Skip to main content

So verwenden Sie den Netstat-Befehl

Der Befehl netstat ist ein zur Anzeige angezeigter Befehl sehr Ausführliche Informationen dazu, wie Ihr Computer mit anderen Computern oder Netzwerkgeräten kommuniziert.

Insbesondere können mit dem Befehl netstat Details zu einzelnen Netzwerkverbindungen, allgemeine und protokollspezifische Netzwerkstatistiken und vieles mehr angezeigt werden, die zur Behebung bestimmter Arten von Netzwerkproblemen beitragen können.

Netstat-Befehlsverfügbarkeit

Der Befehl netstat ist in der Eingabeaufforderung in den meisten Windows-Versionen verfügbar, einschließlich Windows 10, Windows 8, Windows 7, Windows Vista, Windows XP, Windows Server-Betriebssystemen und einigen älteren Windows-Versionen.

Die Verfügbarkeit bestimmter netstat-Befehlsschalter und anderer netstat-Befehlssyntax kann von Betriebssystem zu Betriebssystem unterschiedlich sein.

Netstat-Befehlssyntax

netstat [-ein] [-b] [-e] [-f] [-n] [-O] [-p Protokoll] [-r] [-s] [-t] [-x] [-y] [Zeitintervall] [/?]

So lesen Sie die Befehlssyntax

Führen Sie den Befehl netstat alleine aus, um eine relativ einfache Liste aller aktiven TCP-Verbindungen anzuzeigen, die jeweils die lokale IP-Adresse (Ihren Computer), die fremde IP-Adresse (den anderen Computer oder das Netzwerkgerät) sowie deren jeweilige Adresse anzeigt Portnummern sowie den TCP-Status.

-ein = Dieser Schalter zeigt aktive TCP-Verbindungen, TCP-Verbindungen mit dem Überwachungsstatus sowie die überwachten UDP-Ports an.

-b = Dieser netstat-Schalter ist dem ähnlich -O Die unten aufgelistete Option switch zeigt jedoch anstelle der PID den tatsächlichen Dateinamen des Prozesses an. Verwenden -b Über -O Es scheint, als würde es Ihnen ein oder zwei Schritte ersparen, aber die Verwendung von netstat kann manchmal erheblich dauern, bis es vollständig ausgeführt wird.

-e = Verwenden Sie diese Option mit dem Befehl netstat, um Statistiken zu Ihrer Netzwerkverbindung anzuzeigen. Diese Daten umfassen Bytes, Unicast-Pakete, Nicht-Unicast-Pakete, Verwerfungen, Fehler und unbekannte Protokolle, die seit dem Verbindungsaufbau empfangen und gesendet wurden.

-f = Die -f switch erzwingt, dass der Befehl netstat den vollqualifizierten Domänennamen (FQDN) für jede fremde IP-Adresse anzeigt, wenn dies möglich ist.

-n = Verwenden Sie die -n um zu verhindern, dass netstat versucht, Hostnamen für fremde IP-Adressen zu ermitteln. Abhängig von Ihren aktuellen Netzwerkverbindungen kann die Verwendung von netstat die Zeit, die netstat für die vollständige Ausführung benötigt, erheblich reduzieren.

-O = Eine praktische Option für viele Problembehandlungsaufgaben -O Der Schalter zeigt die Prozesskennung (PID) an, die jeder angezeigten Verbindung zugeordnet ist. Weitere Informationen zur Verwendung finden Sie im folgenden Beispiel netstat -o.

-p = Verwenden Sie die -p Wechseln Sie, um Verbindungen oder Statistiken nur für eine bestimmte Person anzuzeigen Protokoll. Sie können nicht mehr als eine definieren Protokoll sofort, noch können Sie netstat mit ausführen -p ohne a zu definieren Protokoll.

Protokoll = Bei Angabe von a Protokoll mit dem -p Option können Sie verwenden tcp, udp, tcpv6, oder udpv6. Wenn du benutzt -s mit -p Um Statistiken nach Protokoll anzuzeigen, können Sie verwenden icmp, ip, icmpv6, oder ipv6 zusätzlich zu den ersten vier, die ich erwähnt habe.

-r = Netstat mit ausführen -r um die IP-Routing-Tabelle anzuzeigen. Dies ist das gleiche wie bei der Ausführung des route-Befehls Route drucken.

-s = Die -s Option kann mit dem Befehl netstat verwendet werden, um detaillierte Statistiken nach Protokoll anzuzeigen. Sie können die angezeigten Statistiken auf ein bestimmtes Protokoll beschränken, indem Sie die verwenden -s Option und Angabe Protokoll, aber sicher sein, es zu benutzen -s Vor -p Protokoll wenn Sie die Schalter zusammen verwenden.

-t = Verwenden Sie die -t wechseln, um den aktuellen Zustand des TCP-Kaminablagerung anstelle des normalerweise angezeigten TCP-Status anzuzeigen.

-x = Verwenden Sie die -x Option zum Anzeigen aller NetworkDirect-Listener, -Verbindungen und gemeinsam genutzten Endpunkte.

-y = Die -y Mit switch kann die TCP-Verbindungsvorlage für alle Verbindungen angezeigt werden. Sie können nicht verwenden -y mit jeder anderen netstat-Option.

Zeitintervall = Dies ist die Zeit (in Sekunden), in der der netstat-Befehl automatisch erneut ausgeführt werden soll. Er wird nur angehalten, wenn Sie die Schleife mit Ctrl-C beenden.

/? = Verwenden Sie die Option help, um Details zu den verschiedenen Optionen des Befehls netstat anzuzeigen.

Machen Sie die Arbeit mit allen netstat-Informationen in der Befehlszeile einfacher, indem Sie das, was Sie auf dem Bildschirm sehen, mithilfe eines Umleitungsoperators in eine Textdatei ausgeben. Vollständige Anweisungen finden Sie unter Umleiten der Befehlsausgabe in eine Datei.

Beispiele für Netstat-Befehle

netstat -f

In diesem ersten Beispiel führe ich netstat aus, um alle aktiven TCP-Verbindungen anzuzeigen. Ich möchte jedoch die Computer sehen, mit denen ich im FQDN-Format verbunden bin.-f] anstelle einer einfachen IP-Adresse.

Hier ist ein Beispiel für das, was Sie sehen könnten:

Aktive Verbindungen Status der lokalen Adresse des Auslands TCP 127.0.0.1:5357 VM-Windows-7: 49229 TIME_WAIT TCP 127.0.0.1:49225 VM-Windows-7: 12080 TIME_WAIT TCP 192.168.1.14:49194 75.125.212.75:http CLOSE_WAIT TCP 192.168.1.14:49196 a795sm.avast.com:http CLOSE_WAIT TCP 192.168.1.14:49197 a795sm.avast.com:http CLOSE_WAIT TCP 192.168.1.14:49230 TIM-PC: wsd TIME_WAIT TCP 192.168.1.14:49231 TIM-PC: icslap ERSTATTET TCP 192.168.1.14:49232 TIM-PC: netbios-ssn TIME_WAIT TCP 192.168.1.14:49233 TIM-PC: netbios-ssn TIME_WAIT TCP [:: 1]: 2869 VM-Windows-7: 49226 ERSTELLT TCP [:: 1]: 49226 VM-Windows-7: icslap ERSTELLT

Wie Sie sehen, gab es zum Zeitpunkt der Ausführung von netstat in diesem Beispiel 11 aktive TCP-Verbindungen. Das einzige Protokoll (in der Proto Spalte) aufgeführt ist TCP, was erwartet wurde, weil ich es nicht verwendet habe -ein.

Sie können auch drei Gruppen von IP-Adressen im sehen Lokale Adresse Spalte - meine tatsächliche IP-Adresse von 192.168.1.14 und sowohl die IPv4- als auch die IPv6-Version meiner Loopback-Adressen sowie der Port, den jede Verbindung verwendet. Das fremde Adresse Spalte listet den FQDN (75.125.212.75 nicht aus irgendeinem Grund zusammen mit diesem Port aufgelöst.

Endlich, das Zustand In dieser Spalte wird der TCP-Status dieser bestimmten Verbindung aufgeführt.

netstat -o

In diesem Beispiel wird netstat normal ausgeführt, sodass nur aktive TCP-Verbindungen angezeigt werden. Wir möchten jedoch auch die entsprechende Prozess-ID sehen.-O] für jede Verbindung, damit wir feststellen können, welches Programm auf dem Computer jede initiiert hat.

So sieht der Computer aus:

Aktive Verbindungen Lokale Adresse der Proto-Adresse Ausländischer Adressstatus TCP 192.168.1.14:49194 75.125.212.75:http CLOSE_WAIT 2948 TCP 192.168.1.14:49196 a795sm: http CLOSE_WAIT 2948 TCP 192.168.1.14:49197 a795sm: http CLOSE_WAIT 2948

Sie haben wahrscheinlich das Neue bemerkt PID Säule. In diesem Fall sind die PIDs alle gleich, was bedeutet, dass das gleiche Programm auf meinem Computer diese Verbindungen geöffnet hat.

Feststellen, welches Programm durch die PID von dargestellt wird 2948 Auf dem Computer müssen Sie lediglich den Task-Manager öffnen. Klicken Sie auf Prozesse Registerkarte, und beachten Sie die Bildname neben der PID aufgeführt Ich suche in der PID Säule.1

Verwenden des Befehls netstat mit der -O Diese Option kann sehr hilfreich sein, wenn Sie feststellen möchten, welches Programm einen zu großen Anteil Ihrer Bandbreite verwendet. Es kann auch dabei helfen, das Ziel zu finden, an das möglicherweise eine Art Malware oder sogar eine andere legitime Software ohne Ihr Einverständnis Informationen sendet.

Während dieses und das vorige Beispiel beide auf demselben Computer ausgeführt wurden und innerhalb einer Minute voneinander entfernt sind, können Sie feststellen, dass die Liste der aktiven TCP-Verbindungen sehr unterschiedlich ist. Dies liegt daran, dass Ihr Computer ständig mit verschiedenen anderen Geräten in Ihrem Netzwerk und über das Internet verbunden ist und die Verbindung zu ihnen getrennt hat.

netstat -s -p tcp -f

In diesem dritten Beispiel möchten wir protokollspezifische Statistiken sehen [-s] aber nicht alle, nur TCP-Statistiken [-p tcp]. Wir möchten auch, dass die ausländischen Adressen im FQDN-Format angezeigt werden.-f].

Der Befehl netstat, wie oben gezeigt, wurde auf dem Beispielcomputer erzeugt:

TCP-Statistiken für IPv4 Aktiv Öffnet = 77 Passiv Öffnet = 21 Fehlgeschlagene Verbindungsversuche = 2 Verbindungen zurücksetzen = 25 Aktuelle Verbindungen = 5 Erhaltene Segmente = 7313 Gesendete Segmente = 4824 Erneut übertragene Segmente = 5Aktive Verbindungen Status der lokalen Adresse des Auslands TCP 127.0.0.1:2869 VM-Windows-7: 49235 TIME_WAIT TCP 127.0.0.1:2869 VM-Windows-7: 49238 ERSTELLT TCP 127.0.0.1:49238 VM-Windows-7: icslap ERSTELLT TCP 192.168.1.14:49194 75.125.212.75:http CLOSE_WAIT TCP 192.168.1.14:49196 a795sm.avast.com:http CLOSE_WAIT TCP 192.168.1.14:49197 a795sm.avast.com:http CLOSE_WAIT

Wie Sie sehen, werden verschiedene Statistiken für das TCP-Protokoll sowie alle aktiven TCP-Verbindungen angezeigt.

netstat -e -t 5

In diesem letzten Beispiel wird der Befehl netstat ausgeführt, um einige grundlegende Netzwerkschnittstellenstatistiken anzuzeigen.-e] und damit diese Statistiken alle fünf Sekunden im Befehlsfenster kontinuierlich aktualisiert werden [-t 5].

Folgendes wird auf dem Bildschirm produziert:

Schnittstellenstatistik Empfangen gesendet Bytes 22132338 1846834 Unicast-Pakete 19113 9869 Nicht-Unicast-Pakete 0 0 Verwirft 0 0 Fehler 0 0 Unbekannte Protokolle 0Schnittstellenstatistik Empfangen gesendet Bytes 22134630 1846834 Unicast-Pakete 19128 9869 Nicht-Unicast-Pakete 0 0 Verwirft 0 0 Fehler 0 0 Unbekannte Protokolle 0^ C

Verschiedene Informationen, die Sie hier sehen können und die ich im -e Syntax oben werden angezeigt.

Der Befehl netstat wurde nur eine zusätzliche Zeit automatisch ausgeführt, wie Sie anhand der beiden Tabellen im Ergebnis sehen können. Beachten Sie das ^ C unten, um anzuzeigen, dass der Abbruchbefehl Ctrl-C verwendet wurde, um die erneute Ausführung des Befehls zu stoppen.

Netstat-bezogene Befehle

Der Befehl netstat wird häufig zusammen mit anderen Befehlen im Zusammenhang mit dem Netzwerk verwendet, z. B. nslookup, ping, tracert, ipconfig und anderen.

[1] Möglicherweise müssen Sie die PID-Spalte manuell zum Task-Manager hinzufügen. Aktivieren Sie dazu das Kontrollkästchen "PID (Process Identifier)" unter "Ansicht -> Spalten auswählen" im Task-Manager. Möglicherweise müssen Sie auch auf der Registerkarte Prozesse auf die Schaltfläche "Prozesse von allen Benutzern anzeigen" klicken, wenn die von Ihnen gesuchte PID nicht aufgeführt ist.