Cách sử dụng lệnh Netstat

Lệnh netstat là một lệnh Command Prompt được sử dụng để hiển thị rất thông tin chi tiết về cách máy tính của bạn giao tiếp với các máy tính hoặc thiết bị mạng khác.

Cụ thể, lệnh netstat có thể hiển thị chi tiết về các kết nối mạng riêng lẻ, thống kê mạng tổng thể và giao thức cụ thể, và nhiều hơn nữa, tất cả đều có thể giúp khắc phục một số vấn đề về mạng nhất định.

Netstat Command Availability

Lệnh netstat có sẵn trong Command Prompt trong hầu hết các phiên bản Windows bao gồm Windows 10, Windows 8, Windows 7, Windows Vista, Windows XP, hệ điều hành Windows Server và một số phiên bản cũ của Windows.

Tính khả dụng của một số lệnh chuyển mạch netstat nhất định và cú pháp lệnh netstat khác có thể khác với hệ điều hành đối với hệ điều hành.

Cú pháp lệnh Netstat

netstat -a -b -e -f -n -o -p giao thức -r -S -t -x -y Khoảng thời gian /?

Làm thế nào để đọc cú pháp lệnh

Thực thi lệnh netstat một mình để hiển thị danh sách tương đối đơn giản của tất cả các kết nối TCP đang hoạt động, cho mỗi địa chỉ IP sẽ hiển thị địa chỉ IP cục bộ (máy tính của bạn), địa chỉ IP nước ngoài (máy tính hoặc thiết bị mạng khác). số cổng, cũng như trạng thái TCP.

-a = Công tắc này hiển thị các kết nối TCP đang hoạt động, các kết nối TCP với trạng thái nghe, cũng như các cổng UDP đang được nghe.

-b = Công tắc netstat này rất giống với -o chuyển đổi được liệt kê dưới đây, nhưng thay vì hiển thị PID, sẽ hiển thị tên tệp thực của quá trình. Sử dụng -b kết thúc -o có vẻ như nó tiết kiệm cho bạn một hoặc hai bước nhưng việc sử dụng nó đôi khi có thể kéo dài thời gian cần thiết để thực hiện đầy đủ.

-e = Sử dụng công tắc này với lệnh netstat để hiển thị số liệu thống kê về kết nối mạng của bạn. Dữ liệu này bao gồm byte, gói unicast, gói không unicast, loại bỏ, lỗi và giao thức không xác định đã nhận và gửi kể từ khi kết nối được thiết lập.

-f = The -f chuyển đổi sẽ buộc lệnh netstat hiển thị Tên miền Hoàn toàn Đủ tiêu chuẩn (FQDN) cho mỗi địa chỉ IP nước ngoài khi có thể.

-n = Sử dụng -n chuyển đổi để ngăn chặn netstat cố gắng xác định tên máy chủ lưu trữ cho các địa chỉ IP nước ngoài. Tùy thuộc vào kết nối mạng hiện tại của bạn, bằng cách sử dụng chuyển đổi này có thể làm giảm đáng kể thời gian cần thiết cho netstat để thực hiện đầy đủ.

-o = Một tùy chọn hữu ích cho nhiều tác vụ khắc phục sự cố, -o chuyển đổi hiển thị mã định danh quá trình (PID) được kết hợp với mỗi kết nối được hiển thị. Xem ví dụ bên dưới để biết thêm về cách sử dụng netstat -o.

-p = Sử dụng -p chuyển sang chỉ hiển thị kết nối hoặc thống kê cho một giao thức . Bạn không thể xác định nhiều hơn một giao thức cùng một lúc, bạn cũng không thể thực thi netstat -p mà không xác định giao thức .

giao thức = Khi chỉ định giao thức với -p tùy chọn, bạn có thể sử dụng tcp, udp, tcpv6, hoặc là udpv6. Nếu bạn dùng -S với -p để xem thống kê theo giao thức, bạn có thể sử dụng icmp, ip, icmpv6, hoặc là ipv6 ngoài bốn điều đầu tiên tôi đã đề cập.

-r = Thực thi netstat với -r để hiển thị bảng định tuyến IP. Điều này giống như sử dụng lệnh route để thực thi tuyến đường in.

-S = The -S tùy chọn có thể được sử dụng với lệnh netstat để hiển thị số liệu thống kê chi tiết theo giao thức. Bạn có thể giới hạn số liệu thống kê được hiển thị cho một giao thức cụ thể bằng cách sử dụng -S tùy chọn và chỉ định giao thức , nhưng hãy chắc chắn sử dụng -S trước -p giao thức khi sử dụng các công tắc cùng nhau.

-t = Sử dụng -t chuyển sang hiển thị trạng thái tải xuống của ống khói TCP hiện tại thay cho trạng thái TCP được hiển thị thông thường.

-x = Sử dụng -x tùy chọn để hiển thị tất cả các trình lắng nghe, kết nối và các điểm cuối được chia sẻ của NetworkDirect.

-y = The -y chuyển đổi có thể được sử dụng để hiển thị mẫu kết nối TCP cho tất cả kết nối. Bạn không thể sử dụng -y với bất kỳ tùy chọn netstat nào khác.

Khoảng thời gian = Đây là thời gian, tính bằng giây, bạn muốn lệnh netstat tự động thực hiện lại, chỉ dừng lại khi bạn sử dụng Ctrl-C để kết thúc vòng lặp.

/? = Sử dụng công tắc trợ giúp để hiển thị chi tiết về một số tùy chọn của lệnh netstat.

Làm cho tất cả thông tin netstat đó trong dòng lệnh dễ dàng hơn để làm việc bằng cách xuất những gì bạn thấy trên màn hình vào một tệp văn bản bằng cách sử dụng toán tử chuyển hướng. Xem Cách chuyển hướng đầu ra lệnh sang tệp để biết hướng dẫn đầy đủ.

Ví dụ về lệnh Netstat

netstat -f

Trong ví dụ đầu tiên này, tôi thực thi netstat để hiển thị tất cả các kết nối TCP đang hoạt động. Tuy nhiên, tôi muốn xem các máy tính tôi đang kết nối với định dạng FQDN -f thay vì địa chỉ IP đơn giản.

Dưới đây là ví dụ về những gì bạn có thể thấy:

Kết nối hoạt động Proto Địa chỉ địa chỉ nước ngoài TCP 127.0.0.1 WEBC357 VM-Windows-7: 49229 TIME_WAIT TCP 127.0.0.1:49225 VM-Windows-7: 12080 TIME_WAIT TCP 192.168.1.14:49194 75.125.212.75:http CLOSE_WAIT TCP 192.168.1.14:49196 a795sm.avast.com:http CLOSE_WAIT TCP 192.168.1.14:49197 a795sm.avast.com:http CLOSE_WAIT TCP 192.168.1.14:49230 TIM-PC: wsd TIME_WAIT TCP 192.168.1.14:49231 TIM-PC: icslap ĐƯỢC THÀNH LẬP TCP 192.168.1.14:49232 TIM-PC: netbios-ssn TIME_WAIT TCP 192.168.1.14:49233 TIM-PC: netbios-ssn TIME_WAIT TCP :: 1: 2869 VM-Windows-7: 49226 THÀNH LẬP TCP :: 1: 49226 VM-Windows-7: icslap ĐƯỢC THÀNH LẬP

Như bạn có thể thấy, có 11 kết nối TCP đang hoạt động tại thời điểm netstat được thực hiện trong ví dụ này. Giao thức duy nhất (trong Proto cột) được liệt kê là TCP, được mong đợi vì tôi không sử dụng -a.

Bạn cũng có thể thấy ba bộ địa chỉ IP trong Địa chỉ địa phương cột - địa chỉ IP thực của tôi 192.168.1.14 và cả hai phiên bản IPv4 và IPv6 của các địa chỉ loopback của tôi, cùng với cổng mà mỗi kết nối đang sử dụng. Các địa chỉ nước ngoài cột liệt kê FQDN ( 75.125.212.75 cũng không giải quyết vì lý do nào đó) cùng với cổng đó.

cuối cùng Tiểu bang cột liệt kê trạng thái TCP của kết nối cụ thể đó.

netstat -o

Trong ví dụ này, netstat sẽ được chạy bình thường để nó chỉ hiển thị các kết nối TCP đang hoạt động, nhưng chúng tôi cũng muốn xem mã định danh quá trình tương ứng -o cho mỗi kết nối để chúng tôi có thể xác định chương trình nào trên máy tính khởi tạo từng kết nối.

Dưới đây là những gì máy tính hiển thị:

Kết nối hoạt động Proto Địa chỉ địa chỉ nước ngoài Nhà nước PID TCP 192.168.1.14:49194 75.125.212.75:http CLOSE_WAIT 2948 TCP 192.168.1.14:49196 a795sm: http CLOSE_WAIT 2948 TCP 192.168.1.14:49197 a795sm: http CLOSE_WAIT 2948

Bạn có thể nhận thấy PID cột. Trong trường hợp này, các PID đều giống nhau, có nghĩa là cùng một chương trình trên máy tính của tôi đã mở các kết nối này.

Để xác định chương trình nào được biểu diễn bởi PID của 2948 trên máy tính, tất cả những gì bạn phải làm là mở Trình quản lý tác vụ, nhấp vào Quy trình và lưu ý Tên Hình ảnh được liệt kê bên cạnh PID tôi đang tìm kiếm trong PID cột.¹

Sử dụng lệnh netstat với lệnh -o tùy chọn có thể rất hữu ích khi theo dõi chương trình nào sử dụng quá lớn băng thông của bạn. Nó cũng có thể giúp xác định vị trí đích mà một số loại phần mềm độc hại hoặc thậm chí là một phần mềm hợp pháp khác có thể gửi thông tin mà không có sự cho phép của bạn.

Trong khi điều này và ví dụ trước cả hai đều chạy trên cùng một máy tính, và chỉ trong vòng một phút của nhau, bạn có thể thấy rằng danh sách các kết nối TCP đang hoạt động là khác nhau đáng kể. Điều này là do máy tính của bạn liên tục kết nối và ngắt kết nối, nhiều thiết bị khác trên mạng của bạn và qua internet.

netstat -s -p tcp -f

Trong ví dụ thứ ba này, chúng tôi muốn xem thống kê giao thức cụ thể -S nhưng không phải tất cả, chỉ số liệu thống kê TCP -p tcp . Chúng tôi cũng muốn các địa chỉ nước ngoài được hiển thị ở định dạng FQDN -f.

Đây là lệnh netstat, như được hiển thị ở trên, được tạo trên máy tính ví dụ:

Thống kê TCP cho IPv4 Hoạt động mở = 77 Thụ động mở = 21 Nỗ lực kết nối không thành công = 2 Đặt lại kết nối = 25 Kết nối hiện tại = 5 Phân đoạn đã nhận = 7313 Phân đoạn được gửi = 4824 Phân đoạn được truyền lại = 5 Kết nối hoạt động Proto Địa chỉ địa chỉ nước ngoài TCP 127.0.0.1:2869 VM-Windows-7: 49235 TIME_WAIT TCP 127.0.0.1:2869 VM-Windows-7: 49238 THÀNH LẬP TCP 127.0.0.1:49238 VM-Windows-7: icslap được thiết lập TCP 192.168.1.14:49194 75.125.212.75:http CLOSE_WAIT TCP 192.168.1.14:49196 a795sm.avast.com:http CLOSE_WAIT TCP 192.168.1.14:49197 a795sm.avast.com:http CLOSE_WAIT

Như bạn có thể thấy, các thống kê khác nhau cho giao thức TCP được hiển thị, cũng như tất cả các kết nối TCP đang hoạt động tại thời điểm đó.

netstat -e -t 5

Trong ví dụ cuối cùng này, lệnh netstat được thực hiện để hiển thị một số thống kê giao diện mạng cơ bản -e và để các thống kê này được cập nhật liên tục trong cửa sổ lệnh sau mỗi năm giây -t 5 .

Dưới đây là những gì được sản xuất trên màn hình:

Thống kê giao diện Đã nhận đã gửi Số byte 22132338 1846834 Gói Unicast 19113 9869 Các gói không unicast 0 0 Loại bỏ 0 0 Lỗi 0 0 Giao thức không xác định 0 Thống kê giao diện Đã nhận đã gửi Số byte 22134630 1846834 Gói Unicast 19128 9869 Các gói không unicast 0 0 Loại bỏ 0 0 Lỗi 0 0 Giao thức không xác định 0 ^ C

Các thông tin khác nhau mà bạn có thể thấy ở đây và tôi đã liệt kê trong -e cú pháp ở trên, được hiển thị.

Lệnh netstat chỉ tự động thực thi thêm một lần nữa, như bạn có thể thấy bởi hai bảng trong kết quả. Lưu ý ^ C ở phía dưới, chỉ ra rằng lệnh hủy bỏ Ctrl-C đã được sử dụng để ngừng chạy lại lệnh.

Lệnh liên quan đến Netstat

Lệnh netstat thường được sử dụng với các lệnh Command Prompt có liên quan đến mạng khác như nslookup, ping, tracert, ipconfig và các lệnh khác.

_{1 Bạn có thể phải thêm cột PID vào Task Manager theo cách thủ công. Bạn có thể làm điều này bằng cách chọn hộp kiểm "PID (Process Identifier)" từ View -> Select Columns trong Task Manager. Bạn cũng có thể phải nhấp vào nút "Hiển thị quy trình từ tất cả người dùng" trên tab Xử lý nếu PID bạn đang tìm không được liệt kê.}