Утилита NETSTAT.EXE

Утилита netstat.exe присутствует во всех версиях Windows, однако, существуют некоторые отличия используемых параметров командной строки и результатов ее выполнения, в зависимости от операционной системы. Используется для отображения TCP и UDP -соединений, слушаемых портов, таблицы маршрутизации, статистических данных для различных протоколов.

Синтаксис:

netstat[-a] [-e] [-n] [-o] [-pProtocol] [-r] [-s] [Interval]

-a- отображение всех активных соединений по протоколам TCP и UDP, а также, списка портов, которые ожидают входящие соединения (слушаемых портов).

-b- отображение всех активных соединений по протоколам TCP и UDP, а также, списка портов, которые ожидают входящие соединения (слушаемых портов) с информацией об именах исполняемых файлов. Данный параметр применим для операционных систем Widows XP и старше.

-e- отображение статистики Ethernet в виде счетчиков принятых и отправленных байт и пакетов.

-n- отображение номеров портов в виде десятичных чисел.

-o- отображение соединений, включая идентификатор процесса (PID) для каждого соединения.

-p Protocol- отображение соединений для заданного протокола. Протокол может принимать значения tcp, udp, tcpv6, udpv6. При использовании совместно с параметром -s в качестве протокола можно задавать tcp, udp, icmp, ip, tcpv6, udpv6, icmpv6, ipv6.

-s- отображение статистических данных по протоколам TCP, UDP, ICMP, IP , TCP over IPv6, UDP over IPv6, ICMPv6, и IPv6 . Если задан параметр -p, то статистика будет отбражатися только для выбранных протоколов.

-r- отображение таблицы маршрутов. Эквивалент команды route print

Interval- интервал обновления отображаемой информации в секундах.

-v- отображать подробную информацию.

/?- отобразить справку по использованию netstat

При использовании утилиты netstat.exeудобно пользоваться командами постраничного вывода (more), перенаправления стандартного вывода в файл ( > ) и поиска текста в результатах (find).

netstat -a | more- отобразить все соединения в постраничном режиме вывода на экран.

netstat -a > C:\netstatall.txt- отобразить все соединения с записью результатов в файл C:\netstatall.txt.

netstat -a | find /I "LISTENING"- отобразить все соединения со статусом LISTENING. Ключ /Iв команде findуказывает, что при поиске текста не нужно учитывать регистр символов.

netstat -a | find /I "listening" > C:\listening.txt- отобразить все соединения со статусом LISTENING с записью результатов в файл C:\listening.txt.

Пример отображаемой информации:

Активные подключения
Имя Локальный адрес Внешний адрес Состояние

Имя - название протокола.

Локальный адрес- локальный IP-адрес участвующий в соединении или связанный со службой, ожидающей входящие соединения (слушающей порт). Если в качестве адреса отображается 0.0.0.0 , то это означает - "любой адрес", т.е в соединении могут использоваться все IP-адреса существующие на данном компьютере. Адрес 127.0.0.1 - это петлевой интерфейс, используемый в качестве средства IP протокола для взаимодействия между процессами без реальной передачи данных.

Внешний адресВнешний IP-адрес, участвующий в создании соединения.

Состояние- состояние соединения. Состояние Listening говорит о том, что строка состояния отображает информацию о сетевой службе, которая ожидает входящие соединения по соответствующему протоколу на адрес и порт, отображаемые в колонке "Локальный адрес ". Состояние ESTABLISHED указывает на активное соединение. В колонке "Состояние" для соединений по протоколу TCP может отображаться текущий этап TCP-сессии определяемый по обработке значений флагов в заголовке TCP - пакета (Syn, Ask, Fin ... ). Возможные состояния:

CLOSE_WAIT - ожидание закрытия соединения.
CLOSED - соединение закрыто.
ESTABLISHED - соединение установлено.
LISTENING - ожидается соединение (слушается порт)
TIME_WAIT - превышение времени ответа.

Имя программного модуля, связанного с данным соединением отображается, если задан параметр -bв командной строке при запуске netstat.exe.

Примеры использования :

· Получить список слушаемых портов и связанных с ними программ: