win10系统中对本地端口进行简单分析

突然有事情涉及到本地端口，对相关内容进行了了解，这部分知识应该偏向运维，有些不好理解，查起来也零零散散的，理解的可能也有误……只记录一部分东西

想要查看本地端口的情况，在cmd下使用

netstat -an

查看端口情况。会出现长长的一串东西，一部分是TCP，一部分是UDP，但里面的东西大概可以分成几种，下面慢慢分析。

包括四个字段：协议、内部地址、外部地址、状态

1、状态

　　先要理解状态，参考：https://www.cnblogs.com/qianzf/p/7064827.html

　　这里说几个我自己关注的状态，比较浅显的含义。

　　 LISTENING:是指开放着的，等待连接的。

　　ESTABLISHED：这是正在连接

　　CLOSE_WAIT、TIME_WAIT、SYN_SENT：这些是三次握手四次挥手过程中的某些状态，还有一个断网时出现的状态没有去记

2、外部地址是0.0.0.0的TCP连接

  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:3306           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:5040           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49664          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49665          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49666          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49667          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49668          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49671          0.0.0.0:0              LISTENING
  TCP    10.18.16.169:139       0.0.0.0:0              LISTENING

  TCP    127.0.0.1:4300         0.0.0.0:0              LISTENING
  TCP    127.0.0.1:4301         0.0.0.0:0              LISTENING
  TCP    127.0.0.1:10000        0.0.0.0:0              LISTENING
  TCP    127.0.0.1:10001        0.0.0.0:0              LISTENING
  TCP    127.0.0.1:49685        0.0.0.0:0              LISTENING
  TCP    127.0.0.1:54530        0.0.0.0:0              LISTENING

　　这些是对外开放的端口，0.0.0.0可以表示任何地址。

　　而上面这些开放端口也包括三种：

• 0.0.0.0:端口号
• 127.0.0.1：端口号
• 主机ip：端口号

　　它们的区别是0.0.0.0和主机ip后面跟的端口号是对外部网络开放的，是可以通过服务域名、ip可以访问的端口，而127.0.0.1的端口则是只供本机访问的端口。

3、远程地址是127.0.0.1：其他端口号的TCP协议

  TCP    127.0.0.1:60866        127.0.0.1:54530        ESTABLISHED
  TCP    127.0.0.1:60867        127.0.0.1:60868        ESTABLISHED
  TCP    127.0.0.1:60868        127.0.0.1:60867        ESTABLISHED

　　可以看到这些端口一搬处于正在连接的状态，我不太清楚这些的含义，但是看另一篇文章https://blog.csdn.net/fearGod/article/details/84051851

提到了一点点，或许是代理？是由某些应用引起的，比如说看第一条，我打算访问127.0.0.1:54530的时候就会访问到127.0.0.1:60866这样子吧。

4、[::]:0和 *:*

　　它们相当于[0.0.0.0]:0，相当于任意地址

5、正常的对外的端口

  TCP    10.18.16.169:60966     123.125.132.35:443     ESTABLISHED
  TCP    10.18.16.169:60971     202.106.5.21:443       ESTABLISHED
  TCP    10.18.16.169:60975     61.135.169.121:443     ESTABLISHED
  TCP    10.18.16.169:60982     216.58.200.46:443      SYN_SENT
  TCP    10.18.16.169:60983     216.58.200.46:443      SYN_SENT
  TCP    10.18.16.169:60984     112.80.255.252:443     ESTABLISHED
  TCP    10.18.16.169:60985     123.125.132.31:443     ESTABLISHED
  TCP    10.18.16.169:60986     202.89.233.100:443     ESTABLISHED
  TCP    10.18.16.169:60987     13.107.18.11:443       ESTABLISHED
  TCP    10.18.16.169:60988     10.236.9.147:80        ESTABLISHED
  TCP    10.18.16.169:60989     216.58.200.46:443      SYN_SENT
  TCP    10.18.16.169:60990     131.253.33.254:443     ESTABLISHED
  TCP    10.18.16.169:60991     13.107.18.254:443      ESTABLISHED
  TCP    10.18.16.169:60992     13.107.3.254:443       SYN_SENT

　　一般内部地址是主机ip，处于连接或者握手挥手阶段。如上80端口是为超文本传输协议（HTTP）开放的端口，443是网页浏览端口，主要用于https。

　　突然断开网络连接就变成下面这个样子了（使用netstat -a查看的结果）

  TCP    10.18.16.169:61763     61.135.169.121:https   FIN_WAIT_1
  TCP    10.18.16.169:61764     39.96.126.153:https    FIN_WAIT_1
  TCP    10.18.16.169:61766     61.240.129.191:https   FIN_WAIT_1
  TCP    10.18.16.169:61767     111.206.4.103:https    FIN_WAIT_1
  TCP    10.18.16.169:61769     119.167.170.226:https  FIN_WAIT_1
  TCP    10.18.16.169:61770     123.125.132.35:https   FIN_WAIT_1