Polecenie netstat, czyli statystyki sieci, to polecenie wiersza polecenia służące do wyświetlania bardzo szczegółowych informacji o tym, jak komputer komunikuje się z innymi komputerami lub urządzeniami sieciowymi.
W szczególności może pokazywać szczegółowe informacje o poszczególnych połączeniach sieciowych, ogólne i specyficzne dla protokołu statystyki sieciowe i wiele więcej, co może pomóc w rozwiązywaniu niektórych rodzajów problemów z siecią.
Dostępność poleceń Netstat
To polecenie jest dostępne z poziomu wiersza polecenia w większości wersji systemu Windows, w tym Windows 11, Windows 10, Windows 8, Windows 7, Windows Vista, Windows XP, systemach operacyjnych Windows Server i niektórych starszych wersjach systemu Windows też.
Netstat to polecenie wieloplatformowe, co oznacza, że jest również dostępne w innych systemach operacyjnych, takich jak macOS i Linux.
Dostępność niektórych przełączników poleceń netstat i innej składni poleceń netstat może się różnić w zależności od systemu operacyjnego.
Składnia polecenia Netstat
netstat [- a] [- b] [- e] [- f] [- n] [- o] [-p protokół] [-r ] [-s ] [-t] [- x] [- y] [interwał_czasu] [ /?]
| Lista poleceń Netstat | |
|---|---|
| Opcja | Wyjaśnienie |
| netstat | Wykonaj samo polecenie netstat, aby wyświetlić stosunkowo prostą listę wszystkich aktywnych połączeń TCP, która dla każdego z nich pokaże lokalny adres IP (Twój komputer), obcy adres IP (inny komputer lub urządzenie sieciowe), wraz z odpowiednimi numerami portów, a także stanem TCP. |
| - a | Ten przełącznik wyświetla aktywne połączenia TCP, połączenia TCP ze stanem nasłuchiwania, a także nasłuchiwane porty UDP. |
| - b | Ten przełącznik netstat jest bardzo podobny do przełącznika - o wymienionego poniżej, ale zamiast wyświetlania PID, wyświetli rzeczywistą nazwę pliku procesu. Używanie - b over - o może wydawać się, że zaoszczędzisz krok lub dwa, ale użycie go może czasami znacznie wydłużyć czas pełnego wykonania programu netstat. |
| - e | Użyj tego przełącznika z poleceniem netstat, aby wyświetlić statystyki dotyczące połączenia sieciowego. Te dane obejmują bajty, pakiety unicast, pakiety nieunicastowe, odrzucenia, błędy i nieznane protokoły otrzymane i wysłane od czasu nawiązania połączenia. |
| - f | Przełącznik - f wymusi na poleceniu netstat wyświetlenie w pełni kwalifikowanej nazwy domeny (FQDN) dla każdego obcego adresu IP, jeśli to możliwe. |
| - n | Użyj przełącznika - n, aby zapobiec próbie określenia przez netstat nazw hostów dla obcych adresów IP. W zależności od bieżących połączeń sieciowych użycie tego przełącznika może znacznie skrócić czas potrzebny do pełnego wykonania programu netstat. |
| - o | Przydatna opcja dla wielu zadań rozwiązywania problemów, przełącznik - o wyświetla identyfikator procesu (PID) powiązany z każdym wyświetlonym połączeniem. Zobacz poniższy przykład, aby dowiedzieć się więcej o używaniu netstat -o. |
| - p | Użyj przełącznika - p, aby wyświetlić połączenia lub statystyki tylko dla określonego protokołu. Nie możesz zdefiniować więcej niż jednego protokołu naraz, ani nie możesz uruchomić netstat z - p bez definiowania protokołu. |
| protokół | Podczas określania protokołu za pomocą opcji - p można użyć tcp, udp, tcpv6 lub udpv6 Jeśli używasz - s z - p aby wyświetlić statystyki według protokołu, możesz użyć icmp, ip, icmpv6 lub ipv6 oprócz pierwszych czterech, o których wspomniałem. |
| - r | Wykonaj polecenie netstat z - r, aby wyświetlić tabelę routingu IP. Jest to to samo, co użycie polecenia route do wykonania route print. |
| - s | Opcji - s można użyć z poleceniem netstat, aby wyświetlić szczegółowe statystyki według protokołu. Możesz ograniczyć wyświetlane statystyki do konkretnego protokołu, używając opcji - s i określając ten protokół, ale pamiętaj, aby użyć - s przed- p protokołu podczas jednoczesnego używania przełączników. |
| - t | Użyj przełącznika - t, aby wyświetlić bieżący stan odciążania komina TCP zamiast zwykle wyświetlanego stanu TCP. |
| - x | Użyj opcji - x, aby wyświetlić wszystkie odbiorniki NetworkDirect, połączenia i współdzielone punkty końcowe. |
| - y | Przełącznik - y może służyć do wyświetlania szablonu połączenia TCP dla wszystkich połączeń. Nie możesz używać - y z żadną inną opcją netstat. |
| time_w przedziale | To jest czas, w sekundach, w którym polecenie netstat ma zostać automatycznie ponownie wykonane, zatrzymując się tylko wtedy, gdy użyjesz Ctrl-C do zakończenia pętli. |
| /? | Użyj przełącznika pomocy, aby wyświetlić szczegółowe informacje o kilku opcjach polecenia netstat. |
Ułatwij pracę z wszystkimi informacjami netstat w wierszu poleceń, wyświetlając to, co widzisz na ekranie, do pliku tekstowego za pomocą operatora przekierowania. Zobacz Jak przekierować dane wyjściowe polecenia do pliku, aby uzyskać pełne instrukcje.
Przykłady poleceń Netstat
Oto kilka przykładów pokazujących, jak można użyć polecenia netstat:
Pokaż aktywne połączenia TCP
netstat -f
W tym pierwszym przykładzie uruchamiamy netstat, aby wyświetlić wszystkie aktywne połączenia TCP. Jednak chcemy widzieć komputery, z którymi jesteśmy połączeni, w formacie FQDN [- f] zamiast zwykłego adresu IP.
Oto przykład tego, co możesz zobaczyć:
Aktywne połączenia
Adres lokalny Proto Adres obcy Stan
TCP 127.0.0.1:5357 VM-Windows-7: 49229 TIME_WAIT
TCP 127.0.0.1:49225 VM-Windows-7:12080 TIME_WAIT
TCP 192.168.1.14:49194 75.125.212.75:http CLOSE_WAIT
TCP 192.168.1.14:49196 a795sm.avast.com:http CLOSE_WAIT
TCP 192.168.1.14: 49197 a795sm.avast.com:http CLOSE_WAIT
TCP 192.168.1.14:49230 TIM-PC:wsd TIME_WAIT
TCP 192.168.1.14:49231 TIM-PC:icslap ESTABLISHED
TCP 192.168.1.14:49232 TIM-PC:netbios-ssn CZAS_OCZEKIWANIA
TCP 192.168.1.14:49233 TIM-PC:netbios-ssn TIME_WAIT
TCP [::1]:2869 VM-Windows-7:49226 ESTABLISHED
TCP [::1]:49226 VM-Windows-7:icslap USTANOWIONO
Jak widać, w tym przykładzie było 11 aktywnych połączeń TCP w czasie wykonywania programu netstat. Jedynym wymienionym protokołem (w kolumnie Proto) jest TCP, co było oczekiwane, ponieważ nie używaliśmy - a.
W kolumnie Adres lokalny można również zobaczyć trzy zestawy adresów IP - rzeczywisty adres IP 192.168.1.14 oraz wersje IPv4 i IPv6 adresów sprzężenia zwrotnego, wraz z portem używanym przez każde połączenie. Kolumna Adres obcy zawiera nazwę FQDN (75.125.212.75 z jakiegoś powodu nie została rozwiązana) wraz z tym portem.
Na koniec kolumna Stan wyświetla stan TCP tego konkretnego połączenia.
Pokaż połączenia i identyfikatory procesów
netstat -o
W tym przykładzie netstat będzie działał normalnie, więc pokazuje tylko aktywne połączenia TCP, ale chcemy również zobaczyć odpowiedni identyfikator procesu [- o] dla każdego połączenia, więc że możemy określić, który program na komputerze zainicjował każdy z nich.
Oto co wyświetla komputer:
Aktywne połączenia
Adres lokalny Proto Adres obcy Stan PID
TCP 192.168.1.14:49194 75.125.212.75:http CLOSE_WAIT 2948
TCP 192.168.1.14:49196 a795sm:http CLOSE_WAIT 2948
TCP 192.168.1.14:49197 a795sm:http CLOSE_WAIT 2948
Prawdopodobnie zauważyłeś nową kolumnę PID. W tym przypadku wszystkie identyfikatory PID są takie same, co oznacza, że ten sam program na komputerze otworzył te połączenia.
Aby określić, jaki program jest reprezentowany na komputerze przez PID 2948, wystarczy otworzyć Menedżera zadań, wybrać kartę Proceses i zanotować nazwę obrazu wymienione obok szukanego PID w kolumnie PID.1
Korzystanie z polecenia netstat z opcją - o może być bardzo pomocne przy śledzeniu, który program zużywa zbyt dużą część przepustowości. Może również pomóc zlokalizować miejsce docelowe, w którym jakiś rodzaj złośliwego oprogramowania, a nawet legalny program, może wysyłać informacje bez Twojej zgody.
Podczas gdy ten i poprzedni przykład były uruchomione na tym samym komputerze iw odstępie jednej minuty, można zauważyć, że lista aktywnych połączeń TCP znacznie się różni. Dzieje się tak, ponieważ Twój komputer stale łączy się i rozłącza z różnymi innymi urządzeniami w Twojej sieci i przez Internet.
Pokaż tylko określone połączenia
netstat -0 | findstr 28604
Powyższy przykład jest podobny do tego, który już omówiliśmy, ale zamiast wyświetlać wszystkie połączenia, mówimy poleceniu netstat, aby wyświetlało tylko połączenia, które używają określonego PID, w tym przykładzie 28604.
Podobne polecenie może zostać użyte do odfiltrowania połączeń ze stanem CLOSE_WAIT, zastępując PID przez ESTABLISHED.
Pokaż statystyki specyficzne dla protokołu
netstat -s -p tcp -f
W tym przykładzie chcemy zobaczyć statystyki specyficzne dla protokołu [- s], ale nie wszystkie, tylko statystyki TCP [- pTCP]. Chcemy również, aby zagraniczne adresy były wyświetlane w formacie FQDN [-f ].
To właśnie polecenie netstat, jak pokazano powyżej, wygenerowało na przykładowym komputerze:
Statystyki TCP dla IPv4
Aktywnych otwarć=77
Pasywnych otwarć=21
Nieudane próby połączenia=2 Zresetuj połączenia=25 Aktualne połączenia=5 Odebrane segmenty=7313 Wysłane segmenty=4824 Retransmitowane segmenty=5Aktywne połączenia Proto Adres lokalny Adres obcy Stan TCP 127.0.0.1:2869 VM-Windows-7:49235 TIME_WAIT TCP 127.0.0.1:2869 VM-Windows-7:49238 USTANOWIONO TCP 127.0. 0.1:49238 VM-Windows-7:icslap ESTABLISHED TCP 192.168.1.14:49194 75.125.212.75:http CLOSE_WAIT TCP 192.168.1.14:49196 a795sm.avast.com:http CLOSE_WAIT TCP 192.168.1.14:49197 a795sm.avast.com:http CLOSE_WAIT
Jak widać, wyświetlane są różne statystyki dotyczące protokołu TCP, podobnie jak wszystkie aktywne połączenia TCP w tym czasie.
Pokaż zaktualizowane statystyki sieci
netstat -e -t 5
W tym ostatnim przykładzie polecenie netstat jest wykonywane w celu wyświetlenia podstawowych statystyk interfejsu sieciowego [- e] i aby te statystyki były stale aktualizowane w oknie poleceń co pięć sekund [- t 5].
Oto, co jest wyświetlane na ekranie:
Statystyki interfejsu
Odebrane Wysłane
Bajty 22132338 1846834
Pakiety unicast 19113 9869
Pakiety bez emisji pojedynczej 0 0
Odrzucenia 0 0
Błędy 0 0
Nieznane protokoły 0Statystyki interfejsu Odebrane Wysłane Bajty 22134630 1846834
Pakiety emisji pojedynczej 19128 9869
Pakiety inne niż emisji pojedynczej 0 0
Odrzucone 0 0
Błędy 0 0
Nieznane protokoły 0
^C
Wyświetlane są różne informacje, które można tu zobaczyć i które wymieniliśmy w składni - e powyżej.
Polecenie netstat wykonało się automatycznie tylko jeden raz więcej, co widać po dwóch tabelach w wynikach. Zwróć uwagę na ^C na dole, co oznacza, że polecenie przerwania Ctrl+C zostało użyte do zatrzymania ponownego uruchomienia polecenia.
Powiązane polecenia Netstat
Polecenie netstat jest często używane z innymi poleceniami wiersza polecenia związanymi z siecią, takimi jak nslookup, ping, tracert, ipconfig i inne.
[1] Może być konieczne ręczne dodanie kolumny PID do Menedżera zadań. Możesz to zrobić, wybierając PID po kliknięciu prawym przyciskiem myszy nagłówków kolumn na karcie Process. Jeśli używasz systemu Windows 7 lub starszego systemu operacyjnego Windows, zaznacz pole wyboru PID (identyfikator procesu) z View > Select Kolumny w Menedżerze zadań. Może być również konieczne wybranie Pokaż procesy wszystkich użytkowników na dole zakładki Proceses, jeśli PID, którego szukasz, nie znajduje się na liście.
