Ausführliche Erklärung des Netstat-Befehls (unter Windows)

Netstat wird verwendet, um statistische Daten zu IP-, TCP-, UDP- und ICMP-Protokollen anzuzeigen. Es wird im Allgemeinen verwendet, um die Netzwerkverbindung jedes Ports der Maschine zu überprüfen.

Seien Sie nicht überrascht, wenn Ihr Computer manchmal Datagramme empfängt, die fehlerhafte Daten oder Fehlfunktionen verursachen. TCP/IP kann diese Art von Fehlern tolerieren und Datagramme automatisch erneut senden. Wenn jedoch die kumulative Anzahl von Fehlerbedingungen einen großen Prozentsatz der empfangenen IP-Datagramme ausmacht oder wenn ihre Zahl schnell zunimmt, sollten Sie Netstat verwenden, um herauszufinden, warum diese Bedingungen auftreten.

Detaillierte Netstat-Parameterliste

(Winxp)

C:>netstat /?

Protokollstatistiken und aktuelle TCP/IP-Netzwerkverbindung anzeigen.

NETSTAT [-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-v] [interval]

-a Zeigt alle Verbindungen und Überwachungsports an.
-b Zeigt die ausführbaren Komponenten an, die beim Erstellen jeder Verbindung oder jedes Überwachungsports beteiligt sind. In einigen Fällen ist bekannt, dass die ausführbare Komponente
über mehrere unabhängige Komponenten verfügt. In diesen Fällen wird die Reihenfolge der Komponenten angezeigt, die beim Erstellen einer Verbindung oder eines Überwachungsports beteiligt sind.
In diesem Fall befindet sich der Name der ausführbaren Komponente in [] unten, die aufgerufene Komponente oben usw. bis zum TCP/IP-
-Teil. Beachten Sie, dass diese Option lange dauern kann und möglicherweise fehlschlägt, wenn Sie nicht über ausreichende Berechtigungen verfügen.
-e Ethernet-Statistiken anzeigen. Diese Option kann in Kombination mit der Option -s
verwendet werden.
-n Zeigt die Adresse und Portnummer in numerischer Form an.
-o Zeigt die mit jeder Verbindung verknüpfte Prozess-ID an.
-p proto Zeigt die Verbindung des von proto angegebenen Protokolls an. Es kann eines der folgenden Protokolle sein: TCP, UDP, TCPv6 oder UDPv6.
Bei Verwendung mit der Option -s zum Anzeigen protokollspezifischer Statistiken kann proto eines der folgenden Protokolle sein:
IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP oder UDPv6.
-r Zeigt die Routing-Tabelle an.
-s Zeigt statistische Informationen nach Protokoll an. Standardmäßig werden Statistiken für IP,
IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP und UDPv6 angezeigt. Die Option
-p wird verwendet, um eine Teilmenge der Standardsituation anzugeben.
-v Bei Verwendung mit der Option -b werden
-Komponenten angezeigt, die in
enthalten sind und Verbindungen oder Überwachungsports für alle ausführbaren Komponenten erstellen.
Intervall Zeigt die ausgewählten Statistiken erneut an, mit einem Pausenintervall (in Sekunden) zwischen jeder Anzeige. Drücken Sie STRG+C, um die Statistikanzeige wieder zu beenden
. Wenn es weggelassen wird, zeigt netstat die aktuellen Konfigurationsinformationen an (wird nur einmal angezeigt)

(Win2000)

C:>netstat /?

Zeigt Protokollstatistiken und aktuelles TCP/IP an Netzwerkverbindungen.

NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r] [interval]

  -a            Zeigt alle Verbindungen und Überwachungsports an.
  -e            Zeigt Ethernet-Statistiken an. Dies kann mit der Option -s kombiniert werden
                Option.
  -n            Zeigt Adressen und Portnummern in numerischer Form an.
  -p proto      Zeigt Verbindungen für das von proto angegebene Protokoll an; proto
                kann TCP oder UDP sein.  Bei Verwendung mit der Option -s zum Anzeigen
                Pro-Protokoll-Statistiken kann das Protokoll TCP, UDP oder IP sein.
  -r            Zeigt die Routing-Tabelle an.
  -s            Zeigt Statistiken pro Protokoll an.  Standardmäßig werden Statistiken
                für TCP, UDP und IP angezeigt; Die Option -p kann verwendet werden, um
                eine Teilmenge der Standardeinstellung anzugeben.
 Intervall      Zeigt ausgewählte Statistiken erneut an und pausiert das Intervall in Sekunden
                zwischen den einzelnen Anzeigen.  Drücken Sie STRG+C, um die erneute Anzeige der
               -Statistiken zu beenden.  Wenn es weggelassen wird, druckt netstat die aktuellen
               -Konfigurationsinformationen einmal aus.

Netstat别显示其统计数据.如果你的应用程序（如Web 浏览器）运行速度比较慢,或者不能显示Web 页之类的数据,那么你就可以用本选项来查看一下所显示的信息.你需要仔细查看统计数据的各行,找到出错的关键字，进而确定问题所在包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量.这些统计数据既有发送的数据报数量, 也有接收的数据报数量

netstat -r --路由外，还显示当前有效的连接. 

netstat -a — —本选项显示一个所有的有效连接信息列表, 包括已建立的连接 (GEGRÜNDET), 也包括监听连接请求（LISTENING ）的那些连接,断开连接（CLOSE_WAIT ）或者处于联机等待状态的（TIME_WAIT ）等🎜>
netstat -n ——显示所有已建立的有效连接.

 

    微软公司故意将这个功能强大的命令隐藏起来是因为它对于普通用户来说有些复杂.我们已经知道:Netstat 它可以用来获得你的系统网络连接的信息（使用的端口，在使用的协议等 ）, 收到和发出的数据, 被连接的远程系统的端口, Netstat 在内存中读取所有的网络信息.

    在Internet RFC 标准中, Netstat 的定义是: Netstat 是在内核中访问网络及相关信息的程序, 它能提供TCP-连接, TCP-和UDP-监听, 进程内存

来我们来详细的解释一下各个参数的使用, 看看执行之后会发生什么,显示的信息又是什么意思,好了,废话不说了,让我们一起来实践一下吧:）

C:>netstat -a

Aktive Verbindungen

  LISTENING

  TCP    Eagle:smtp             Eagle:0                LISTENING
  TCP    Eagle:http             Eagle :0               LISTENING
  TCP    Eagle:epmap            Eagle:0               LISTENING
  TCP    Eagle:https           Eagle:0                LISTENING  TCP    Eagle:1030             Eagle:0                LISTENING
  TCP    Eagle:6059             Eagle:0                LISTENING
  TCP    Eagle:8001            Eagle:0              LISTENING
  TCP           Eagle:0                LISTENING
  TCP    Eagle:8065             Eagle:0                LISTENING
  TCP    Eagle:microsoft -ds     localhost:1031         ESTABLISHED
  TCP    Eagle:1031             localhost:microsoft-ds  ESTABLISHED
  TCP    Eagle:1040             Eagle:0               LISTENING
  TCP    Eagle:netbios-ssn      Eagle:0                LISTENING
  TCP    Eagle:1213 218.85.139.65:9002     CLOSE_WAIT
  TCP    Eagle:2416             219.133.63.142:https   CLOSE_WAIT
  TCP    Eagle:2443             219.133.63. 142:https   CLOSE_WAIT
  TCP    Eagle:2907             192.168.1.101:2774     CLOSE_WAIT
  TCP    Eagle :2916             192.168.1.101:telnet   ESTABLISHED
  TCP    Eagle:2927            219.137.227.10:4899    TIME_WAIT
  TCP   . Eagle:2928             219.137.227.10:4899    TIME_WAIT
  TCP    Eagle:2929             219.137.227.10:4899    ESTABLISHED
TCP    Eagle:3455             218.85.139.65:9002     ESTABLISHED
  TCP    Eagle:netbios-ssn      Eagle:0               LISTENING
  UDP    Eagle:microsoft-ds     *:*
  UDP           *:*
  UDP   . Eagle:1050             *:*
  UDP    Eagle:1073             * :*
  UDP    Eagle:1938             *:*
  UDP    Eagle:2314             *:*
  UDP           *:*
  UDP   . Eagle:2413             *:*
  UDP    Eagle:2904             * :*
  UDP    Eagle:2908             *:*
  UDP    Eagle:3456             *:*
  UDP           *:*
  UDP   . Eagle:4001             *:*
  UDP    Eagle:6000             * :*
  UDP    Eagle:6001             *:*
  UDP    Eagle:6002             *:*
  UDP           *:*
  UDP   . Eagle:6004             *:*
  UDP    Eagle:6005             * :*
  UDP    Eagle:6006             *:*
  UDP    Eagle:6007             *:*
  UDP           *:*
  UDP   . Eagle:6009             *:*
  UDP    Eagle:6010             * :*
  UDP    Eagle:6011             *:*
  UDP    Eagle:1045             *:*
  UDP           *:*
  UDP   . Eagle:netbios-ns       *:*
  UDP    Eagle: netbios-dgm      *:*
  UDP    Eagle:netbios-ns       *:*
  UDP    Eagle:netbios-dgm      *:*

 

我们拿其中一行来Beschreibung:

Proto Lokale Adresse          Ausländische Adresse        Staat

TCP    Eagle:2929             219.137.227.10:4899    ESTABLISHED

 

协议（Proto）：TCP ，指是传输层通讯协议（什么？不懂？请用baidu 搜索„TCP“ ，OSI 七层和TCP/IP 四层可是基础^_^ ） 
本地机器名（Lokale Adresse）：Eagle ，俗称计算机名了，安装系统时设置的，可以在„我的电脑“属性中修改, 本地打开并用于连接的端口:2929 ）    
远程机器名（Ausländische Adresse）： 219.137.227.10
远程端口： 4899  
状态:ESTABLISHED  

 

状态列表

LISTEN   :在监听状态中.    
ESTABLISHED ：已建立联机的联机情况. 
TIME_WAIT ：该联机在目前已经是等待的状态. 

 

-ein Parameter wird häufig verwendet, um die offenen Ports Ihres lokalen Systems abzurufen. Sie können ihn verwenden, um zu überprüfen, ob auf Ihrem System Trojaner installiert sind (ps: Es gibt viele gute Programme zum Erkennen von Trojanern, aber Ihr Zweck ist es Um ein echter Hacker zu sein, ist die manuelle Erkennung besser als nur das Drücken der „Scan“-Taste (nur persönliche Meinung). Wenn Sie Netstat selbst verwenden, finden Sie die folgenden Informationen:

Port 12345 (TCP) Netbus
Port 31337 (UDP) Back Orifice

Herzlichen Glückwunsch! Sie haben den häufigsten Trojaner ( ^ _^, der obige 4899 gehört mir und anderen, und dieser Radmin ist eine kommerzielle Software, derzeit meine Lieblings-Fernbedienungssoftware.)
Wenn Sie eine Liste der Trojaner und ihrer Ports benötigen, gehen Sie zur inländischen H-Station, um sie zu finden. oder Baidu, google es
　
　********************************************* * *************************
　
　# Einige Prinzipien: Möglicherweise haben Sie dieses Problem: „Die Portnummer nach dem Maschinennamen Wofür steht es?
Beispiel: Eagle:2929
Ports kleiner als 1024 führen normalerweise einige Netzwerkdienste aus und Ports größer als 1024 werden zum Herstellen von Verbindungen mit Remote-Computern verwendet. ***************************************** ****

Um unsere Diskussion fortzusetzen, verwenden Sie den Parameter -n (Netstat -n)

　Netstat -n ist im Grunde die numerische Form des Parameters -a:

C:>netstat -n

Aktive Verbindungen

Proto Local Address Foreign Address State

TCP 127.0.0.1:445 127.0 .0.1:1031 ESTABLISHED

TCP 127.0. 0.1:1031 127.0.0.1:445 ESTABLISHED
TCP 192.168.1.180:1213 218.85.139.65:900 2 CLOSE_WAIT
TCP 192.168.1.180:2416. 219.133.63.142:4 43 CLOSE_WAIT
TCP 192.168.1.180:2443 219.133 .63.142:443 CLOSE_WAIT
TCP 192.168.1.180:2907 192.168.1.101:2774 CLOSE_WAIT
TCP 192.168.1.180:2916 192.168.1.101:23 ESTABLISHED 192.168.1.180:2929 219.137.227.10:4899 Etabliert
TCP 192.168.1.180:3048 192.168.1.1:8004 SYN_SENT
TCP 192.168.1.180:345 5 218.85.139.65:9002 ESTABLISHED

- a und -n sind die Nach meinen unvollständigen Tests werden die beiden am häufigsten verwendeten Ergebnisse erhalten:

1. -n zeigt den digitalisierten Hostnamen an, d 🎜>2. -n Zeigt nur TCP-Verbindungen an (Ich habe die relevanten Dokumente von Microsoft nirgendwo gesehen. Wenn Freunde es sehen, denken Sie daran, es mir zu sagen^_^)

IP zu bekommen ist gleichbedeutend mit dem Erhalten von allem, es Dinge, die Maschinen am anfälligsten für Angriffe machen, daher ist es für Hacker sehr wichtig, die eigene IP zu verbergen und die IP anderer Leute zu erhalten. Heutzutage ist das Verstecken von IP-Technologie sehr beliebt, aber machen Sie diese versteckten Tools oder Dienste wirklich unsichtbar? Ich kann es nicht sehen, haha, Proxy und Sprungbrett sind nicht Teil der heutigen Diskussion. Ein einfaches Beispiel zum Abrufen der IP-Adresse der anderen Partei finden Sie in meinem vorherigen Artikel [Verwenden Sie DOS-Befehle, um die IP-Adresse eines QQ-Freundes zu überprüfen]

-a und -n sind die am häufigsten verwendeten Befehle. Wenn Sie detailliertere Informationen zu einigen Protokollen anzeigen möchten, müssen Sie den Parameter -p verwenden. Es handelt sich tatsächlich um eine Variante von -a und -n Schauen wir uns ein Beispiel an und Sie werden verstehen: [netstat -p @@@ Wobei @@@ TCP oder UDP ist]

C:>netstat -p tcp

Aktive Verbindungen

Proto Local Address Foreign Address State
TCP Eagle:microsoft-ds localhost:1031 ESTABLISHED
TCP Eagle:1031 localhost:microsoft-ds ESTABLISHED
TCP Eagle:1213 218.85.139.65:9002 CLOSE_WAIT
TCP EAGLE: 2416 219.133.63.142:https close_wait
TCP EAGLE: 2443 219.133.63.142:https close_wait
TCP EAGLE: 2907 192.168.1.101:2774 CL OSE_WAIT TCP EAGLE: 2916 192.168.1.101:telnet Etabliert
TCP Eagle:2929 219.137.227.10:4899 ESTABLISHED
TCP Eagle:3455 218.85.139.65:9002 ESTABLISHED

Setzen Sie unsere Parametererklärung fort -e

Bedeutung: Diese Option wird verwendet, um Statistiken über Ethernet anzuzeigen. Zu den aufgeführten Elementen gehören die Gesamtzahl der übertragenen Datagrammbytes, die Anzahl der Fehler, die Anzahl der Löschungen, die Anzahl der Datagramme und die Anzahl der Broadcasts. Bei diesen Statistiken handelt es sich sowohl um die Anzahl der gesendeten als auch um die Anzahl der empfangenen Datagramme. Diese Option kann verwendet werden, um einen Teil des grundlegenden Netzwerkverkehrs zu zählen.

C:>netstat -e

Schnittstellenstatistik

Empfangen Gesendet

Bytes 143 090206 44998789

Unicast-Pakete 691805 363603
Nicht-Unicast-Pakete 886526 2386 Verwirft 0 0
FEHLER 0
UNBEKANNTE Protokolle 4449

Wenn der Empfangsfehler und der Sendefehler nahe Null liegen, liegt kein Problem mit der Schnittstelle des Netzwerks vor. Wenn diese beiden Felder jedoch mehr als 100 Fehlergruppen aufweisen, kann von einer hohen Fehlerquote ausgegangen werden. Ein hoher Sendefehler weist darauf hin, dass das lokale Netzwerk ausgelastet ist oder eine schlechte physische Verbindung zwischen dem Host und dem Netzwerk besteht. Ein hoher Empfangsfehler weist darauf hin, dass das gesamte Netzwerk ausgelastet ist, der lokale Host überlastet ist oder ein Problem mit der physischen Verbindung besteht Verbindung Sie können den Ping-Befehl verwenden, um die Bitfehlerrate zu zählen, um das Ausmaß des Fehlers weiter zu bestimmen. Die Kombination von netstat -e und ping kann die meisten Netzwerkprobleme lösen.

Als nächstes beginnen wir mit der Erläuterung zweier komplexerer Parameter -r und -s. Aus diesem Grund stellt der Autor diese ans Ende, was möglicherweise andere Aspekte betrifft um in Zukunft über das Wissen in meinem Blog zu schreiben.

-r wird verwendet, um Routing-Tabelleninformationen anzuzeigen:

C:>netstat -r

Routentabelle (Routing-Tabelle)
==================================== == ===================================
Schnittstellenliste (Netzwerkschnittstellenliste)
0x1 ........................ MS TCP Loopback-Schnittstelle
0x10003 ...00 0c f1 02 76 81 ..... . Intel(R) PRO/Wireless LAN 2100 3B Mini PCI
dapter
0x10004 ...00 02 3f 00 05 cb ...... Realtek RTL8139/810x Family Fast Ethernet
C
= ============================================== = =======================
====================== = ============================================== = ==
Aktive Routen: (Dynamisches Routing)
Netzwerkziel-Netzmasken-Gateway-Schnittstellenmetrik
0.0.0.0 0.0.0.0 192.168.1.254 19 2.168.1.181 30
0.0.0.0 0.0.0.0. 192.168.1 .254 192.168.1.180 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168 .1.0 255.255.255.0 192.168.1.180. 192.168.1 .180 20
192.168.1.0 255.255.255.0 192.168.1.181 1 92.168 . 1.181 30
192.168.1.180 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.1.181 2 55.255.255.255 127.0.0.1 127 .0.0.1 30
192.168.1.255 255.255.255.255 192.168.1.180 192.168. 1.180 20
192.168.1.255 255.255.255.255 192.168.1.181 192.168.1.181 30
224.0.0.0 240.0.0.0 192.168.1.180 192.1 68.1.180 20
224.0.0.0 240.0.0.0 192.168.1.181 192.168.1.181 30
255.255.255.255 255.255.255.255 192.168.1.180 192.168.1.180 1
255.255.255.255 255.255.255.255 192. .168.1.181 192.168.1.181 1
Standard-Gateway: 192.168.1.254 (Standard-Gateway)
==== =========================================== ==== ====================
Persistente Routen: (statische Route)
Keine

C:>

Die Funktion des Parameters -s wird zuvor ausführlich erklärt, schauen wir uns das Beispiel an

C:>netstat -s

IPv4-Statistik (Statistische IP-Ergebnisse)

Empfangene Pakete = 369492 (Anzahl der empfangenen Pakete)
Empfangene Header-Fehler = 0 (Anzahl der Header-Fehler)
Empfangene Adressfehler = 2 (Anzahl der empfangenen Adressfehler)
Weitergeleitete Datagramme = 0 ( Anzahl der zugestellten Datagramme)
Empfangene unbekannte Protokolle = 0 (Anzahl der empfangenen unbekannten Protokolle)
Verworfene empfangene Pakete = 4203 (Anzahl der nach dem Empfang verworfenen Pakete)
Zugestellte empfangene Pakete = 365287 (Anzahl der nach dem Empfang weitergeleiteten Pakete) Ausgabepaket Nr. Route = 0 (Anforderungspaket nicht weitergeleitet)
Neuzusammenstellung erforderlich = 0 (Anzahl der Neuzusammenstellungsanforderungen)
Neuzusammenstellung erfolgreich = 0 (Anzahl erfolgreicher Neuzusammenstellungen)
Neuzusammenstellungsfehler = 0 (Anzahl der fehlgeschlagenen Neuzusammenstellungen)
Datagramme erfolgreich fragmentiert = 0 (Fragmentierung ist erfolgreich, Anzahl der Datagramme)
Datagramme mit fehlgeschlagener Fragmentierung = 0 (Anzahl der Datagramme, die nicht fragmentiert werden konnten)
Erstellte Fragmente = 0 (Anzahl der erstellte Fragmente)

ICMPv4-Statistiken (ICMP-Statistikergebnisse) einschließlich der beiden Status „Empfangen“ und „Gesendet“

Empfangene gesendete
Nachrichten 285 784 (Anzahl der Nachrichten)
Fehler. 0                                                                                                                                                                            
Parameterprobleme 0 0 (Parameterfehler)
Quellenlöschungen 0 0 (Quellenausfallrate)
Weiterleitungen 0 0 (Anzahl der Weiterleitungen)
Echos                         211 (Anzahl der Antworten)
Echo-Antworten                                                             . Zeitstempel                                                                                         0 (Anzahl der Adressmaskenantworten)

TCP-Statistiken für IPv4. (TCP Statistikergebnisse)

Aktive Öffnungen = 5217 (Anzahl der aktiven Öffnungen)
Passive Öffnungen = 80 (Anzahl der passiven Öffnungen)
Fehlgeschlagene Verbindungsversuche = 2944 (Anzahl der fehlgeschlagenen Verbindungsversuche)

Zurückgesetzte Verbindungen = 529 (Anzahl der zurückgesetzten Verbindungen)

Aktuelle Verbindungen = 9 (aktuelle Anzahl der Verbindungen)

Erhaltene Segmente                                                                                     (Anzahl der aktuell gesendeten Nachrichten)

Erneut übertragene Segmente = 6108 (Anzahl der erneut übertragenen Nachrichten)

UDP-Statistiken für IPv4-Statistikergebnisse)

Empfangene Datagramme = 14309 (empfangene Datenpakete)
Keine Ports = 1360 (keine Portnummer )
Empfangsfehler = 0 (empfangene Fehler)
Gesendete Datagramme = 14524 (Paketanzahl der Sendungen)

C:>