当前位置:主页 > 深度系统教程 > netstat命令如何用?netstat命令讲解(Windows下)

netstat命令如何用?netstat命令讲解(Windows下)

发布日期:2014-02-27    作者:深度技术    来 源:http://www.sdgho.com

netstat命令如何用?netstat命令讲解(Windows下)

netstat命令是windows CMd命令提示符下的常用命令,linux中也会使用,今天主编要讲的是windows下netstat命令如何用,netstat命令用于显示与ip 、TCp 、Udp 和iCMp 协议关于的统计数据,一般用于检验本机各端口的网络连接情况。netstat参数还是挺多的,那么下面你们就一起来学习一下netstat命令讲解的使用办法。



如果您的计算机有时候接收到的数据报导致出错数据或故障,您不必感到奇怪,TCp/ip 可以容许这些类型的错误,并能够自动重发数据报。但如果累计的出错情况数目占到所接收的ip 数据报相当大的百分比,或者它的数目正迅速增加,那么您就应该使用netstat 查一查为何会出现这些情况了。

netstat 全面参数列表

(winxp )

C:\>netstat /?

显示协议统计信息和当前 TCp/ip 网络连接。

netstat
 

nETsTAT [-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-v] [interval]

  -a            显示所有连接和监听端口。 
  -b            显示包含于创建每个连接或监听端口的可执行组件。在某些情况下已知可执行组件
                拥有多个专业组件,并且在这些情况下包含于创建连接或监听端口的组件序列被显示。 
                这种情况下,可执行组件名在底部的 [] 中,顶部是其调用的组件,等等,直到 TCp/ip
                 部分。注意此选项可能需要很长时间,如果没有足够权限可能失败。 
  -e            显示以太网统计信息。此选项可以与 -s
                选项组合使用。 
  -n            以数字形式显示地址和端口号。 
  -o            显示与每个连接关于的所属进程 id 。 
  -p proto      显示 proto 指定的协议的连接;proto 可以是 
                下列协议之一: TCp 、Udp 、TCpv6 或 Udpv6 。 
                如果与 -s 选项一起使用以显示按协议统计信息,proto 可以是下列协议之一:
                ip 、ipv6 、iCMp 、iCMpv6 、TCp 、TCpv6 、Udp 或 Udpv6 。 
  -r            显示路由表。 
  -s            显示按协议统计信息。默认地,显示 ip 、 
                ipv6 、iCMp 、iCMpv6 、TCp 、TCpv6 、Udp 和 Udpv6 的统计信息; 
                -p 选项用于指定默认情况的子集。 
  -v            与 -b 选项一起使用时将显示包含于 
                为所有可执行组件创建连接或监听端口的 
                组件。 
  interval      重新显示选定统计信息,每次显示之间 
                暂停时间间隔( 以秒计) 。按 CTRL+C 停止重新 
                显示统计信息。如果省略,netstat 显示当前 
                设置信息( 只显示一次)

(win2000 )

C:\>netstat /?

displays protocol statistics and current TCp/ip network connections.

nETsTAT [-a] [-e] [-n] [-s] [-p proto] [-r] [interval]

  -a            displays all connections and listening ports.
  -e            displays Ethernet statistics. www.winwin10.com  This may be combined with the -s
                option.
  -n            displays addresses and port numbers in numerical form.
  -p proto      shows connections for the protocol specified by proto; proto
                may be TCp or Udp.  if used with the -s option to display
                per-protocol statistics, proto may be TCp, Udp, or ip.
  -r            displays the routing table.
  -s            displays per-protocol statistics.  By default, statistics are
                shown for TCp, Udp and ip; the -p option may be used to specify
                a subset of the default.
  interval      Redisplays selected statistics, pausing interval seconds
                between each display.  press CTRL+C to stop redisplaying
                statistics.  if omitted, netstat will print the current www.winwin10.com
                configuration information once.

netstat 的一些常用选项  
netstat -s ——本选项能够按照各个协议分别显示其统计数据。如果您的应用程序(如web 浏览器)运行速度比较慢,或者不能显示web 页之类的数据,那么您就可以用本选项来查看一下所显示的信息。您需要仔细查看统计数据的各行,找到出错的关键字,进而确定问题所在。 

netstat -e ——本选项用于显示相关以太网的统计数据。它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。这些统计数据既有发送的数据报数量,也有接收的数据报数量。这个选项可以用来统计一些基本的网络流量。 

netstat -r ——本选项可以显示相关路由表的信息,类似于后面所讲使用route print 命令时看到的 信息。除了显示有效路由外,还显示当前有效的连接。 

netstat -a ——本选项显示一个所有的有效连接信息列表,包括已建立的连接(EsTABLisHEd ),也包括监听连接请求(LisTEninG )的那些连接,断开连接(CLosE_wAiT )或者处于联机等待状态的(TiME_wAiT )等 

netstat -n ——显示所有已建立的有效连接。

 

    微软公司故意将这个功能强大的命令隐藏起来是因为它对于普通用户来说有些复杂。你们已经了解:netstat 它可以用来获得您的系统网络连接的信息(使用的端口,在使用的协议等 ),收到和发出的数据,被连接的远程系统的端口,netstat 在内存中读取所有的网络信息。

    在internet RFC 标准中,netstat 的定义是: netstat 是在内核中访问网络及关于信息的程序,它能提供TCp 连接,TCp 和Udp 监听,进程内存管理的关于报告。

    对于好奇心极强的人来说,紧紧有上面的理论是远远不够的,接下来你们来全面的解释一下各个参数的使用,看看执行之后会发生什么,显示的信息又是什么意思,好了,废话不说了,让你们一起来实践一下吧:)

C:\>netstat -a

Active Connections

  proto  Local Address          Foreign Address        state
  TCp    Eagle:ftp              Eagle:0                LisTEninG
  TCp    Eagle:telnet           Eagle:0                LisTEninG
  TCp    Eagle:smtp             Eagle:0                LisTEninG
  TCp    Eagle:http             Eagle:0                LisTEninG
  TCp    Eagle:epmap            Eagle:0                LisTEninG
  TCp    Eagle:https            Eagle:0                LisTEninG
  TCp    Eagle:microsoft-ds     Eagle:0                LisTEninG
  TCp    Eagle:730             Eagle:0                LisTEninG
  TCp    Eagle:6059             Eagle:0                LisTEninG
  TCp    Eagle:8001             Eagle:0                LisTEninG
  TCp    Eagle:8005             Eagle:0                LisTEninG
  TCp    Eagle:8065             Eagle:0                LisTEninG
  TCp    Eagle:microsoft-ds     localhost:731         EsTABLisHEd
  TCp    Eagle:731             localhost:microsoft-ds  EsTABLisHEd
  TCp    Eagle:740             Eagle:0                LisTEninG
  TCp    Eagle:netbios-ssn      Eagle:0                LisTEninG
  TCp    Eagle:1213             218.85.139.65:9002     CLosE_wAiT
  TCp    Eagle:2416             219.133.63.142:https   CLosE_wAiT
  TCp    Eagle:2443             219.133.63.142:https   CLosE_wAiT
  TCp    Eagle:29010             192.168.1.71:210104     CLosE_wAiT
  TCp    Eagle:2916             192.168.1.71:telnet   EsTABLisHEd
  TCp    Eagle:29210             219.1310.2210.7:4899    TiME_wAiT
  TCp    Eagle:2928             219.1310.2210.7:4899    TiME_wAiT
  TCp    Eagle:2929             219.1310.2210.7:4899    EsTABLisHEd
  TCp    Eagle:3455             218.85.139.65:9002     EsTABLisHEd
  TCp    Eagle:netbios-ssn      Eagle:0                LisTEninG
  Udp    Eagle:microsoft-ds     *:*
  Udp    Eagle:746             *:*
  Udp    Eagle:750             *:*
  Udp    Eagle:7103             *:*
  Udp    Eagle:1938             *:*
  Udp    Eagle:2314             *:*
  Udp    Eagle:2399             *:*
  Udp    Eagle:2413             *:*
  Udp    Eagle:2904             *:*
  Udp    Eagle:2908             *:*
  Udp    Eagle:3456             *:*
  Udp    Eagle:4000             *:*
  Udp    Eagle:4001             *:*
  Udp    Eagle:6000             *:*
  Udp    Eagle:6001             *:*
  Udp    Eagle:6002             *:*
  Udp    Eagle:6003             *:*
  Udp    Eagle:6004             *:*
  Udp    Eagle:6005             *:*
  Udp    Eagle:6006             *:*
  Udp    Eagle:60010             *:*
  Udp    Eagle:6008             *:*
  Udp    Eagle:6009             *:*
  Udp    Eagle:607             *:*
  Udp    Eagle:6011             *:*
  Udp    Eagle:745             *:*
  Udp    Eagle:751             *:*
  Udp    Eagle:netbios-ns       *:*
  Udp    Eagle:netbios-dgm      *:*
  Udp    Eagle:netbios-ns       *:*
  Udp    Eagle:netbios-dgm      *:*

 

你们拿其中一行来解释吧:

proto  Local Address          Foreign Address        state

TCp    Eagle:2929             219.1310.2210.7:4899    EsTABLisHEd

 

协议(proto ):TCp ,指是传输层通讯协议(什么?不懂?请用baidu 搜索"TCp" ,osi 七层和TCp/ip 四层可是基础^_^ ) 
本地机器名(Local  Address ):Eagle ,俗称计算机名了,安装系统时配置的,可以在“我的电脑”属性中修改,本地打开并用于连接的端口:2929 )    
远程机器名(Foreign  Address ): 219.1310.2210.7
远程端口: 4899  
状态:EsTABLisHEd  

 

状态列表

LisTEn   :在监听状态中。    
EsTABLisHEd :已建立联机的联机情况。 
TiME_wAiT :该联机在目前已经是等待的状态。 

 

-a 参数常用于获得您的本地系统开放的端口,用它你可以自己检查您的系统上有没有被安装木马(ps :有许多好程序用来检测木马,但您的目的是想成为真正的hacker ,手工检测要比只按一下“scan ”按钮好些---- 仅个人观点)。如果你netstat 您自己的话,发现下面的信息: 
   
   port 12345(TCp) netbus 
   port 313310(Udp) Back orifice 
   
  祝贺! 你中了最常见的木马(^_^ ,上面4899 是我连别人的,而且这个radmin 是商业软件,目前我最喜爱的远程控制软件) 
  如果您需要木马及其端口列表的话,去国内的H 站找找,或者baidu ,google 吧 
   
   ***************************************************************** 
   
  # 一些原理:也许您有这样的问题:“在机器名后的端口号代表什么? 
  例子: Eagle:2929
  小于724 的端口通常运行一些网络服务,大于724 的端口用来与远程机器建立连接。   
  *****************************************************************

 

继续你们的探讨,使用-n 参数。( netstat -n) 
  netstat -n 基本上是-a 参数的数字形式:

 

C:\>netstat -n

Active Connections

  proto  Local Address          Foreign Address        state
  TCp    1210.0.0.1:445          1210.0.0.1:731         EsTABLisHEd
  TCp    1210.0.0.1:731         1210.0.0.1:445          EsTABLisHEd
  TCp    192.168.1.180:1213     218.85.139.65:9002     CLosE_wAiT
  TCp    192.168.1.180:2416     219.133.63.142:443     CLosE_wAiT
  TCp    192.168.1.180:2443     219.133.63.142:443     CLosE_wAiT
  TCp    192.168.1.180:29010     192.168.1.71:210104     CLosE_wAiT
  TCp    192.168.1.180:2916     192.168.1.71:23       EsTABLisHEd
  TCp    192.168.1.180:2929     219.1310.2210.7:4899    EsTABLisHEd
  TCp    192.168.1.180:3048     192.168.1.1:8004       sYn_sEnT
  TCp    192.168.1.180:3455     218.85.139.65:9002     EsTABLisHEd

 

-a  和 -n  是最常用的两个,据我不完全尝试得出以下后果:

1. -n 显示用数字化主机名,即ip 地址,而不是compute_name 【eagle 】

2. -n  只显示TCp 连接(没有在哪儿见过微软的关于文档,有哪个朋友见到的话,记得告诉我喔^_^ )

     得到ip 等于得到一切,它是最简单使机器受到攻击的东东,所以隐藏自己ip ,获得别人的ip 对hacker来说非常重要,现在隐藏ip 技术很流行,但那些隐藏工具或服务真的让您隐身吗?我看不见得,呵呵,代理,跳板不属于今天讨论,一个获取对方ip 的容易例子请参考我前面的文章【用dos 命令查QQ 好友ip 地址 】 
 

-a 和 -n 是最常用的命令,如果要显示一些协议的更全面信息,就要用-p 这个参数了,它其实是-a  和 -n 的一个变种 ,你们来看一个实例,您就明白了:【netstat -p @@@ 其中@@@ 为TCp 或者Udp 】

C:\>netstat -p tcp

Active Connections

  proto  Local Address          Foreign Address        state
  TCp    Eagle:microsoft-ds     localhost:731         EsTABLisHEd
  TCp    Eagle:731             localhost:microsoft-ds  EsTABLisHEd
  TCp    Eagle:1213             218.85.139.65:9002     CLosE_wAiT
  TCp    Eagle:2416             219.133.63.142:https   CLosE_wAiT
  TCp    Eagle:2443             219.133.63.142:https   CLosE_wAiT
  TCp    Eagle:29010             192.168.1.71:210104     CLosE_wAiT
  TCp    Eagle:2916             192.168.1.71:telnet   EsTABLisHEd
  TCp    Eagle:2929             219.1310.2210.7:4899    EsTABLisHEd
  TCp    Eagle:3455             218.85.139.65:9002     EsTABLisHEd

  

  继续你们的参数详解 -e

    含义:本选项用于显示相关以太网的统计数据。它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量 。这些统计数据既有发送的数据报数量,也有接收的数据报数量。这个选项可以用来统计一些基本的网络流量。

C:\>netstat -e
interface statistics

                           Received            sent

Bytes                     143090206        449981089
Unicast packets              691805          363603
non-unicast packets          886526            2386
discards                          0               0
Errors                            0               0
Unknown protocols              4449

    若接收错和发送错接近为零或全为零,网络的接口无问题。但当这两个字段有70 个上述的出错分组时就可以认为是高出错率了。高的发送错表示本地网络饱和或在主机与网络之间有不良的物理连接;   高的接收错表示整体网络饱和、本地主机过载或物理连接有问题,可以用ping 命令统计误码率,进一步确定故障的程度。netstat -e  和ping 结合使用能处理一大部分网络故障。

 

    接下来你们开始详解两个比较复杂的参数 -r   -s ,也正因为如此,笔者把他放到最后详解,这里面可能会涉及到其他方面的知识,以后在我的博客中将会继续写出来,呵呵,近期比较忙

   

-r 是用来显示路由表信息,你们来看例子:

C:\>netstat -r

Route Table (路由表) 
===========================================================================
interface List (网络接口列表) 
0x1 ........................... Ms TCp Loopback interface
0x7003 ...00 0c f1 02 106 81 ...... intel(R) pRo/wireless LAn 270 3B Mini pCi
dapter
0x7004 ...00 02 3f 00 05 cb ...... Realtek RTL8139/87x Family Fast Ethernet
C
===========================================================================
===========================================================================
Active Routes: (动态路由) 
network destination        netmask          Gateway       interface  Metric
          0.0.0.0          0.0.0.0    192.168.1.254   192.168.1.181       30
          0.0.0.0          0.0.0.0    192.168.1.254   192.168.1.180       20
        1210.0.0.0        255.0.0.0        1210.0.0.1       1210.0.0.1       1
      192.168.1.0    255.255.255.0    192.168.1.180   192.168.1.180       20
      192.168.1.0    255.255.255.0    192.168.1.181   192.168.1.181       30
    192.168.1.180  255.255.255.255        1210.0.0.1       1210.0.0.1       20
    192.168.1.181  255.255.255.255        1210.0.0.1       1210.0.0.1       30
    192.168.1.255  255.255.255.255    192.168.1.180   192.168.1.180       20
    192.168.1.255  255.255.255.255    192.168.1.181   192.168.1.181       30
        224.0.0.0        240.0.0.0    192.168.1.180   192.168.1.180       20
        224.0.0.0        240.0.0.0    192.168.1.181   192.168.1.181       30
  255.255.255.255  255.255.255.255    192.168.1.180   192.168.1.180       1
  255.255.255.255  255.255.255.255    192.168.1.181   192.168.1.181       1
default Gateway:     192.168.1.254 (默认网关) 
===========================================================================
persistent Routes: (静态路由) 
  none

C:\>

 

-s 参数的作用前面有全面的说明,来看例子

C:\>netstat -s

ipv4 statistics        (ip 统计后果)     

  packets Received                   = 369492 (接收包数) 
  Received Header Errors             = 0 (接收头错误数) 
  Received Address Errors            = 2 (接收地址错误数) 
  datagrams Forwarded                = 0 (数据报递送数) 
  Unknown protocols Received         = 0 (未知协议接收数) 
  Received packets discarded         = 4203 (接收后丢弃的包数) 
  Received packets delivered         = 3652810 (接收后转交的包数) 
  output Requests                    = 369066 (请求数) 
  Routing discards                   = 0 (路由丢弃数 ) 
  discarded output packets           = 21102 (包丢弃数) 
  output packet no Route             = 0 (不路由的请求包) 
  Reassembly Required                = 0 (重组的请求数 ) 
  Reassembly successful              = 0 (重组成功数) 
  Reassembly Failures                = 0 (重组失败数) 
  datagrams successfully Fragmented  = 0 (分片成功的数据报数 ) 
  datagrams Failing Fragmentation    = 0 (分片失败的数据报数 ) 
  Fragments Created                  = 0 (分片建立数)

iCMpv4 statistics (iCMp 统计后果)包括Received 和sent 两种状态

                            Received    sent
  Messages                  285         1084 (消息数 ) 
  Errors                    0           0 (错误数) 
  destination Unreachable   53          548 (无法到达主机数目) 
  Time Exceeded             0           0 (超时数目) 
  parameter problems        0           0 (参数错误) 
  source Quenches           0           0 (源夭折数 ) 
  Redirects                 0           0 (重定向数) 
  Echos                     25          211 (回应数) 
  Echo Replies              2010         25 (回复回应数) 
  Timestamps                0           0 (时间戳数) 
  Timestamp Replies         0           0 (时间戳回复数) 
  Address Masks             0           0 (地址掩码数 ) 
  Address Mask Replies      0           0 (地址掩码回复数)

TCp statistics for ipv4 (TCp 统计后果)

  Active opens                        = 52110 (主动打开数 ) 
  passive opens                       = 80 (被动打开数 ) 
  Failed Connection Attempts          = 2944 (连接失败测试数 ) 
  Reset Connections                   = 529 (复位连接数 ) 
  Current Connections                 = 9 (当前连接数目) 
  segments Received                   = 350143 (当前已接收的报文数) 
  segments sent                       = 3410561 (当前已发送的报文数) 
  segments Retransmitted              = 678 (被重传的报文数目)

Udp statistics for ipv4 (Udp 统计后果)

  datagrams Received    = 14309 (接收的数据包) 
  no ports              = 1360 (无端口数) 
  Receive Errors        = 0 (接收错误数) 
  datagrams sent        = 14524 (数据包发送数)

C:\>

好了,上述便是netsta命令讲解了,上面的介绍很全面,大家应该可以快速学会netstat命令。

本站发布的系统与软件仅为个人学习测试使用,不得用于任何商业用途,否则后果自负,请支持购买微软正版软件!

深度系统官网如果有侵犯您的资源,请来信告知,我们将及时处理。 Copyright 2024 深度系统教程