Komenda netstat jest poleceniem wiersza polecenia używanym do wyświetlenia bardzo szczegółowe informacje o tym, jak komputer komunikuje się z innymi komputerami lub urządzeniami sieciowymi.
W szczególności polecenie netstat może pokazywać szczegółowe informacje na temat poszczególnych połączeń sieciowych, ogólnych statystyk dotyczących sieci i protokołu oraz wiele innych, które mogą pomóc w rozwiązywaniu pewnych problemów związanych z siecią.
Dostępność komendy Netstat
Komenda netstat jest dostępna w wierszu polecenia w większości wersji systemu Windows, w tym w systemach Windows 10, Windows 8, Windows 7, Windows Vista, Windows XP, Windows Server i starszych wersjach systemu Windows.
Dostępność niektórych przełączników poleceń netstat i innych składni polecenia netstat może być różna dla różnych systemów operacyjnych.
Składnia poleceń Netstat
netstat -za -b -mi -fa -n -o -p protokół -r -s -t -x -y Przedział czasowy /?
Wykonaj komendę netstat, aby wyświetlić względnie prostą listę wszystkich aktywnych połączeń TCP, które dla każdego będą pokazywały lokalny adres IP (twój komputer), obcy adres IP (inny komputer lub urządzenie sieciowe) wraz z ich odpowiednimi numery portów, a także stan TCP.
-za = Ten przełącznik wyświetla aktywne połączenia TCP, połączenia TCP ze stanem nasłuchiwania, a także porty UDP, które są odsłuchiwane.
-b = Ten przełącznik netstat jest bardzo podobny do -o przełącznik wymieniony poniżej, ale zamiast wyświetlać PID, wyświetli rzeczywistą nazwę pliku procesu. Za pomocą -b koniec -o może wydawać się, że oszczędza ci krok lub dwa, ale używanie go może czasem znacznie wydłużyć czas, jaki zajmuje netstat, aby w pełni wykonać.
-mi = Użyj tego przełącznika za pomocą komendy netstat, aby wyświetlić statystyki dotyczące połączenia sieciowego. Dane te obejmują bajty, pakiety unicast, pakiety unicast, odrzucenia, błędy i nieznane protokoły odebrane i wysłane od czasu ustanowienia połączenia.
-fa = The -fa switch zmusi komendę netstat do wyświetlenia w pełni kwalifikowanej nazwy domeny (FQDN) dla każdego obcego adresu IP, jeśli jest to możliwe.
-n = Użyj -n przełącz, aby uniemożliwić usłudze Netstat próbę określenia nazw hostów dla zagranicznych adresów IP. W zależności od bieżących połączeń sieciowych użycie tego przełącznika może znacznie skrócić czas potrzebny do pełnego wykonania polecenia netstat.
-o = Poręczna opcja dla wielu zadań rozwiązywania problemów, -o switch wyświetla identyfikator procesu (PID) powiązany z każdym wyświetlanym połączeniem. Zobacz przykład poniżej, aby dowiedzieć się więcej o użyciu netstat -o.
-p = Użyj -p przełącz, aby wyświetlać połączenia lub statystyki tylko dla określonego protokół . Nie możesz zdefiniować więcej niż jednego protokół od razu, ani nie możesz wykonać netstat z -p bez definiowania a protokół .
protokół = Podczas określania protokół z -p opcja, której możesz użyć tcp, udp, tcpv6, lub udpv6. Jeśli użyjesz -s z -p aby wyświetlić statystyki według protokołu, możesz użyć icmp, ip, icmpv6, lub ipv6 oprócz pierwszych czterech, o których wspomniałem.
-r = Wykonaj netstat z -r aby wyświetlić tabelę routingu IP. Jest to to samo, co użycie polecenia route do wykonania wydruk trasy.
-s = The -s można użyć z poleceniem netstat, aby wyświetlić szczegółowe statystyki według protokołu. Możesz ograniczyć wyświetlane statystyki do określonego protokołu za pomocą -s opcję i określając to protokół , ale pamiętaj, aby użyć -s przed -p protokół przy użyciu przełączników razem.
-t = Użyj -t przełącz, aby pokazać aktualny stan rozładowania komina TCP zamiast zwykle wyświetlanego stanu TCP.
-x = Użyj -x opcja pokazywania wszystkich detektorów, połączeń i współużytkowanych punktów końcowych NetworkDirect.
-y = The -y przełącznik może być używany do wyświetlania szablonu połączenia TCP dla wszystkich połączeń. Nie możesz użyć -y z dowolną inną opcją netstat.
Przedział czasowy = To jest czas, w sekundach, aby polecenie netstat zostało ponownie uruchomione automatycznie, zatrzymując się tylko wtedy, gdy użyjesz Ctrl-C do zakończenia pętli.
/? = Użyj przełącznika pomocy, aby wyświetlić szczegółowe informacje na temat kilku opcji polecenia netstat.
Ułatw sobie pracę z wszystkimi informacjami Netstat w wierszu poleceń, wyprowadzając to, co widzisz na ekranie, do pliku tekstowego za pomocą operatora przekierowania. Zobacz artykuł Jak przekierować dane wyjściowe polecenia do pliku, aby uzyskać pełne instrukcje.
Przykłady poleceń Netstat
netstat -f
W tym pierwszym przykładzie wykonuję netstat, aby pokazać wszystkie aktywne połączenia TCP. Jednak chcę zobaczyć komputery, z którymi jestem połączony w formacie FQDN -fa zamiast prostego adresu IP.
Oto przykład tego, co możesz zobaczyć:
Aktywne połączenia Proto Adres lokalny Stan adresu zagranicznego TCP 127.0.0.1:5357 VM-Windows-7: 49229 TIME_WAIT TCP 127.0.0.1:49225 VM-Windows-7: 12080 TIME_WAIT TCP 192.168.1.14:49194 75.125.212.75:htt CLOSE_WAIT TCP 192.168.1.14:49196 a795sm.avast.com:http CLOSE_WAIT TCP 192.168.1.14:49197 a795sm.avast.com:http CLOSE_WAIT TCP 192.168.1.14:49230 TIM-PC: wsd TIME_WAIT TCP 192.168.1.14:49231 TIM-PC: icslap ESTABLISHED TCP 192.168.1.14:49232 TIM-PC: netbios-ssn TIME_WAIT TCP 192.168.1.14:49233 TIM-PC: netbios-ssn TIME_WAIT TCP :: 1: 2869 VM-Windows-7: 49226 ESTABLISHED TCP :: 1: 49226 VM-Windows-7: icslap ESTABLISHED
Jak widać, w momencie wykonania polecenia netstat w tym przykładzie było 11 aktywnych połączeń TCP. Jedyny protokół (w Proto kolumna) wymieniono TCP, który był oczekiwany, ponieważ nie użyłem -za. Możesz również zobaczyć trzy zestawy adresów IP w Lokalny adres column-mój rzeczywisty adres IP 192.168.1.14 i zarówno wersje IPv4, jak i IPv6 moich adresów sprzężenia zwrotnego, wraz z portem, z którego korzysta każde połączenie. The Zagraniczny adres kolumna wymienia nazwę FQDN ( 75.125.212.75 nie udało się rozwiązać z jakiegoś powodu) wraz z tym portem. Wreszcie, Stan kolumna wyświetla stan TCP tego konkretnego połączenia. netstat -o
W tym przykładzie netstat będzie działał normalnie, więc wyświetla tylko aktywne połączenia TCP, ale chcemy też zobaczyć odpowiedni identyfikator procesu -o dla każdego połączenia, abyśmy mogli określić, który program na komputerze zainicjował każdy. Oto, co wyświetlał komputer: Aktywne połączenia Proto Local Address Adres obcy State PID TCP 192.168.1.14:49194 75.125.212.75:http CLOSE_WAIT 2948 TCP 192.168.1.14:49196 a795sm: http CLOSE_WAIT 2948 TCP 192.168.1.14:49197 a795sm: http CLOSE_WAIT 2948
Prawdopodobnie zauważyłeś nowy PID kolumna. W tym przypadku PID są takie same, co oznacza, że te same programy na moim komputerze otworzyły te połączenia. Aby ustalić, który program jest reprezentowany przez PID z 2948 na komputerze, wszystko co musisz zrobić, to otworzyć Task Manager, kliknąć Procesy kartę i zanotuj Nazwa obrazu wymienione obok PID, którego szukam w PID kolumna.1 Używanie polecenia netstat z -o Opcja może być bardzo pomocna przy śledzeniu, który program używa zbyt dużej części przepustowości. Może również pomóc w zlokalizowaniu miejsca docelowego, w którym złośliwe oprogramowanie, a nawet prawnie uzasadnione oprogramowanie, może przesyłać informacje bez Twojej zgody. Chociaż ten i poprzedni przykład były uruchomione na tym samym komputerze, w ciągu zaledwie jednej minuty od siebie, widać, że lista aktywnych połączeń TCP jest znacznie inna. Dzieje się tak dlatego, że komputer stale łączy się z różnymi innymi urządzeniami w sieci i przez Internet, a także rozłącza się z nimi. netstat -s -p tcp -f
W tym trzecim przykładzie chcemy zobaczyć statystyki specyficzne dla protokołu -s ale nie wszystkie, po prostu statystyki TCP -p tcp . Chcemy również zagranicznych adresów wyświetlanych w formacie FQDN -fa. Oto co polecenie netstat, jak pokazano powyżej, wygenerowało na przykładowym komputerze: Statystyki TCP dla IPv4 Aktywne otwiera = 77 Pasywne otwiera = 21 Nieudane próby połączenia = 2 Zresetuj połączenia = 25 Bieżące połączenia = 5 Odebrane segmenty = 7313 Wysłane segmenty = 4824 Segmenty ponownie przesłane = 5 Aktywne połączenia Proto Adres lokalny Stan adresu zagranicznego TCP 127.0.0.1:2869 VM-Windows-7: 49235 TIME_WAIT TCP 127.0.0.1:2869 VM-Windows-7: 49238 ESTABLISHED TCP 127.0.0.1:49238 VM-Windows-7: icslap ESTABLISHED TCP 192.168.1.14:49194 75.125.212.75:htt CLOSE_WAIT TCP 192.168.1.14:49196 a795sm.avast.com:http CLOSE_WAIT TCP 192.168.1.14:49197 a795sm.avast.com:http CLOSE_WAIT
Jak widać różne statystyki dla protokołu TCP są wyświetlane, podobnie jak wszystkie aktywne połączenia TCP w tym czasie. netstat -e -t 5
W tym ostatnim przykładzie wykonywana jest komenda netstat pokazująca podstawowe statystyki interfejsu sieciowego -mi i dlatego te statystyki są stale aktualizowane w oknie poleceń co pięć sekund -t 5 . Oto, co zostało wyprodukowane na ekranie: Statystyki interfejsu Wysłano wysłane Bytes 22132338 1846834 Pakiety unicast 19113 9869 Pakiety nie-unicast 0 0 Odrzuca 0 0 Błędy 0 0 Nieznane protokoły 0 Statystyki interfejsu Wysłano wysłane Bytes 22134630 1846834 Pakiety unicast 19128 9869 Pakiety nie-unicast 0 0 Odrzuca 0 0 Błędy 0 0 Nieznane protokoły 0 ^ C
Różne informacje, które możesz tu zobaczyć i które wymienię w -mi składnia powyżej, są wyświetlane. Polecenie netstat wykonało automatycznie tylko jeden dodatkowy czas, co widać po dwóch tabelach w wyniku. Zanotuj ^ C na dole, wskazując, że polecenie przerwania Ctrl-C zostało użyte do zatrzymania ponownego uruchamiania polecenia. Polecenie netstat jest często używane z innymi powiązanymi z siecią poleceniami wiersza polecenia, takimi jak nslookup, ping, tracert, ipconfig i inne. 1 Może być konieczne ręczne dodanie kolumny PID do Menedżera zadań. Możesz to zrobić, zaznaczając pole wyboru "PID (Identyfikator procesu)" z Widok -> Wybierz kolumny w Menedżerze zadań. Możesz również kliknąć przycisk "Pokaż procesy od wszystkich użytkowników" na karcie Procesy, jeśli poszukiwany PID nie znajduje się na liście. Polecenia pokrewne Netstat
