Der Befehl netstat, was Netzwerkstatistiken bedeutet, ist ein Eingabeaufforderungsbefehl, der verwendet wird, um sehr detaillierte Informationen darüber anzuzeigen, wie Ihr Computer mit anderen Computern oder Netzwerkgeräten kommuniziert.
Insbesondere kann es Details zu einzelnen Netzwerkverbindungen, allgemeine und protokollspezifische Netzwerkstatistiken und vieles mehr anzeigen, was bei der Fehlerbehebung bestimmter Arten von Netzwerkproblemen hilfreich sein kann.
Netstat-Befehlsverfügbarkeit
Dieser Befehl ist in den meisten Windows-Versionen über die Eingabeaufforderung verfügbar, einschließlich Windows 11, Windows 10, Windows 8, Windows 7, Windows Vista, Windows XP, Windows Server-Betriebssysteme und einige ältere Windows-Versionen, auch.
Netstat ist ein plattformübergreifender Befehl, was bedeutet, dass er auch in anderen Betriebssystemen wie macOS und Linux verfügbar ist.
Die Verfügbarkeit bestimmter netstat-Befehlssch alter und anderer netstat-Befehlssyntax kann von Betriebssystem zu Betriebssystem unterschiedlich sein.
Netstat-Befehlssyntax
netstat [-a ] [-b ] [-e ] [-f ] [-n ] [-o ] [-p Protokoll] [- r] [- s] [- t] [-x ] [-y ] [time_interval] [/? ]
| Netstat-Befehlsliste | |
|---|---|
| Option | Erklärung |
| netstat | Führen Sie den Befehl netstat allein aus, um eine relativ einfache Liste aller aktiven TCP-Verbindungen anzuzeigen, die für jede die lokale IP-Adresse (Ihr Computer), die fremde IP-Adresse (der andere Computer oder das Netzwerkgerät) anzeigt., zusammen mit den jeweiligen Portnummern sowie dem TCP-Status. |
| - a | Dieser Sch alter zeigt aktive TCP-Verbindungen, TCP-Verbindungen mit Listening-Zustand sowie UDP-Ports, auf denen gelauscht wird. |
| - b | Dieser netstat-Sch alter ist dem unten aufgeführten - o-Sch alter sehr ähnlich, zeigt aber statt der PID den tatsächlichen Dateinamen des Prozesses an. Die Verwendung von - b über - o mag den Anschein haben, als würden Sie ein oder zwei Schritte sparen, aber die Verwendung kann manchmal die Zeit erheblich verlängern, die netstat benötigt, um vollständig ausgeführt zu werden. |
| - e | Verwenden Sie diesen Sch alter mit dem netstat-Befehl, um Statistiken über Ihre Netzwerkverbindung anzuzeigen. Diese Daten umfassen Bytes, Unicast-Pakete, Nicht-Unicast-Pakete, Verwerfungen, Fehler und unbekannte Protokolle, die seit dem Verbindungsaufbau empfangen und gesendet wurden. |
| - f | Der Sch alter - f zwingt den netstat-Befehl, den vollständig qualifizierten Domänennamen (FQDN) für jede ausländische IP-Adresse anzuzeigen, wenn dies möglich ist. |
| - n | Verwenden Sie den Sch alter - n, um zu verhindern, dass netstat versucht, Hostnamen für fremde IP-Adressen zu ermitteln. Abhängig von Ihren aktuellen Netzwerkverbindungen kann die Verwendung dieses Sch alters die Zeit, die für die vollständige Ausführung von netstat benötigt wird, erheblich verkürzen. |
| - o | Eine praktische Option für viele Fehlerbehebungsaufgaben, der - o-Sch alter zeigt die Prozesskennung (PID) an, die jeder angezeigten Verbindung zugeordnet ist. Im folgenden Beispiel finden Sie weitere Informationen zur Verwendung von netstat -o. |
| - p | Verwenden Sie den Sch alter - p, um Verbindungen oder Statistiken nur für ein bestimmtes Protokoll anzuzeigen. Sie können nicht mehr als ein Protokoll gleichzeitig definieren, noch können Sie netstat mit - p ausführen, ohne ein Protokoll zu definieren. |
| Protokoll | Wenn Sie ein Protokoll mit der Option - p angeben, können Sie tcp, udp verwenden, tcpv6 oder udpv6 Wenn Sie - s mit - p verwenden Um Statistiken nach Protokoll anzuzeigen, können Sie icmp, ip, icmpv6 oder verwenden ipv6 zusätzlich zu den ersten vier, die ich erwähnt habe. |
| - r | Führen Sie netstat mit - r aus, um die IP-Routing-Tabelle anzuzeigen. Dies ist dasselbe wie die Verwendung des route-Befehls zum Ausführen von route print. |
| - s | Die Option - s kann mit dem Befehl netstat verwendet werden, um detaillierte Statistiken nach Protokoll anzuzeigen. Sie können die angezeigten Statistiken auf ein bestimmtes Protokoll beschränken, indem Sie die Option - s verwenden und dieses Protokoll angeben, aber verwenden Sie unbedingt - s vor- p-Protokoll, wenn die Sch alter zusammen verwendet werden. |
| - t | Verwenden Sie den Sch alter - t, um den aktuellen TCP-Chimney-Offload-Status anstelle des normalerweise angezeigten TCP-Status anzuzeigen. |
| - x | Verwenden Sie die Option - x, um alle NetworkDirect-Listener, Verbindungen und freigegebenen Endpunkte anzuzeigen. |
| - y | Der Sch alter - y kann verwendet werden, um die TCP-Verbindungsvorlage für alle Verbindungen anzuzeigen. Sie können - y nicht mit anderen netstat-Optionen verwenden. |
| time_in terval | Dies ist die Zeit in Sekunden, die der netstat-Befehl automatisch erneut ausführen soll und nur stoppt, wenn Sie Strg-C verwenden, um die Schleife zu beenden. |
| /? | Verwenden Sie den Hilfesch alter, um Details zu den verschiedenen Optionen des netstat-Befehls anzuzeigen. |
Erleichtern Sie die Arbeit mit all diesen netstat-Informationen in der Befehlszeile, indem Sie das, was Sie auf dem Bildschirm sehen, mithilfe eines Umleitungsoperators in eine Textdatei ausgeben. Vollständige Anweisungen finden Sie unter So leiten Sie die Befehlsausgabe in eine Datei um.
Netstat-Befehlsbeispiele
Hier sind einige Beispiele, die zeigen, wie der Befehl netstat verwendet werden könnte:
Aktive TCP-Verbindungen anzeigen
netstat -f
In diesem ersten Beispiel führen wir netstat aus, um alle aktiven TCP-Verbindungen anzuzeigen. Wir möchten jedoch die Computer, mit denen wir verbunden sind, im FQDN-Format [- f] anstelle einer einfachen IP-Adresse sehen.
Hier ist ein Beispiel dafür, was Sie sehen könnten:
Aktive Verbindungen
Proto Local Address Foreign Address State
TCP 127.0.0.1:5357 VM-Windows-7: 49229 TIME_WAIT
TCP 127.0.0.1:49225 VM-Windows-7:12080 TIME_WAIT
TCP 192.168.1.14:49194 75.125.212.75:http CLOSE_WAIT
TCP 192.168.1.14:49196 a795sm.avast.com:http CLOSE_WAIT
TCP 192.168.1.14: 49197 a795sm.avast.com:http CLOSE_WAIT
TCP 192.168.1.14:49230 TIM-PC:wsd TIME_WAIT
TCP 192.168.1.14:49231 TIM-PC:icslap ESTABLISHED
TCP 192.168.1.14:49232 TIM-PC:netbios-ssn TIME_WAIT
TCP 192.168.1.14:49233 TIM-PC:netbios-ssn TIME_WAIT
TCP [::1]:2869 VM-Windows-7:49226 ESTABLISHED
TCP [::1]:49226 VM-Windows-7:icslap ESTABLISHED
Wie Sie sehen können, gab es zum Zeitpunkt der Ausführung von netstat in diesem Beispiel 11 aktive TCP-Verbindungen. Das einzige aufgeführte Protokoll (in der Proto-Sp alte) ist TCP, was erwartet wurde, weil wir - a. nicht verwendet haben
Sie können auch drei Gruppen von IP-Adressen in der Sp alte Lokale Adresse sehen – die tatsächliche IP-Adresse 192.168.1.14 und sowohl IPv4- als auch IPv6-Versionen der Loopback-Adressen, zusammen mit dem Port, den jede Verbindung verwendet. Die Sp alte Foreign Address listet den FQDN (75.125.212.75 wurde aus irgendeinem Grund nicht aufgelöst) zusammen mit diesem Port auf.
Schließlich listet die Status-Sp alte den TCP-Status dieser bestimmten Verbindung auf.
Verbindungen und Prozesskennungen anzeigen
netstat -o
In diesem Beispiel wird netstat normal ausgeführt, sodass es nur aktive TCP-Verbindungen anzeigt, aber wir möchten auch die entsprechende Prozesskennung [- o] für jede Verbindung sehen dass wir feststellen können, welches Programm auf dem Computer jeweils ausgelöst wurde.
Hier ist, was der Computer angezeigt hat:
Aktive Verbindungen
Proto Local Address Foreign Address State PID
TCP 192.168.1.14:49194 75.125.212.75:http CLOSE_WAIT 2948
TCP 192.168.1.14:49196 a795sm:http CLOSE_WAIT 2948
TCP 192.168.1.14:49197 a795sm:http CLOSE_WAIT 2948
Sie haben wahrscheinlich die neue PID-Sp alte bemerkt. In diesem Fall sind die PIDs alle gleich, was bedeutet, dass das gleiche Programm auf dem Computer diese Verbindungen geöffnet hat.
Um festzustellen, welches Programm auf dem Computer durch die PID 2948 dargestellt wird, müssen Sie lediglich den Task-Manager öffnen, die Registerkarte Prozesse auswählen und den Bildnamen notieren neben der gesuchten PID in der PID-Sp alte aufgeführt.1
Die Verwendung des netstat-Befehls mit der Option - o kann sehr hilfreich sein, um herauszufinden, welches Programm einen zu großen Teil Ihrer Bandbreite verbraucht. Es kann auch dabei helfen, das Ziel zu finden, an das eine Art Malware oder sogar eine anderweitig legitime Software möglicherweise ohne Ihre Erlaubnis Informationen sendet.
Während dieses und das vorherige Beispiel beide auf demselben Computer ausgeführt wurden und nur eine Minute voneinander entfernt waren, können Sie sehen, dass die Liste der aktiven TCP-Verbindungen erheblich unterschiedlich ist. Dies liegt daran, dass Ihr Computer ständig eine Verbindung zu verschiedenen anderen Geräten in Ihrem Netzwerk und über das Internet herstellt und trennt.
Nur bestimmte Verbindungen anzeigen
netstat -0 | findstr 28604
Das obige Beispiel ähnelt dem, was wir uns bereits angesehen haben, aber anstatt alle Verbindungen anzuzeigen, weisen wir den Befehl netstat an, nur die Verbindungen anzuzeigen, die eine bestimmte PID verwenden, in diesem Beispiel 28604.
Ein ähnlicher Befehl könnte verwendet werden, um die Verbindungen mit einem CLOSE_WAIT-Zustand herauszufiltern, indem die PID durch ESTABLISHED ersetzt wird.
Protokollspezifische Statistiken anzeigen
netstat -s -p tcp -f
In diesem Beispiel möchten wir protokollspezifische Statistiken sehen [- s], aber nicht alle, sondern nur TCP-Statistiken [- pTCP]. Wir möchten auch, dass die ausländischen Adressen im FQDN-Format angezeigt werden [-f ].
Dies ist, was der Befehl netstat, wie oben gezeigt, auf dem Beispielcomputer erzeugt hat:
TCP-Statistiken für IPv4
Aktive Öffnungen=77
Passive Öffnungen=21
Fehlgeschlagene Verbindungsversuche=2 Verbindungen zurücksetzen=25 Aktuelle Verbindungen=5 Segmente empfangen=7313 Gesendete Segmente=4824 Neu übertragene Segmente=5Aktive Verbindungen Proto Lokale Adresse Foreign Address State TCP 127.0.0.1:2869 VM-Windows-7:49235 TIME_WAIT TCP 127.0.0.1:2869 VM-Windows-7:49238 ESTABLISHED TCP 127.0. 0.1:49238 VM-Windows-7:icslap ESTABLISHED TCP 192.168.1.14:49194 75.125.212.75:http CLOSE_WAIT TCP 192.168.1.14:49196 a795sm.avast.com:http CLOSE_WAIT TCP 192.168.1.14:49197 a795sm.avast.com:http CLOSE_WAIT
Wie Sie sehen können, werden verschiedene Statistiken für das TCP-Protokoll angezeigt, sowie alle aktiven TCP-Verbindungen zu diesem Zeitpunkt.
Aktualisierte Netzwerkstatistik anzeigen
netstat -e -t 5
In diesem letzten Beispiel wird der Befehl netstat ausgeführt, um einige grundlegende Netzwerkschnittstellenstatistiken anzuzeigen [- e] und damit diese Statistiken im Befehlsfenster alle fünf Sekunden kontinuierlich aktualisiert werden [- t 5].
Hier ist, was auf dem Bildschirm produziert wird:
Schnittstellenstatistik
Empfangen Gesendet
Bytes 22132338 1846834
Unicast-Pakete 19113 9869
Nicht-Unicast-Pakete 0 0
Verwirft 0 0
Fehler 0 0
Unbekannte Protokolle 0Schnittstellenstatistik Empfangen Gesendet Bytes 22134630 1846834
Unicast-Pakete 19128 9869
Nicht-Unicast-Pakete 0 0
Verwirft 0 0
Fehler 0 0
Unbekannte Protokolle 0
^C
Verschiedene Informationen, die Sie hier sehen können und die wir oben in der Syntax - e aufgeführt haben, werden angezeigt.
Der netstat-Befehl wurde nur ein weiteres Mal automatisch ausgeführt, wie Sie an den beiden Tabellen im Ergebnis sehen können. Beachten Sie das ^C unten, was darauf hinweist, dass der Abbruchbefehl Strg+C verwendet wurde, um die erneute Ausführung des Befehls zu stoppen.
Netstat-bezogene Befehle
Der Befehl netstat wird häufig zusammen mit anderen netzwerkbezogenen Eingabeaufforderungsbefehlen wie nslookup, ping, tracert, ipconfig und anderen verwendet.
[1] Möglicherweise müssen Sie die PID-Sp alte manuell zum Task-Manager hinzufügen. Sie können dies tun, indem Sie PID auswählen, nachdem Sie mit der rechten Maustaste auf die Sp altenüberschriften in der Registerkarte Prozess geklickt haben. Wenn Sie Windows 7 oder ein älteres Windows-Betriebssystem verwenden, aktivieren Sie das Kontrollkästchen PID (Process Identifier) unter View > Select Sp alten im Task-Manager. Möglicherweise müssen Sie auch Prozesse von allen Benutzern anzeigen unten auf der Registerkarte Prozesse auswählen, wenn die gesuchte PID nicht aufgeführt ist.
