系统中可以使用netstat命令进行查看。端口扫描软件不仅能够查看本台电脑的端口，还能查看网络中其他电脑的端口，而netstat命令只能查看本台电脑中已经开放的端口。
  （netstat命令只能查看本台电脑的端口）

4）关闭与限制端口

系统在默认的情况下有很多不安全或者是没有用的端口是开启的，因此用户需要对这
些端口进行关闭或者限制操作。

1.关闭端口
当用户安装了Windows XP操作系统之后，系统中一些不安全的端口在默认情况下是开
启的，例如Telnet服务的23号端口、FTP服务的21号端口等，这里以Telnet服务的23号端口
为例介绍关闭端口的操作步骤。

图片.png

图片.png

图片.png

图片.png

2.限制端口

在Windows XP 操作系统中，除了关闭端口对应的服务之外，还可以使用TCP/IP筛选功能限制电脑的某些端口。

图片.png

图片.png

图片.png

1.4 认识系统进程

进程是指程序在电脑上的一次执行活动，当用户运行了一个程序时，就启动了一个进程。进程可以分为系统进程和用户进程。范式用于完成操作系统的各种功能的进程就是系统进程，然而就是出于运行状态下的操作系统本身；用户进程就是所有由用户启动的进程。本节主要讲系统进程的相关知识。

1）系统进程概述
系统进程是系统能够正常运行的基本条件，有了这些进程，系统才能正常运行，按下Ctrl+Alt+Delete组合键后可在任务管理器的进程选项卡夏看见所有的进程，当然也包括系统进程，Windows XP系统中基本的系统进程以及对应的含义可以参见下图：

图片.png

除了这些基本的进程之外，XP系统还有很多附件的系统进程，比如：mstask.exe（允许程序在指定时间运行），regsvc.exe（允许远程注册表操作）和winmgmt.exe（提供系统管理信息）等进程。要是想关闭一些附件的系统进程，用户只需要在服务窗口中关闭与之对应的服务即可。

2）关闭与新建系统进程
用户可以对系统进程进行关闭与新建操作，但是并非所有的系统进程都能够被关闭或者新建，例如：svchost.exe进程，关闭该进程可能会导致系统自动重启，因此这里以explorer.exe进程为例介绍关闭与新建系统进程的操作。

图片.png

图片.png

图片.png

提示：查看系统进程时要仔细
在常见的系统进程中，越是被用户熟悉的进程越容易被病毒所利用，例如：
explorer.exe，svchost.exe，spoolsv.exe，winlogon.exe，rundll32.exe。例如在2006年流行的威金病毒，其进程主要是：rund1132.exe，log_1.exe，vd11.dll,logo1_.exe等，不法分子就是利用1和l等字母与数字的相似性来伪装病毒。所以用户在查看系统进程时一定要仔细，房子类似系统进程的病毒乘虚而入。

1.5 认识病毒

电脑在各行各业大量使用的同时，病毒也随之渗透到了电脑世界的每个角落，常常以人们意向不到的方式侵入电脑系统，并且造成了验证的破坏，因此掌握计算机病毒的基本方式是防范计算机病毒入侵电脑的前提。

1）病毒概述

计算机病毒是指编制或者在计算机程序中插入的一组计算机指令或者程序代码，这组指令或者代码能够破坏计算机的功能，影响计算机的使用，同事它能够自我复制。
病毒不是来源于突发或者偶然的原因，一次突发的停电或者操作部当，可能会在计算机的磁盘和内存中产生一些代码和随机指令，但是这些代码和指令是无需和混乱的，而病毒则是一组比较完美的，精巧严谨的代码，并且按照严格的次序组织起来。病毒是由人故意编写，目的是想要谋求一些不正当的利益。

1.计算机病毒的分类
计算机病毒的分类是相对的，同一种病毒按照不同的分类可以属于不同的类型。

• 按照计算机病毒的传染方式可分为引导型、文件型和混合型病毒。
• 按照计算机病毒的连接方式可分为源码型、入侵型、操作系统型和外壳型病毒。
• 按照计算机病毒的破坏性可以分为良性病毒和恶性病毒。

除此之外，还有宏病毒、网络病毒等，其中网络病毒只在网上运行和传播，是影响和
破坏网络系统的病毒；宏病毒是一种寄存在文档或模板的宏中的计算机病毒，按传染方式分类属于文件型病毒。

在word中， 宏是一个批量处理程序命令。也就是说是可以执行的代码。

2.计算机病毒的特点
根据计算机病毒的产生，传染和破坏欣慰，可以总结出病毒的特点：

1）刻意人为破坏：计算机病毒不是偶然发生的，而是人为编写的有意破坏、精巧严谨 
的程序段，它是严格组织的程序代码，与所在环境相互适应并紧密配合。 
2）破坏性：计算机中毒后，可能会导致正常的程序无法运行，按照指令将计算机内部 
的文件删除或者格式化磁盘等操作，对计算机造成不同程度的损坏。 
3）传染性：计算机病毒不但本身具有破坏性，更可怕的是具有传染性，一旦病毒被复 
制，其传染速度快得令人难以预防。传染性是病毒的基本特征。 
4）夺取系统控制权：计算机病毒为了达到感染、破坏系统的目的，必须要取得系统的 
控制权，反病毒技术也正是抓住计算机病毒的这一特点提前取得系统控制权，然后识别计 
算机病毒的代码和行为。 
5）隐蔽性：计算机受到病毒的传染后仍然能够正常运行，被感染的程序也能够执行， 
用户将不会感觉到明显的异常。不经过程序代码分析或者杀毒软件的扫描，病毒程序与正 
常程序是不易被区分开的。 
6）潜伏性：潜伏性的第一种表现是指病毒程序不用专用检测程序是检查不出来的， 
因此病毒可以静静地躲在磁盘或者文件里几天甚至几年，一旦时机成熟，得到运行机会， 
就会四处繁殖、扩散，危害其他的电脑；第二种表现是指计算机病毒的内部往往有一种触 
发机制，不满足触发条件时，计算机病毒除了传染外不做任何破坏。触发条件一旦得到满 
足，有的在屏幕上显示信息、图形或特殊标识，有的则执行破坏系统的操作，如格式化磁 
盘、删除磁盘文件等。 
7）不可预见性：不同种类病毒的代码千差万别，并且病毒的制作技术也在不断地提 
高，病毒比反病毒软件永远是超前的。新的操作系统和应用系统的出现，软件技术的不断 
发展，也为计算机病毒提供了新的发展空间，对未来病毒的预测将会更加困难。这就要求 
人们不断提高对病毒的认识，增强防范意识。

计算机病毒的传播途径

了解病毒的概念和特点之后，就要了解最重要的一点，就是计算机病毒的传播途径，常见的传播途径有：移动存储设备传播，局域网传播，互联网传播等。

a）移动存储设备传播
U盘、手机、移动硬盘等移动存储设备的出现虽然 
方便了人们对电脑数据和资源的携带与移动，但这也是计算机病毒传播的主要途径之一。
一旦将带有病毒的U盘或者手机与电脑相连接，病毒就会悄无声息地入侵到电脑中隐蔽起来。
b）局域网传播
局域网是由相互连接的一组计算机组成的，这是数据共享和相互协作的需要。 
组成局域网的每一台计算机都能连接到其他计算机，数据也能从一台计算机发送到其他计算机上，如果发送的数据感染了病毒，则接收的计算机也会遭受病毒的感染，从而导致在很短的时间内感染整个局域网中的计算机。局域网的出现为企业的发展做出了贡献，同事也为计算机病毒铺平了道路。因此一旦发现局域网中某一台电脑传染病毒之后，应该及时拔掉本台电脑与局域网的网线，尽最大可能防止本台电脑遭受病毒的感染，同时立即使用杀毒软件扫描电脑。
c）互联网传播：随着网络的普及，当人们在使用电子邮件相互发送邮件、浏览器网页、下载软件时多可能使电脑遭受病毒的入侵，这也是的通过互联网传播病毒称为当前计算机病毒主要的传播方式之一。

图片.png

计算机病毒一般都是通过各种方式把自己植入内存，获取系统最高控制权，然后感染在内存中运行的程序。计算机系统的内存是一个非常重要的资源，系统所有的程序都是在内存中运行，一旦内存感染病毒后，系统中所有运行过的程序都有可能会被病毒感染，而感染哪些文件则是由病毒的特征所决定的。

程序型病毒是目前最多的一类病毒，它主要感染扩展名为.exe的可执行文件和扩展名为.dll的动态链接库文件。例如：很多的蠕虫病毒，其实蠕虫病毒不是一个病毒，而是一个种类。它的特点就是针对目前互联网的高速发展，主要在网络上传播，当蠕虫病毒感染了一台电脑之后，它可以自动把自己通过网络发送出去，例如发送给同一局域网中的其他用户或者自动读取电脑上的E-mail列表，自动向好友们发送带有木马的电子邮件等。蠕虫病毒并不会破坏计算机里的信息，但是会疯狂地感染其他电脑，感染了蠕虫病毒的电脑会不停地向外发送信息，占用CPU资源达到80%以上，造成电脑运行缓慢，网络拥塞，甚至可以导致网络瘫痪。

对于程序型病毒，也许有人会说："只要我启动电脑后不运行染毒程序，直接将它们删除不久可以了吗？" 实际上，现在的病毒没有这么简单，例如引导型病毒，引导型病毒感染的不是文件，而是磁盘引导区，它把自己写入引导区，这样一来，只要读写磁盘，病毒就会被读取入内存，这就是为什么杀毒要用干净的启动盘启动，为的就是防止引导型病毒。

无论哪种病毒，它都是首先把自己复制到内存中，然后感染在内存中运行的其他文件，而没有被读入内存的文件是不会被感染的。所以，内存和杀毒软件争夺的焦点就在多去内存控制权。

3.防范计算机病毒的常用技巧

有些病毒感染电脑后会隐蔽一段时间，因此对于这类病毒是比较难以判断，而有的病毒则会立即发作，造成电脑蓝屏，死机等故障。电脑感染病毒后可能会出现系统运行、IE
弹出无限多的窗口、计算机自动关机、所有文件的图标都变成统一图案（如熊猫烧香）、
系统时间被更改等症状。当电脑出现这些症状时，应立即使用杀毒软件扫描并查杀系统。
为了阻止病毒入侵电脑，用户必须掌握下面几种防范病毒入侵的常用技巧。

1）使用U盘前先杀毒：U盘是病毒传播的主要途径之一。许多用户在将U盘接入电脑后
直接就双击打开，这样很有可能使得病毒感染电脑。正确的操作方法是首先使用杀毒软件
扫描或者在资源管理器左侧的文件夹中操作。
2）不要轻易打开网页上的广告：不要轻易打开不熟悉的网站或者广告网页，这些网页
中很有可能带有病毒和木马，一旦打开将会使病毒或木马入侵电脑。
3）不要轻易打开陌生人发来的网页链接和文件：随着QQ、MSN等通信软件的流行，一
些不法分子可能利用这些软件向其他人发送带有病毒或木马的文件或者网页链接，一旦打
开这些网页和文件，系统就会遭受病毒和木马的入侵。
4）不要打开不明身份的电子邮件：网络中的电子邮箱为用户提供了很大的方便，用
户可以与世界上任何一个角落的网络用户联系。但是有些不法分子会向其他用户发送带
有病毒和木马的电子邮件，收到陌生人发送的邮件时，不要轻易打开，建议先使用杀毒
软件进行扫描。

1.6 黑客常用的DOS命令

黑客在入侵目标主机的过程中会使用一些DOS命令进行探测并且获取目标主机的信息，比如：ping,netstat,net等命令，这些命令是黑客入门必须掌握的DOS命令知识。

1）ping
ping命令是Win或者其他系统自带的可以执行的命令，利用它可以检查网络是否连通，从而帮助用户分析判定网络故障，该命令只有在安装TCP/IP协议后才能使用。

ping命令的主要作用是通过发送数据包并接收应答的数据包来检测网络是否通畅。需要注意的是：一次或者两次的数据包交换并不表示TCP/IP配置就是正确的，本地主机与远程主机必须执行大量的数据包交换，才能确保TCP/IP配置的正确性。
（检测IP或者域名）

2）netstat
Netstat是一个监控TCP/IP网络的非常有用的工具，它可以显示路由表、实际的网络连接以及每个网络接口设备的状态信息。netstat用于显示与IP，TCP，UDP，和ICMP协议相关的统计数据，一般用于检验本机各个端口的网络连接情况。
（检测本机各个端口）

Netstat命令常用的参数有：[-a]、[-e]、[-n]、[-o]、[-r]、[-s]，其用法如下所示。

1. netstat -a: 显示所有连接和监听的端口。
2. netstat -e: 显示以太网的统计信息，此选项可以与-s组合使用。
3. netstat -n： 以数字形式显示主机地址和端口号。

3）ipconfig （在mac,linux中是ifconfig）
ipconfig命令可用于显示当前电脑的TCP/IP配置的设置值。这些信息一般用来检验人工配置的TCP/IP是否正确。但是，如果用户的电脑与所在的局域网使用了动态主机配置协议（类似于拨号上网的动态IP分配），使用这个命令所显示的信息会更加实用。此时，该命令可以让用户了解自己的电脑是否成功地租用到一个IP地址，如果租用到则可以了解它目前分配到的是什么地址。了解计算机当前的IP地址、子网掩码和默认网关实际上是进行测试和故障分析的必要项目。

4）
net命令是一种基于网络的命令，属于命令行命令，它内置于Windows系统中，该命令
的功能很强大，可以管理网络、环境、服务用户、登录等本地以及远程信息。下面介绍net
命令不同参数的基本用法。

5）telnet（现在过时了，不是很安全，应该使用ssh）

黑客攻防相关术语

1）肉鸡
"肉鸡"是一种形象的比喻，指那些可以随意被黑客控制的电脑，对方可以是Windows系统，也可以是UNIX/Linux系统；可以是普通的个人电脑，也可以是大型的服务器，黑客可以像操作自己的电脑那样来操作它们，而不被对方所发觉。
2）挂马
就是指在别人的网站文件里面放入网页木马或者是将代码潜入到对方正常的网页文件里，导致浏览者的电脑遭受木马的入侵。
（在肉鸡上面挂马）
3）后门
这也是一种形象的比喻，黑客在利用某些方法成功地控制了目标主机后，可以在对方的系统中植入特定的程序，或者是修改某些设置。这些改动表面上是很难被察觉的，但是入侵者却可以使用相应的程序或者方法来轻易地与这台电脑建立连接，重新控制这台电脑，就如同入侵者偷偷地配了一把主人房间的钥匙，可以随时进出而不被主人发现一样。通常大多数的木马程序都可以被黑客用于制作后门程序。
4）shell
它是一种命令执行环境，Windows中的命令提示符窗口就是win系统的shell执行环境。
5）IPC$
是共享命令管道的资源，它是为了让进程间相互通信而开放的命令管道，可以通过验证用户和密码获得相应的权限，在远程管理电脑和查看电脑的共享资源时使用。
6）免杀
就是利用特殊的算法，将.exe可执行程序或者.dll动态链接库文件的编码进行改变（例如，实现严肃哦，加密），以达到缩小文件体积或者加密程序编码，甚至是躲过杀毒软件查杀目的。目前常用的壳有UPX,ASPack,PePack，免疫007，木马彩衣等。