Netstat
Opis polecenia
Polecenie netstat w systemie Windows służy do wyświetlania informacji o połączeniach sieciowych, portach sieciowych i protokołach sieciowych. Może być używane do diagnostyki problemów z siecią lub do monitorowania aktywnych połączeń.
Składnia polecenia:
netstat [-a] [-b] [-e] [-f] [-n] [-o] [-p protocol] [-q] [-r] [-s] [-t] [-v] [interval]
Oto krótkie wyjaśnienie poszczególnych opcji:
- a: wyświetla wszystkie połączenia i nasłuchiwanie portów.
- b: wyświetla nazwę pliku wykonywalnego dla każdego procesu, który korzysta z połączenia.
- e: wyświetla statystyki sieciowe, takie jak liczba wysłanych i otrzymanych bajtów.
- f: wyświetla pełną nazwę DNS hosta dla każdego adresu IP.
- n: wyświetla adresy i numery portów w postaci liczbowej.
- o: wyświetla identyfikator procesu dla każdego połączenia.
- p protocol: wyświetla tylko połączenia dla wybranego protokołu (np. TCP, UDP, ICMP).
- q: wyświetla stan kolejki dla gniazda.
- r: wyświetla tablicę trasowania IP.
- s: wyświetla statystyki protokołu.
- t: wyświetla tylko połączenia TCP.
- v: wyświetla szczegółowe informacje o połączeniach.
interval: określa interwał, z jakim netstat będzie wyświetlać informacje. Po wykonaniu polecenia netstat, wyświetlone zostaną informacje o aktywnych połączeniach sieciowych, w tym adresy IP, numery portów, protokoły i stan połączeń.
Przykłady użycia
W pierwszej kolumnie mamy wyświetlony używany protoków, w tym przypadku "TCP". Następnie nasz adres wraz z nr portu używanym do komunikacji. Następnie zdalny adres wraz z nr portu. Na końcu mamy stan połączenia.
C:\Users\jarek>netstat Active Connections Proto Local Address Foreign Address State TCP 127.0.0.1:49678 DESKTOP-VM5QQ93:49679 ESTABLISHED TCP 127.0.0.1:49679 DESKTOP-VM5QQ93:49678 ESTABLISHED TCP 127.0.0.1:49681 DESKTOP-VM5QQ93:53567 ESTABLISHED TCP 127.0.0.1:49686 DESKTOP-VM5QQ93:49687 ESTABLISHED TCP 127.0.0.1:49687 DESKTOP-VM5QQ93:49686 ESTABLISHED TCP 127.0.0.1:49688 DESKTOP-VM5QQ93:49689 ESTABLISHED TCP 127.0.0.1:49689 DESKTOP-VM5QQ93:49688 ESTABLISHED TCP 127.0.0.1:49690 DESKTOP-VM5QQ93:49691 ESTABLISHED TCP 127.0.0.1:49691 DESKTOP-VM5QQ93:49690 ESTABLISHED TCP 127.0.0.1:49705 DESKTOP-VM5QQ93:49706 ESTABLISHED TCP 127.0.0.1:49706 DESKTOP-VM5QQ93:49705 ESTABLISHED TCP 127.0.0.1:53567 DESKTOP-VM5QQ93:49681 ESTABLISHED TCP 192.168.207.205:42898 h3-epnsbroker03:8883 ESTABLISHED TCP 192.168.207.205:42900 relay-b3d6e89b:https ESTABLISHED TCP 192.168.207.205:42901 40.113.110.67:https ESTABLISHED TCP 192.168.207.205:42903 whatsapp-chatd-edge-shv-02-frt3:http ESTABLISHED TCP 192.168.207.205:42909 ec2-34-237-73-95:https ESTABLISHED TCP 192.168.207.205:42911 52.112.238.132:https ESTABLISHED TCP 192.168.207.205:42921 40.113.110.67:https ESTABLISHED TCP 192.168.207.205:42923 moodle2:https ESTABLISHED TCP 192.168.207.205:42927 20.42.65.88:https ESTABLISHED TCP [2a00:f41:48e4:243b:fd36:641c:ff19:5666]:42912 lg-in-xbc:5228 ESTABLISHED TCP [2a00:f41:48e4:243b:fd36:641c:ff19:5666]:42930 g2a02-26f0-f700-0009-0000-0000-58dd-5c18:https CLOSE_WA
Warto uruchomić polecenie z flagą "b". Wtedy pojawia się niesamowicie wartościowa informacja, a mianowicie jaka aplikacja jest odpowiedzialna za połączenie. Aby użyć flagi "b" musisz uruchomić cmd jako administrator.
C:\Windows\System32>netstat -b Active Connections Proto Local Address Foreign Address State TCP 192.168.207.205:42900 relay-b3d6e89b:https ESTABLISHED [AnyDesk.exe] TCP 192.168.207.205:42901 40.113.110.67:https ESTABLISHED WpnService [svchost.exe] TCP 192.168.207.205:42903 whatsapp-chatd-edge-shv-02-frt3:http ESTABLISHED [WhatsApp.exe] TCP 192.168.207.205:42911 52.112.238.132:https ESTABLISHED [Teams.exe] TCP 192.168.207.205:42936 20.93.28.56:https ESTABLISHED [chrome.exe] TCP 192.168.207.205:42938 ec2-35-174-127-31:https ESTABLISHED [chrome.exe] TCP 192.168.207.205:42945 40.113.110.67:https ESTABLISHED WpnService [svchost.exe] TCP 192.168.207.205:42947 moodle2:https ESTABLISHED [msedge.exe]