假如我们需要确定谁占用了我们的9050端口

1、Windows平台
在windows命令行窗口下执行：

C:\>netstat -aon|findstr "9050"

TCP    127.0.0.1:9050         0.0.0.0:0              LISTENING       2016

看到了吗，端口被进程号为2016的进程占用，继续执行下面命令：

C:\>tasklist|findstr "2016"

tor.exe                     2016 Console                 0     16,064 K

很清楚吧，tor占用了你的端口。

-----------------------------------------------我是分割线----------------------------------

端口的状态变化（只有TCP协议才有状态，UDP协议是不可靠传输，是没有状态的）

?

1、LISTENING状态

FTP服务启动后首先处于侦听（LISTENING）状态。

State显示是LISTENING时表示处于侦听状态，就是说该端口是开放的，等待连接，但还没有被连接。就像你房子的门已经敞开的，但还没有人进来。

?

2、ESTABLISHED状态

ESTABLISHED的意思是建立连接。表示两台机器正在通信。

下面显示的是本机的FTP服务正在被192.168.1.1这台计算机访问。

inetinfo.exe:1260 TCP 192.168.1.10:21 192.168.1.1:3009 ESTABLISHED

注意:处于ESTABLISHED状态的连接一定要格外注意，因为它也许不是个正常连接。

?

3、 TIME_WAIT状态


TIME_WAIT的意思是结束了这次连接。说明21端口曾经有过访问，但访问结束了。

[System Process]:0 TCP 192.168.1.10:21 192.168.1.1:3009 TIME_WAIT

?
4、SYN_SENT状态

SYN_SENT状态表示请求连接，当你要访问其它的计算机的服务时首先要发个同步信号给该端口，此时状态为SYN_SENT，如果连接成功了就变为ESTABLISHED，此时SYN_SENT状态非常短暂。但如果发现SYN_SENT非常多且在向不同的机器发出，那你的机器可能中了冲击波或震荡波之类的病毒了。这类病毒为了感染别的计算机，它就要扫描别的计算机，在扫描的过程中对每个要扫描的计算机都要发出了同步请求，这也是出现许多SYN_SENT的原因。

?

----------------------------------------------------了解重点-------------------------------

?

1、服务端口重点要看的是LISTENING状态和ESTABLISHED状态，LISTENING是本机开了哪些端口，ESTABLISHED是谁在访问你的机器，从哪个地址访问的。

2、客户端口的SYN_SENT状态和ESTABLISHED状态，SYN_SENT是本机向其它计算机发出的连接请求，一般这个状态存在的时间很短，但如果本机发出了很多SYN_SENT，那可能就是中毒了。看ESTABLISHED状态是要发现本机正在和哪个机器传送数据，主要看是不是一个正常程序发起的。

?

?

?

?