Netstat-kommandoen, som betyr nettverksstatistikk, er en ledetekst-kommando som brukes til å vise svært detaljert informasjon om hvordan datamaskinen din kommuniserer med andre datamaskiner eller nettverksenheter.
Spesifikt kan den vise detaljer om individuelle nettverkstilkoblinger, generell og protokollspesifikk nettverksstatistikk og mye mer, som alle kan hjelpe til med å feilsøke visse typer nettverksproblemer.
Netstat-kommandotilgjengelighet
Denne kommandoen er tilgjengelig fra ledeteksten i de fleste versjoner av Windows, inkludert Windows 11, Windows 10, Windows 8, Windows 7, Windows Vista, Windows XP, Windows Server-operativsystemer og noen eldre versjoner av Windows også.
Netstat er en kommando på tvers av plattformer, noe som betyr at den også er tilgjengelig i andre operativsystemer som macOS og Linux.
Tilgjengeligheten av visse netstat-kommandobrytere og annen netstat-kommandosyntaks kan variere fra operativsystem til operativsystem.
Netstat-kommandosyntaks
netstat [- a] [- b] [- e] [- f] [- n] [- o] [-p protokoll] [-r ] [-s ] [-t] [- x] [- y] [tidsintervall] [ /?]
| Netstat-kommandoliste | |
|---|---|
| Option | Forklaring |
| netstat | Utfør netstat-kommandoen alene for å vise en relativt enkel liste over alle aktive TCP-tilkoblinger som for hver enkelt vil vise den lokale IP-adressen (datamaskinen din), den utenlandske IP-adressen (den andre datamaskinen eller nettverksenheten), sammen med deres respektive portnumre, samt TCP-tilstanden. |
| - a | Denne bryteren viser aktive TCP-tilkoblinger, TCP-tilkoblinger med lyttetilstand, samt UDP-porter som det lyttes til. |
| - b | Denne netstat-svitsjen er veldig lik - o-bryteren som er oppført nedenfor, men i stedet for å vise PID, vil den vise prosessens faktiske filnavn. Å bruke - b over - o kan virke som det sparer deg et trinn eller to, men bruk av det kan noen ganger forlenge tiden det tar for netstat å fullføre. |
| - e | Bruk denne bryteren med netstat-kommandoen for å vise statistikk om nettverkstilkoblingen din. Disse dataene inkluderer byte, unicast-pakker, ikke-unicast-pakker, kasseringer, feil og ukjente protokoller mottatt og sendt siden tilkoblingen ble opprettet. |
| - f | - f-svitsjen vil tvinge netstat-kommandoen til å vise Fully Qualified Domain Name (FQDN) for hver utenlandske IP-adresse når det er mulig. |
| - n | Bruk - n-bryteren for å hindre netstat i å forsøke å bestemme vertsnavn for utenlandske IP-adresser. Avhengig av de nåværende nettverkstilkoblingene dine, kan bruk av denne svitsjen redusere tiden det tar for netstat å kjøre fullstendig. |
| - o | - o-bryteren, som er et praktisk alternativ for mange feilsøkingsoppgaver, viser prosessidentifikatoren (PID) knyttet til hver viste tilkobling. Se eksempelet nedenfor for mer om bruk av netstat -o. |
| - p | Bruk - p-bryteren for å vise tilkoblinger eller statistikk kun for en bestemt protokoll. Du kan ikke definere mer enn én protokoll samtidig, og du kan heller ikke kjøre netstat med - p uten å definere en protokoll. |
| protocol | Når du spesifiserer en protokoll med - p- alternativet, kan du bruke tcp, udp, tcpv6, eller udpv6 Hvis du bruker - s med - p for å vise statistikk etter protokoll, kan du bruke icmp, ip, icmpv6, eller ipv6 i tillegg til de fire første jeg nevnte. |
| - r | Kjør netstat med - r for å vise IP-rutingstabellen. Dette er det samme som å bruke rutekommandoen til å utføre ruteutskrift. |
| - s | - s- alternativet kan brukes med netstat-kommandoen for å vise detaljert statistikk etter protokoll. Du kan begrense statistikken som vises til en bestemt protokoll ved å bruke - s- alternativet og spesifisere den protokollen, men husk å bruke - s før- p protokoll når bryterne brukes sammen. |
| - t | Bruk - t-bryteren for å vise gjeldende TCP-skorsteinsavlastningstilstand i stedet for den typisk viste TCP-tilstanden. |
| - x | Bruk - x- alternativet for å vise alle NetworkDirect-lyttere, tilkoblinger og delte endepunkter. |
| - y | - y-bryteren kan brukes til å vise TCP-tilkoblingsmalen for alle tilkoblinger. Du kan ikke bruke - y med noe annet netstat- alternativ. |
| time_in interval | Dette er tiden, i sekunder, som du vil at netstat-kommandoen skal kjøres på nytt automatisk, og stopper bare når du bruker Ctrl-C for å avslutte loopen. |
| /? | Bruk hjelpebryteren for å vise detaljer om netstat-kommandoens flere alternativer. |
Gjør all den netstat-informasjonen på kommandolinjen enklere å jobbe med ved å sende ut det du ser på skjermen til en tekstfil ved hjelp av en omdirigeringsoperatør. Se Hvordan omdirigere kommandoutdata til en fil for fullstendige instruksjoner.
Netstat-kommandoeksempler
Her er flere eksempler som viser hvordan netstat-kommandoen kan brukes:
Vis aktive TCP-tilkoblinger
netstat -f
I dette første eksempelet kjører vi netstat for å vise alle aktive TCP-forbindelser. Vi ønsker imidlertid å se datamaskinene vi er koblet til i FQDN-format [- f] i stedet for en enkel IP-adresse.
Her er et eksempel på hva du kan se:
Active Connections
Proto Local Address Foreign Address State
TCP 127.0.0.1:5357 VM-Windows-7: 49229 TIME_WAIT
TCP 127.0.0.1:49225 VM-Windows-7:12080 TIME_WAIT
TCP 192.168.1.14:49194 75.125.212.75:http CLOSE_WAIT
TCP 192.168.1.14:49196 a795sm.avast.com:http CLOSE_WAIT2.1 1CP 11 49197 a795sm.avast.com:http CLOSE_WAIT
TCP 192.168.1.14:49230 TIM-PC:wsd TIME_WAIT
TCP 192.168.1.14:492PC:icslap ETABLISHED
TCP 192.168.1.14:49232 TIM-PC:netbios-ssn TIME_WAIT
TCP 192.168.1.14:49233 TIM-PCs:nbios TIME_WAIT
TCP [::1]:2869 VM-Windows-7:49226 ETABLERT
TCP [::1]:49226 VM-Windows-7:icslap ETABLERT
Som du kan se, var det 11 aktive TCP-tilkoblinger på det tidspunktet netstat ble utført i dette eksemplet. Den eneste protokollen (i Proto-kolonnen) som er oppført er TCP, som var forventet fordi vi ikke brukte - a.
Du kan også se tre sett med IP-adresser i kolonnen Lokal adresse – den faktiske IP-adressen til 192.168.1.14 og både IPv4- og IPv6-versjoner av tilbakekoblingsadressene, sammen med porten hver tilkobling bruker. Foreign Address-kolonnen viser FQDN (75.125.212.75 ble ikke løst av en eller annen grunn) sammen med porten også.
Til slutt viser State-kolonnen TCP-tilstanden til den aktuelle forbindelsen.
Vis tilkoblinger og prosessidentifikatorer
netstat -o
I dette eksempelet vil netstat kjøres norm alt, så det viser bare aktive TCP-tilkoblinger, men vi ønsker også å se den tilsvarende prosessidentifikatoren [- o] for hver tilkobling, så at vi kan finne ut hvilket program på datamaskinen som startet hvert enkelt.
Her er hva datamaskinen viste:
Active Connections
Proto Local Address Foreign Address State PID
TCP 192.168.1.14:49194 75.125.212.75:http CLOSE_WAIT 2948
TCP 192.168.1.14:49196 a795sm:http CLOSE_WAIT 2948
TCP 192.168.1.14:49197:49197 a795sm82SE_IT:http a795sIT
Du har sannsynligvis lagt merke til den nye PID-kolonnen. I dette tilfellet er alle PID-ene like, noe som betyr at det samme programmet på datamaskinen åpnet disse forbindelsene.
For å finne ut hvilket program som er representert av PID-en til 2948 på datamaskinen, er alt du trenger å gjøre å åpne Oppgavebehandling, velg Processes-fanen og noter bildenavnet oppført ved siden av PID-en vi ser etter i PID-kolonnen.1
Å bruke netstat-kommandoen med - o- alternativet kan være svært nyttig når du skal spore opp hvilket program som bruker for stor andel av båndbredden din. Det kan også hjelpe å finne destinasjonen der en slags skadelig programvare, eller til og med en ellers legitim programvare, kan sende informasjon uten din tillatelse.
Mens dette og forrige eksempel begge ble kjørt på samme datamaskin, og innen bare et minutt fra hverandre, kan du se at listen over aktive TCP-tilkoblinger er betydelig forskjellig. Dette er fordi datamaskinen din hele tiden kobler til og kobler fra forskjellige andre enheter på nettverket ditt og over internett.
Vis kun spesifikke tilkoblinger
netstat -0 | findstr 28604
Eksemplet ovenfor ligner på det vi allerede har sett på, men i stedet for å vise alle tilkoblinger, ber vi netstat-kommandoen bare vise tilkoblingene som bruker en spesifikk PID, 28604 i dette eksemplet.
En lignende kommando kan brukes til å filtrere ut forbindelsene med en CLOSE_WAIT-tilstand, ved å erstatte PID med ESTABLISHED.
Vis protokollspesifikk statistikk
netstat -s -p tcp -f
I dette eksemplet ønsker vi å se protokollspesifikk statistikk [- s], men ikke alle, bare TCP-statistikk [- ptcp]. Vi vil også at de utenlandske adressene skal vises i FQDN-format [-f ].
Dette er hva netstat-kommandoen, som vist ovenfor, produserte på eksempeldatamaskinen:
TCP-statistikk for IPv4
Active Opens=77
Passive Opens=21
mislykkede tilkoblingsforsøk=2 Tilbakestill tilkoblinger=25 Gjeldende tilkoblinger=5 Mottatte segmenter=7313 Segmenter sendt=4824 Segmenter videresendt=5Active Connections Proto Lokal adresse Utenlandsk adresse State TCP 127.0.0.1:2869 VM-Windows-7:49235 TIME_WAIT TCP 127.0.0.1:2869 VM-Windows-7:49238 ETABLERT TCP 127.0. 0.1:49238 VM-Windows-7:icslap ESTABLISHED TCP 192.168.1.14:49194 75.125.212.75:http CLOSE_WAIT TCP 192.168.1.14:49194 75.125.212.75:http CLOSE_WAIT TCP 192.919.16 a.m..avast.com:http CLOSE_WAIT
TCP 192.168.1.14:49197 a795sm.avast.com:http CLOSE_WAIT
Som du kan se, vises ulike statistikker for TCP-protokollen, i likhet med alle aktive TCP-forbindelser på den tiden.
Vis oppdatert nettverksstatistikk
netstat -e -t 5
I dette siste eksempelet utføres netstat-kommandoen for å vise grunnleggende nettverksgrensesnittstatistikk [- e] og slik at denne statistikken kontinuerlig oppdateres i kommandovinduet hvert femte sekund [- t 5].
Her er det som produseres på skjermen:
Interface Statistics
Mottatt sendt
Bytes 22132338 1846834
Unicast-pakker 19113 9869
Ikke-unicast-pakker 0 0
Forkast 0 0
Feil 0 0
Ukjente protokoller 0Interface Statistics Mottatt sendt Bytes 22134630 1846834
Unicast-pakker 19128 9869
Ikke-unicast-pakker 0 0
Discards 0 0
Feil 0 0
Ukjente protokoller 0
^C
Ulike deler av informasjon, som du kan se her og som vi listet opp i - e syntaks ovenfor, vises.
Netstat-kommandoen ble kun utført automatisk én ekstra gang, som du kan se av de to tabellene i resultatet. Legg merke til ^C nederst, som indikerer at Ctrl+C avbryt-kommandoen ble brukt for å stoppe gjenkjøringen av kommandoen.
Netstat-relaterte kommandoer
Netstat-kommandoen brukes ofte med andre nettverksrelaterte ledetekstkommandoer som nslookup, ping, tracert, ipconfig og andre.
[1] Du må kanskje legge til PID-kolonnen manuelt i Oppgavebehandling. Du kan gjøre dette ved å velge PID etter å ha høyreklikket på kolonneoverskriftene i fanen Process. Hvis du bruker Windows 7 eller eldre Windows-operativsystemer, merker du av for PID (Process Identifier) fra View > Select Kolonner i Oppgavebehandling. Du må kanskje også velge Vis prosesser fra alle brukere fra bunnen av Processes-fanen hvis PID-en du leter etter ikke er oppført.
