netstat命令详解.docx

1、netstat命令详解netstat命令详解Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，一般用于检验本机各端口的网络连接情况。如果你的计算机有时候接收到的数据报导致出错数据或故障，你不必感到奇怪，TCP/IP可以容许这些类型的错误，并能够自动重发数据报。但如果累计的出错情况数目占到所接收的IP数据报相当大的百分比，或者它的数目正迅速增加，那么你就应该使用Netstat查一查为什么会出现这些情况了。Netstat 详细参数列表（Winxp）C:netstat /?显示协议统计信息和当前 TCP/IP 网络连接。NETSTAT -a -b -e -n -o -p pr

2、oto -r -s -v interval-a 显示所有连接和监听端口。-b 显示包含于创建每个连接或监听端口的可执行组件。在某些情况下已知可执行组件拥有多个独立组件，并且在这些情况下包含于创建连接或监听端口的组件序列被显示。这种情况下，可执行组件名在底部的 中，顶部是其调用的组件，等等，直到 TCP/IP部分。注意此选项可能需要很长时间，如果没有足够权限可能失败。-e 显示以太网统计信息。此选项可以与 -s选项组合使用。-n 以数字形式显示地址和端口号。-o 显示与每个连接相关的所属进程 ID。-p proto 显示 proto 指定的协议的连接；proto 可以是下列协议之一: TCP、U

3、DP、TCPv6 或 UDPv6。如果与 -s 选项一起使用以显示按协议统计信息，proto 可以是下列协议之一:IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 或 UDPv6。-r 显示路由表。-s 显示按协议统计信息。默认地，显示 IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 和 UDPv6 的统计信息；-p 选项用于指定默认情况的子集。-v 与 -b 选项一起使用时将显示包含于为所有可执行组件创建连接或监听端口的组件。interval 重新显示选定统计信息，每次显示之间暂停时间间隔(以秒计)。按 CTRL+C 停止重新显示统计信息。如果省略，ne

4、tstat 显示当前配置信息(只显示一次)（Win2000）C:netstat /?Displays protocol statistics and current TCP/IP network connections.NETSTAT -a -e -n -s -p proto -r interval-a Displays all connections and listening ports.-e Displays Ethernet statistics. This may be combined with the -soption.-n Displays addresses and port

5、 numbers in numerical form.-p proto Shows connections for the protocol specified by proto; protomay be TCP or UDP. If used with the -s option to displayper-protocol statistics, proto may be TCP, UDP, or IP.-r Displays the routing table.-s Displays per-protocol statistics. By default, statistics ares

6、hown for TCP, UDP and IP; the -p option may be used to specifya subset of the default.interval Redisplays selected statistics, pausing interval secondsbetween each display. Press CTRL+C to stop redisplayingstatistics. If omitted, netstat will print the currentconfiguration information once.Netstat的一

7、些常用选项netstat -s本选项能够按照各个协议分别显示其统计数据。如果你的应用程序（如Web浏览器）运行速度比较慢，或者不能显示Web页之类的数据，那么你就可以用本选项来查看一下所显示的信息。你需要仔细查看统计数据的各行，找到出错的关键字，进而确定问题所在。netstat -e本选项用于显示关于以太网的统计数据。它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。这些统计数据既有发送的数据报数量，也有接收的数据报数量。这个选项可以用来统计一些基本的网络流量。netstat -r本选项可以显示关于路由表的信息，类似于后面所讲使用route print命令时看到

8、的信息。除了显示有效路由外，还显示当前有效的连接。netstat -a本选项显示一个所有的有效连接信息列表，包括已建立的连接（ESTABLISHED），也包括监听连接请求（LISTENING）的那些连接，断开连接（CLOSE_WAIT）或者处于联机等待状态的（TIME_WAIT）等netstat -n显示所有已建立的有效连接。接下来我们来看一下，微软是怎么说的？ 微软公司故意将这个功能强大的命令隐藏起来是因为它对于普通用户来说有些复杂。我们已经知道：Netstat它可以用来获得你的系统网络连接的信息（使用的端口，在使用的协议等 ），收到和发出的数据，被连接的远程系统的端口，Netstat在内存

9、中读取所有的网络信息。 在Internet RFC标准中，Netstat的定义是： Netstat是在内核中访问网络及相关信息的程序，它能提供TCP连接，TCP和UDP监听，进程内存管理的相关报告。 对于好奇心极强的人来说，紧紧有上面的理论是远远不够的，接下来我们来详细的解释一下各个参数的使用，看看执行之后会发生什么，显示的信息又是什么意思，好了，废话不说了，让我们一起来实践一下吧：）C:netstat -aActive ConnectionsProto Local Address Foreign Address StateTCP Eagle:ftp Eagle:0 LISTENINGTCP

10、Eagle:telnet Eagle:0 LISTENINGTCP Eagle:smtp Eagle:0 LISTENINGTCP Eagle:http Eagle:0 LISTENINGTCP Eagle:epmap Eagle:0 LISTENINGTCP Eagle:https Eagle:0 LISTENINGTCP Eagle:microsoft-ds Eagle:0 LISTENINGTCP Eagle:1030 Eagle:0 LISTENINGTCP Eagle:6059 Eagle:0 LISTENINGTCP Eagle:8001 Eagle:0 LISTENINGTCP

11、Eagle:8005 Eagle:0 LISTENINGTCP Eagle:8065 Eagle:0 LISTENINGTCP Eagle:microsoft-ds localhost:1031 ESTABLISHEDTCP Eagle:1031 localhost:microsoft-ds ESTABLISHEDTCP Eagle:1040 Eagle:0 LISTENINGTCP Eagle:netbios-ssn Eagle:0 LISTENINGTCP Eagle:1213 218.85.139.65:9002 CLOSE_WAITTCP Eagle:2416 219.133.63.1

12、42:https CLOSE_WAITTCP Eagle:2443 219.133.63.142:https CLOSE_WAITTCP Eagle:2907 192.168.1.101:2774 CLOSE_WAITTCP Eagle:2916 192.168.1.101:telnet ESTABLISHEDTCP Eagle:2927 219.137.227.10:4899 TIME_WAITTCP Eagle:2928 219.137.227.10:4899 TIME_WAITTCP Eagle:2929 219.137.227.10:4899 ESTABLISHEDTCP Eagle:

13、3455 218.85.139.65:9002 ESTABLISHEDTCP Eagle:netbios-ssn Eagle:0 LISTENINGUDP Eagle:microsoft-ds *:*UDP Eagle:1046 *:*UDP Eagle:1050 *:*UDP Eagle:1073 *:*UDP Eagle:1938 *:*UDP Eagle:2314 *:*UDP Eagle:2399 *:*UDP Eagle:2413 *:*UDP Eagle:2904 *:*UDP Eagle:2908 *:*UDP Eagle:3456 *:*UDP Eagle:4000 *:*UD

14、P Eagle:4001 *:*UDP Eagle:6000 *:*UDP Eagle:6001 *:*UDP Eagle:6002 *:*UDP Eagle:6003 *:*UDP Eagle:6004 *:*UDP Eagle:6005 *:*UDP Eagle:6006 *:*UDP Eagle:6007 *:*UDP Eagle:6008 *:*UDP Eagle:6009 *:*UDP Eagle:6010 *:*UDP Eagle:6011 *:*UDP Eagle:1045 *:*UDP Eagle:1051 *:*UDP Eagle:netbios-ns *:*UDP Eagl

15、e:netbios-dgm *:*UDP Eagle:netbios-ns *:*UDP Eagle:netbios-dgm *:*我们拿其中一行来解释吧：Proto Local Address Foreign Address StateTCP Eagle:2929 219.137.227.10:4899 ESTABLISHED协议（Proto）：TCP，指是传输层通讯协议（什么？不懂？请用baidu搜索TCP，OSI七层和TCP/IP四层可是基础_）本地机器名（Local Address）：Eagle，俗称计算机名了，安装系统时设置的，可以在“我的电脑”属性中修改，本地打开并用于连接的端口：

16、2929） 远程机器名（Foreign Address）：219.137.227.10远程端口：4899 状态：ESTABLISHED状态列表LISTEN：在监听状态中。 ESTABLISHED：已建立联机的联机情况。 TIME_WAIT：该联机在目前已经是等待的状态。 -a 参数常用于获得你的本地系统开放的端口，用它您可以自己检查你的系统上有没有被安装木马（ps：有很多好程序用来检测木马，但你的目的是想成为真正的hacker，手工检测要比只按一下“scan”按钮好些-仅个人观点）。如果您Netstat你自己的话，发现下面的信息： Port 12345(TCP) Netbus Port 313

17、37(UDP) Back Orifice 祝贺!您中了最常见的木马（_，上面4899是我连别人的，而且这个radmin是商业软件，目前我最喜欢的远程控制软件） 如果你需要木马及其端口列表的话，去国内的H站找找，或者baidu，google吧 * #一些原理：也许你有这样的问题：“在机器名后的端口号代表什么？ 例子：Eagle:2929小于1024的端口通常运行一些网络服务，大于1024的端口用来与远程机器建立连接。*继续我们的探讨，使用-n参数。（Netstat -n) Netstat -n基本上是-a参数的数字形式：C:netstat -nActive ConnectionsProto Lo

18、cal Address Foreign Address StateTCP 127.0.0.1:445 127.0.0.1:1031 ESTABLISHEDTCP 127.0.0.1:1031 127.0.0.1:445 ESTABLISHEDTCP 192.168.1.180:1213 218.85.139.65:9002 CLOSE_WAITTCP 192.168.1.180:2416 219.133.63.142:443 CLOSE_WAITTCP 192.168.1.180:2443 219.133.63.142:443 CLOSE_WAITTCP 192.168.1.180:2907

19、192.168.1.101:2774 CLOSE_WAITTCP 192.168.1.180:2916 192.168.1.101:23 ESTABLISHEDTCP 192.168.1.180:2929 219.137.227.10:4899 ESTABLISHEDTCP 192.168.1.180:3048 192.168.1.1:8004 SYN_SENTTCP 192.168.1.180:3455 218.85.139.65:9002 ESTABLISHED-a 和 n 是最常用的两个，据我不完全测试得出以下结果：1. -n 显示用数字化主机名，即IP地址，而不是compute_nam

20、e【eagle】2. -n 只显示TCP连接（没有在哪里见过微软的相关文档，有哪个朋友见到的话，记得告诉我喔_） 得到IP等于得到一切，它是最容易使机器受到攻击的东东，所以隐藏自己IP，获得别人的IP对hacker来说非常重要，现在隐藏IP技术很流行，但那些隐藏工具或服务真的让你隐身吗？我看不见得，呵呵，代理，跳板不属于今天讨论，一个获取对方IP的简单例子请参考我前面的文章【用DOS命令查QQ好友IP地址】-a 和 -n 是最常用的命令，如果要显示一些协议的更详细信息，就要用-p这个参数了，它其实是-a 和 -n的一个变种，我们来看一个实例，你就明白了：【netstat -p 其中为TCP或者

21、UDP】C:netstat -p tcpActive ConnectionsProto Local Address Foreign Address StateTCP Eagle:microsoft-ds localhost:1031 ESTABLISHEDTCP Eagle:1031 localhost:microsoft-ds ESTABLISHEDTCP Eagle:1213 218.85.139.65:9002 CLOSE_WAITTCP Eagle:2416 219.133.63.142:https CLOSE_WAITTCP Eagle:2443 219.133.63.142:htt

22、ps CLOSE_WAITTCP Eagle:2907 192.168.1.101:2774 CLOSE_WAITTCP Eagle:2916 192.168.1.101:telnet ESTABLISHEDTCP Eagle:2929 219.137.227.10:4899 ESTABLISHEDTCP Eagle:3455 218.85.139.65:9002 ESTABLISHED继续我们的参数讲解 -e 含义：本选项用于显示关于以太网的统计数据。它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。这些统计数据既有发送的数据报数量，也有接收的数据报数量。这个

23、选项可以用来统计一些基本的网络流量。C:netstat -eInterface Statistics Received SentBytes 143090206 44998789Unicast packets 691805 363603Non-unicast packets 886526 2386Discards 0 0Errors 0 0Unknown protocols 4449 若接收错和发送错接近为零或全为零，网络的接口无问题。但当这两个字段有100个以上的出错分组时就可以认为是高出错率了。高的发送错表示本地网络饱和或在主机与网络之间有不良的物理连接;高的接收错表示整体网络饱和、本地主机

24、过载或物理连接有问题，可以用Ping命令统计误码率，进一步确定故障的程度。netstat -e 和ping结合使用能解决一大部分网络故障。 接下来我们开始讲解两个比较复杂的参数 -r 和 -s ，也正因为如此，笔者把他放到最后讲解，这里面可能会涉及到其他方面的知识，以后在我的博客中将会继续写出来，呵呵，最近比较忙 -r是用来显示路由表信息，我们来看例子：C:netstat -rRoute Table（路由表）=Interface List（网络接口列表）0x1 . MS TCP Loopback interface0x10003 .00 0c f1 02 76 81 . Intel(R) PRO/Wireless LAN 2100 3B Mini PCIdapter0x10004 .00 02 3f 00 05 cb . Realtek RTL8139/810x Family Fast EthernetC=Active Routes:（动态路由）Network Destination Netmask Gateway Interface Metric 0.0.0.0