Netstat-kommandoen, der betyder netværksstatistik, er en kommandoprompt, der bruges til at vise meget detaljerede oplysninger om, hvordan din computer kommunikerer med andre computere eller netværksenheder.
Specifikt kan den vise detaljer om individuelle netværksforbindelser, overordnede og protokolspecifikke netværksstatistikker og meget mere, som alt sammen kan hjælpe med at fejlfinde visse typer netværksproblemer.
Netstat-kommandotilgængelighed
Denne kommando er tilgængelig fra kommandoprompten i de fleste versioner af Windows, inklusive Windows 11, Windows 10, Windows 8, Windows 7, Windows Vista, Windows XP, Windows Server-operativsystemer og nogle ældre versioner af Windows også.
Netstat er en kommando på tværs af platforme, hvilket betyder, at den også er tilgængelig i andre operativsystemer som macOS og Linux.
Tilgængeligheden af visse netstat-kommandoer og anden netstat-kommandosyntaks kan variere fra operativsystem til operativsystem.
Netstat-kommandosyntaks
netstat [- a] [- b] [- e] [- f] [- n] [- o] [-p protokol] [-r ] [-s ] [-t] [- x] [- y] [time_interval] [ /?]
| Netstat-kommandoliste | |
|---|---|
| Option | Forklaring |
| netstat | Udfør netstat-kommandoen alene for at vise en relativt simpel liste over alle aktive TCP-forbindelser, som for hver enkelt vil vise den lokale IP-adresse (din computer), den udenlandske IP-adresse (den anden computer eller netværksenhed), sammen med deres respektive portnumre, samt TCP-tilstanden. |
| - a | Denne switch viser aktive TCP-forbindelser, TCP-forbindelser med lyttetilstand, samt UDP-porte, der lyttes til. |
| - b | Denne netstat-switch minder meget om - o-switchen, der er angivet nedenfor, men i stedet for at vise PID'et, vil den vise processens faktiske filnavn. Brug af - b over - o kan virke som om det sparer dig et trin eller to, men at bruge det kan nogle gange i høj grad forlænge den tid, det tager netstat at udføre fuldstændigt. |
| - e | Brug denne switch med netstat-kommandoen til at vise statistik om din netværksforbindelse. Disse data inkluderer bytes, unicast-pakker, ikke-unicast-pakker, kasseringer, fejl og ukendte protokoller, der er modtaget og sendt siden forbindelsen blev etableret. |
| - f | - f-omskifteren vil tvinge netstat-kommandoen til at vise det fuldt kvalificerede domænenavn (FQDN) for hver udenlandsk IP-adresse, når det er muligt. |
| - n | Brug - n omskifteren til at forhindre netstat i at forsøge at bestemme værtsnavne for udenlandske IP-adresser. Afhængigt af dine nuværende netværksforbindelser kan brugen af denne switch betydeligt reducere den tid, det tager for netstat at udføre fuldstændigt. |
| - o | En praktisk mulighed for mange fejlfindingsopgaver, - o-kontakten viser proces-id'en (PID) forbundet med hver viste forbindelse. Se eksemplet nedenfor for mere om brugen af netstat -o. |
| - p | Brug - p-kontakten til kun at vise forbindelser eller statistik for en bestemt protokol. Du kan ikke definere mere end én protokol på én gang, og du kan heller ikke udføre netstat med - p uden at definere en protokol. |
| protokol | Når du angiver en protokol med - p mulighed, kan du bruge tcp, udp, tcpv6 eller udpv6 Hvis du bruger - s med - p for at se statistik efter protokol, kan du bruge icmp, ip, icmpv6, eller ipv6 ud over de første fire, jeg nævnte. |
| - r | Kør netstat med - r for at vise IP-routingtabellen. Dette er det samme som at bruge rutekommandoen til at udføre ruteudskrivning. |
| - s | - s muligheden kan bruges med netstat-kommandoen til at vise detaljerede statistikker efter protokol. Du kan begrænse de viste statistikker til en bestemt protokol ved at bruge - s-indstillingen og specificere denne protokol, men sørg for at bruge - s før- p protokol, når kontakterne bruges sammen. |
| - t | Brug - t-kontakten til at vise den aktuelle TCP-skorstens aflastningstilstand i stedet for den typisk viste TCP-tilstand. |
| - x | Brug - x muligheden for at vise alle NetworkDirect-lyttere, forbindelser og delte slutpunkter. |
| - y | - y-kontakten kan bruges til at vise TCP-forbindelsesskabelonen for alle forbindelser. Du kan ikke bruge - y med nogen anden netstat-mulighed. |
| time_in interval | Dette er tidspunktet, i sekunder, hvor du ønsker, at netstat-kommandoen skal genudføres automatisk og kun stopper, når du bruger Ctrl-C til at afslutte løkken. |
| /? | Brug hjælpeknappen til at vise detaljer om netstat-kommandoens flere muligheder. |
Gør al den netstat-information på kommandolinjen nemmere at arbejde med ved at udskrive det, du ser på skærmen, til en tekstfil ved hjælp af en omdirigeringsoperator. Se Sådan omdirigeres kommandooutput til en fil for fuldstændige instruktioner.
Eksempler på Netstat-kommandoer
Her er flere eksempler, der viser, hvordan netstat-kommandoen kan bruges:
Vis aktive TCP-forbindelser
netstat -f
I dette første eksempel udfører vi netstat for at vise alle aktive TCP-forbindelser. Vi ønsker dog at se de computere, vi er forbundet til, i FQDN-format [- f] i stedet for en simpel IP-adresse.
Her er et eksempel på, hvad du kan se:
Active Connections
Proto Lokal adresse Udenlandsk adresse State
TCP 127.0.0.1:5357 VM-Windows-7: 49229 TIME_WAIT
TCP 127.0.0.1:49225 VM-Windows-7:12080 TIME_WAIT
TCP 192.168.1.14:49194 75.125.212.75:http CLOSE_WAIT
TCP 192.168.1.14:49196 a795sm.avast.com:http CLOSE_WAIT.1.1CP61:19 49197 a795sm.avast.com:http CLOSE_WAIT
TCP 192.168.1.14:49230 TIM-PC:wsd TIME_WAIT
TCP 192.168.1.14:492PC:icslap ETABLISHED
TCP 192.168.1.14:49232 TIM-PC:netbios-ssn TIME_WAIT
TCP 192.168.1.14:49233 TIM-PCs:nbios TIME_WAIT
TCP [::1]:2869 VM-Windows-7:49226 ETABLET
TCP [::1]:49226 VM-Windows-7:icslap ETABLERET
Som du kan se, var der 11 aktive TCP-forbindelser på det tidspunkt, hvor netstat blev udført i dette eksempel. Den eneste protokol (i kolonnen Proto) er TCP, som var forventet, fordi vi ikke brugte - a.
Du kan også se tre sæt IP-adresser i kolonnen Lokal adresse - den faktiske IP-adresse på 192.168.1.14 og både IPv4- og IPv6-versioner af loopback-adresserne sammen med den port, hver forbindelse bruger. Kolonnen Foreign Address viser FQDN (75.125.212.75 blev ikke løst af en eller anden grund) sammen med den port også.
Til sidst viser kolonnen State TCP-tilstanden for den pågældende forbindelse.
Vis forbindelser og procesidentifikatorer
netstat -o
I dette eksempel vil netstat blive kørt norm alt, så det kun viser aktive TCP-forbindelser, men vi ønsker også at se den tilsvarende proces-id [- o] for hver forbindelse, så at vi kan bestemme, hvilket program på computeren, der startede hvert enkelt.
Her er, hvad computeren viste:
Active Connections
Proto Lokal adresse Udenlandsk adresse Stat PID
TCP 192.168.1.14:49194 75.125.212.75:http CLOSE_WAIT 2948
TCP 192.168.1.14:49196 a795sm:http CLOSE_WAIT 2948
TCP 192.168.1.14:49197:49197 a795mIT:http CLOSE_4IT:http CLOSE_4IT
Du har sikkert lagt mærke til den nye PID-kolonne. I dette tilfælde er PID'erne alle de samme, hvilket betyder, at det samme program på computeren åbnede disse forbindelser.
For at bestemme, hvilket program der er repræsenteret af PID'et 2948 på computeren, skal du blot åbne Task Manager, vælge fanen Processer og notere billednavnet anført ud for det PID, vi leder efter i PID-kolonnen.1
Brug af netstat-kommandoen med - o muligheden kan være meget nyttig, når du sporer, hvilket program der bruger en for stor del af din båndbredde. Det kan også hjælpe med at finde den destination, hvor en eller anden form for malware, eller endda et ellers legitimt stykke software, kan sende information uden din tilladelse.
Mens dette og det forrige eksempel begge blev kørt på den samme computer, og inden for blot et minut fra hinanden, kan du se, at listen over aktive TCP-forbindelser er betydeligt anderledes. Dette skyldes, at din computer konstant opretter forbindelse til og afbryder forbindelsen fra forskellige andre enheder på dit netværk og over internettet.
Vis kun specifikke forbindelser
netstat -0 | findstr 28604
Ovenstående eksempel ligner det, vi allerede har set på, men i stedet for at vise alle forbindelser, fortæller vi netstat-kommandoen kun at vise de forbindelser, der bruger en specifik PID, 28604 i dette eksempel.
En lignende kommando kunne bruges til at bortfiltrere forbindelserne med en CLOSE_WAIT-tilstand ved at erstatte PID'en med ESTABLISHED.
Vis protokolspecifikke statistikker
netstat -s -p tcp -f
I dette eksempel ønsker vi at se protokolspecifikke statistikker [- s], men ikke dem alle, kun TCP-statistikker [- ptcp]. Vi vil også have de udenlandske adresser vist i FQDN-format [-f ].
Dette er, hvad netstat-kommandoen, som vist ovenfor, producerede på eksempelcomputeren:
TCP-statistikker for IPv4
Active Opens=77
Passive Opens=21
Mislykkede forbindelsesforsøg=2 Nulstil forbindelser=25 Aktuelle forbindelser=5 Segmenter modtaget=7313 Segmenter sendt=4824 Segmenter gentransmitteret=5Active Connections Proto Lokal adresse Udenlandsk adresse Stat TCP 127.0.0.1:2869 VM-Windows-7:49235 TIME_WAIT TCP 127.0.0.1:2869 VM-Windows-7:49238 ETABLERET TCP 127.0. 0.1:49238 VM-Windows-7:icslap ESTABLISHED TCP 192.168.1.14:49194 75.125.212.75:http CLOSE_WAIT TCP 192.168.1.14:49194 75.125.212.75:http CLOSE_WAIT TCP 192.192.16 a.m..avast.com:http CLOSE_WAIT
TCP 192.168.1.14:49197 a795sm.avast.com:http CLOSE_WAIT
Som du kan se, vises forskellige statistikker for TCP-protokollen, ligesom alle aktive TCP-forbindelser på det tidspunkt.
Vis opdaterede netværksstatistik
netstat -e -t 5
I dette sidste eksempel udføres netstat-kommandoen for at vise nogle grundlæggende netværksgrænsefladestatistikker [- e] og således at disse statistikker løbende opdateres i kommandovinduet hvert femte sekund [- t 5].
Her er, hvad der er produceret på skærmen:
Interface Statistics
Modtaget sendt
Bytes 22132338 1846834
Unicast-pakker 19113 9869
Ikke-unicast-pakker 0 0
Kasser 0 0
Fejl 0 0
Ukendte protokoller 0Interface Statistics Modtaget sendt Bytes 22134630 1846834
Unicast-pakker 19128 9869
Ikke-unicast-pakker 0 0
Kasser 0 0
Fejl 0 0
Ukendte protokoller 0
^C
Forskellige oplysninger, som du kan se her, og som vi har angivet i - e syntaks ovenfor, vises.
Netstat-kommandoen udføres kun automatisk en ekstra gang, som du kan se af de to tabeller i resultatet. Bemærk ^C nederst, hvilket indikerer, at Ctrl+C afbrydelseskommandoen blev brugt til at stoppe genkørslen af kommandoen.
Netstat-relaterede kommandoer
Netstat-kommandoen bruges ofte sammen med andre netværksrelaterede kommandopromptkommandoer som nslookup, ping, tracert, ipconfig og andre.
[1] Du skal muligvis manuelt tilføje PID-kolonnen til Task Manager. Du kan gøre dette ved at vælge PID efter at have højreklikket på kolonneoverskrifterne på fanen Process. Hvis du bruger Windows 7 eller på ældre Windows OS, skal du markere afkrydsningsfeltet PID (Process Identifier) fra View > Select Kolonne i Task Manager. Du skal muligvis også vælge Vis processer fra alle brugere nederst på fanen Processer, hvis det PID, du leder efter, ikke er på listen.
