Netstat-kommandoen er en kommandoprompt-kommando som brukes til å vise veldig detaljert informasjon om hvordan datamaskinen kommuniserer med andre datamaskiner eller nettverksenheter.
Spesielt kan netstat-kommandoen vise detaljer om individuelle nettverksforbindelser, overordnet og protokollspesifikk nettverksstatistikk, og mye mer, som alle kan bidra til å feilsøke visse typer nettverksproblemer.
Netstat Command Tilgjengelighet
Netstat-kommandoen er tilgjengelig fra kommandoprompt i de fleste versjoner av Windows, inkludert Windows 10, Windows 8, Windows 7, Windows Vista, Windows XP, Windows Server-operativsystemer og noen eldre versjoner av Windows.
Tilgjengeligheten til visse netstat-kommandobrytere og andre netstat-kommandosyntaxer kan variere fra operativsystem til operativsystem.
Netstat Command Syntax
netstat -en -b -e -f -n -o -p protokollen -r -s -t -x -y tidsintervall /?
Utfør bare netstat-kommandoen for å vise en relativt enkel liste over alle aktive TCP-tilkoblinger som for hver enkelt vil vise den lokale IP-adressen (datamaskinen), den utenlandske IP-adressen (den andre datamaskinen eller nettverksenheten), sammen med deres respektive portnumre, samt TCP-tilstanden.
-en = Denne bryteren viser aktive TCP-tilkoblinger, TCP-tilkoblinger med lyttestatus, samt UDP-porter som blir lyttet til.
-b = Denne nettostatbryteren er veldig lik den -o bryteren som er oppført nedenfor, men i stedet for å vise PID, viser prosessens faktiske filnavn. Ved hjelp av -b over -o Det kan virke som om det sparer deg et trinn eller to, men bruk av det kan noen ganger forlenge tiden det tar nettstat å fullføre.
-e = Bruk denne bryteren med netstat-kommandoen for å vise statistikk om nettverksforbindelsen. Disse dataene inkluderer bytes, unicast-pakker, ikke-unicast-pakker, utkast, feil og ukjente protokoller mottatt og sendt siden forbindelsen ble etablert.
-f = Den -f byttet vil tvinge netstat-kommandoen til å vise fullt kvalifisert domenenavn (FQDN) for hver utenlandsk IP-adresse når det er mulig.
-n = Bruk -n bytt for å hindre at netstat prøver å bestemme vertsnavn for utenlandske IP-adresser. Avhengig av dine nåværende nettverkstilkoblinger kan bruk av denne bryteren redusere tiden det tar for nettstat å fullføre.
-o = Et praktisk alternativ for mange feilsøkingsoppgaver, -o Bytt viser prosessidentifikatoren (PID) som er knyttet til hver vist forbindelse. Se eksemplet nedenfor for mer om bruk av netstat -o.
-p = Bruk -p bytt for å vise tilkoblinger eller statistikk bare for en bestemt protokollen . Du kan ikke definere mer enn én protokollen på en gang, heller ikke kan du utføre netstat med -p uten å definere en protokollen .
protokollen = Når du spesifiserer a protokollen med -p alternativ, du kan bruke tcp, udp, tcpv6, eller udpv6. Hvis du bruker -s med -p for å vise statistikk etter protokoll, kan du bruke ICMP, ip, ICMPv6, eller ipv6 i tillegg til de fire første nevnte jeg.
-r = Utfør netstat med -r for å vise IP-rutingstabellen. Dette er det samme som å bruke rutekommandoen til å utføre ruteprint.
-s = Den -s alternativet kan brukes med netstat-kommandoen for å vise detaljert statistikk etter protokoll. Du kan begrense statistikken som vises til en bestemt protokoll ved å bruke -s alternativ og spesifisere det protokollen , men vær sikker på å bruke -s før -p protokollen når du bruker bryterne sammen.
-t = Bruk -t bytt for å vise den aktuelle TCP-skorsteinens avlastningstilstand i stedet for den typisk viste TCP-tilstanden.
-x = Bruk -x alternativ for å vise alle NetworkDirect-lyttere, tilkoblinger og delte endepunkter.
-y = Den -y Bytte kan brukes til å vise TCP-tilkoblingsmalen for all tilkobling. Du kan ikke bruke -y med alle andre netstat-alternativer.
tidsintervall = Dette er tiden, i sekunder, at du vil at netstat-kommandoen skal utføres automatisk, stopper bare når du bruker Ctrl-C for å avslutte sløyfen.
/? = Bruk hjelpebryteren til å vise detaljer om nettstatens kommandos flere alternativer.
Gjør alt det netstat-informasjonen i kommandolinjen lettere å jobbe med, ved å skrive ut det du ser på skjermen til en tekstfil ved hjelp av en omadresseringsoperatør. Se Hvordan omdirigere kommandoutgang til en fil for fullstendige instruksjoner.
Netstat kommando eksempler
netstat -f
I dette første eksempelet utfører jeg netstat for å vise alle aktive TCP-tilkoblinger. Imidlertid ønsker jeg å se datamaskinene jeg er koblet til i FQDN-format -f i stedet for en enkel IP-adresse.
Her er et eksempel på hva du kanskje ser:
Aktive tilkoblinger Proto Lokal Adresse Utenlands Adresse Stat TCP 127.0.0.1:5357 VM-Windows-7: 49229 TIME_WAIT TCP 127.0.0.1:49225 VM-Windows-7: 12080 TIME_WAIT TCP 192.168.1.14:49194 75.125.212.75:http CLOSE_WAIT TCP 192.168.1.14:49196 a795sm.avast.com:http CLOSE_WAIT TCP 192.168.1.14:49197 a795sm.avast.com:http CLOSE_WAIT TCP 192.168.1.14:49230 TIM-PC: wsd TIME_WAIT TCP 192.168.1.14:49231 TIM-PC: icslap ESTABLISHED TCP 192.168.1.14:49232 TIM-PC: netbios-ssn TIME_WAIT TCP 192.168.1.14:49233 TIM-PC: netbios-ssn TIME_WAIT TCP :: 1: 2869 VM-Windows-7: 49226 INNSTILLET TCP :: 1: 49226 VM-Windows-7: icslap ESTABLISHED
Som du ser, var det 11 aktive TCP-tilkoblinger på det tidspunktet netstat ble henrettet i dette eksemplet. Den eneste protokollen (i Proto kolonne) oppført er TCP, som ble forventet fordi jeg ikke brukte -en. Du kan også se tre sett med IP-adresser i Lokal adresse kolonne - min faktiske IP-adresse til 192.168.1.14 og både IPv4 og IPv6 versjoner av mine loopback-adresser, sammen med porten hver forbindelse bruker. De utenlandsk adresse kolonnen viser FQDN ( 75.125.212.75 ikke løst av en eller annen grunn) sammen med den porten også. Endelig, den Stat kolonnen viser TCP-tilstanden til den aktuelle forbindelsen. netstat -o
I dette eksemplet vil nettstat kjøres normalt slik at det bare viser aktive TCP-tilkoblinger, men vi vil også se den tilsvarende prosessidentifikatoren -o for hver tilkobling, slik at vi kan bestemme hvilket program på datamaskinen som startet hver enkelt. Slik viser datamaskinen: Aktive tilkoblinger Proto Lokal adresse Utenlandsadresse Statens PID TCP 192.168.1.14:49194 75.125.212.75:http CLOSE_WAIT 2948 TCP 192.168.1.14:49196 a795sm: http CLOSE_WAIT 2948 TCP 192.168.1.14:49197 a795sm: http CLOSE_WAIT 2948
Du har sikkert lagt merke til det nye PID kolonne. I dette tilfellet er PIDene alle de samme, noe som betyr at det samme programmet på datamaskinen min åpnet disse tilkoblingene. For å avgjøre hvilket program som er representert av PID av 2948 På datamaskinen, alt du trenger å gjøre er å åpne Oppgavebehandling, klikk på prosesser kategorien, og merk av Bilde navn oppført ved siden av PID jeg ser etter i PID kolonne.1 Bruk netstat-kommandoen med -o alternativet kan være svært nyttig når du sporer hvilket program som bruker for stor del av båndbredden din. Det kan også hjelpe deg med å finne destinasjonen der noen form for skadelig programvare, eller til og med et ellers legitimt program, kan sende informasjon uten din tillatelse. Mens dette og det forrige eksemplet var begge kjører på samme datamaskin, og innen bare et minutt av hverandre, kan du se at listen over aktive TCP-tilkoblinger er betydelig forskjellig. Dette skyldes at datamaskinen din hele tiden kobler seg til og kobler fra, forskjellige andre enheter på nettverket ditt og over internett. netstat -s -p tcp -f
I dette tredje eksemplet vil vi se protokollspesifikk statistikk -s men ikke alle av dem, bare TCP statistikk -p tcp . Vi vil også at de utenlandske adressene vises i FQDN-format -f. Dette er hva netstat-kommandoen, som vist ovenfor, produsert på eksempeldatamaskinen: TCP-statistikk for IPv4 Aktiv åpner = 77 Passiv åpner = 21 Feilte tilkoblingsforsøk = 2 Tilbakestill tilkoblinger = 25 Nåværende tilkoblinger = 5 Segmenter mottatt = 7313 Segmenter som er sendt = 4824 Segmenter Retransmitted = 5 Aktive tilkoblinger Proto Lokal Adresse Utenlands Adresse Stat TCP 127.0.0.1:2869 VM-Windows-7: 49235 TIME_WAIT TCP 127.0.0.1:2869 VM-Windows-7: 49238 INNSTILLET TCP 127.0.0.1:49238 VM-Windows-7: icslap ESTABLISHED TCP 192.168.1.14:49194 75.125.212.75:http CLOSE_WAIT TCP 192.168.1.14:49196 a795sm.avast.com:http CLOSE_WAIT TCP 192.168.1.14:49197 a795sm.avast.com:http CLOSE_WAIT
Som du ser, vises ulike statistikker for TCP-protokollen, som alle aktive TCP-tilkoblinger på den tiden. netstat -e -t 5
I dette siste eksempelet utføres netstat-kommandoen for å vise noen grunnleggende nettverksgrensesnittstatistikker -e og slik at disse statistikkene oppdateres kontinuerlig i kommandovinduet hvert femte sekund -t 5 . Her er det som er produsert på skjermen: Grensesnittstatistikk Mottatt sendt Bytes 22132338 1846834 Unicast-pakker 19113 9869 Ikke-unicast-pakker 0 0 Bortkast 0 0 Feil 0 0 Ukjente protokoller 0 Grensesnittstatistikk Mottatt sendt Bytes 22134630 1846834 Unicast-pakker 19128 9869 Ikke-unicast-pakker 0 0 Bortkast 0 0 Feil 0 0 Ukjente protokoller 0 ^ C
Ulike deler av informasjon, som du kan se her og det jeg oppførte i -e syntaks over, vises. Netstat-kommandoen utføres bare automatisk en ekstra tid, som du kan se ved de to tabellene i resultatet. Legg merke til ^ C nederst, som indikerer at Ctrl-C abort-kommandoen ble brukt til å stoppe gjenopprettingen av kommandoen. Netstat-kommandoen brukes ofte med andre nettverksrelaterte kommandoprompt-kommandoer som nslookup, ping, tracert, ipconfig og andre. 1 Du må kanskje manuelt legge til PID-kolonnen til Oppgavebehandling. Du kan gjøre dette ved å merke avkrysningsboksen "PID (Process Identifier)" fra Vis -> Velg kolonner i Oppgavebehandling. Du må kanskje også klikke på knappen Vis prosesser fra alle brukere på fanen Prosesser hvis PID du leter etter ikke er oppført. Netstat relaterte kommandoer
