Comanda CMD Netstat în detaliu: opțiuni, exemple și securitate

Dacă te-ai întrebat vreodată ce conexiuni deschide PC-ul tău, ce porturi sunt utilizate sau de ce rețeaua ta se întrerupe, comanda netstat este aliatul tău direct din partea... prompt de comandă. Această utilitate de linie comenzi Există încă din anii '90, în Unix și, de asemenea, la Microsoft ferestre dinși oferă o imagine de ansamblu foarte valoroasă a ceea ce se întâmplă la nivelul socketurilor, tabelelor de rutare și statisticilor de rețea.

Deși netstat nu are o interfață grafică și poate fi complex la început, cu câteva opțiuni bine alese poate detecta rapid intruziuni, conflicte de porturi, blocaje, procese suspecte și erori la nivelul rețelei. În plus, fiind integrat atât în Windows, cât și Linux și macOS, este un instrument universal care nu necesită instalarea a nimic.

Ce este netstat și de ce merită un loc în trusa ta de instrumente?

Netstat este prescurtarea de la Network Statistics (Statistici de rețea) și, așa cum sugerează și numele, afișează statistici și stări legate de conexiunile și protocoalele tale. Puteți vedea porturi deschise (de ascultare), conexiuni stabilite și închise, adrese locale și la distanță și chiar ID-ul procesului (PID) din spatele fiecărui socket în Windows.

Utilitatea sa practică este enormă pentru administrare și securitate: descoperiți servicii care nu ar trebui să fie active, identificați malware așteptați deschiderea unui port, analizați rutele și metricile de rutare sau verificați contoarele de erori care indică defecțiuni fizice sau logice în rețea.

Instrumentul este prezent în Windows, Linux, Unix și macOS și, deși în mediile moderne o parte din utilizarea sa s-a mutat către PowerShell sau utilități specifice, rămâne o comandă rapidă și omniprezentă care rezolvă îndoielile în câteva secunde. Dacă preferați elemente vizuale, vă puteți baza pe alternative precum TCPView în Windows pentru a reprezenta aceleași informații grafic.

Sfat de început pentru măsurători curate: Închideți aplicațiile care generează trafic și, dacă este posibil, reporniți computerul și deschideți doar aplicațiile esențiale înainte de a rula Netstat pentru a evita zgomotul de fond și a facilita analiza.

Impactul asupra performanței și cele mai bune practici de utilizare

Rularea comenzii netstat ocazional nu degradează performanța sistemului, dar reîmprospătările excesive și ieșirile detaliate pot crește utilizarea procesorului și a memoriei, în special cu mii de conexiuni. Costul provine din enumerarea socketurilor, rezolvarea numelor și colectarea statisticilor.

Recomandări pentru minimizarea impactului: Limitați utilizarea la momentele de diagnosticare, filtrați cu parametri specifici (de exemplu, -n pentru a nu rezolva numele, -p pentru un protocol), evitați buclele de execuție foarte rapide și luați în considerare instrumente specializate dacă aveți nevoie de o monitorizare continuă mai granulară.

În mediile corporative, este recomandabil ca execuția netstat să fie documentată și efectuată după evaluarea necesității, întrucât timpul Investițiile în inspecții nediscriminatorii se pot traduce în costuri operaționale fără un randament clar.

Cum se utilizează netstat în Windows (CMD și Terminal)

Pe Windows poți deschide netstat din CMD sau din Terminal (Windows 10/11) cu permisiuni de administrator pentru a vedea toate informațiile disponibile, inclusiv PID-ul și rezoluția numelui complet, acolo unde este necesar.

Începeți prin a tasta netstat și apăsați Enter pentru a vedea o imagine a conexiunilor active, unde sunt listate coloane precum Proto (TCP/UDP), Adresă locală, Adresă la distanță și Status (LISTENING, ESTABLISHED, TIME_WAIT, CLOSE_WAIT etc.).

Sintaxă generală

Forma canonică pe Windows urmează acest model: netstat. Puteți combina parametri; dacă includeți un interval în secunde, ieșirea este reîmprospătată la fiecare X secunde.

Note utile: -n afișează totul în format numeric (mai rapid prin evitarea DNS-ului), -o adaugă PID-ul, -p filtrează după protocol (TCP, UDP, TCPv6 sau UDPv6) și -f afișează nume de domeniu complet calificate (FQDN-uri) atunci când este posibil.

Cum se citește rezultatul

Coloana Stare este esențială: LISTENING indică porturi deschise care așteaptă conexiuni; ESTABLISHED indică conexiuni active; TIME_WAIT și CLOSE_WAIT reflectă fazele de închidere în TCP; nu există stări în UDP deoarece este fără conexiune.

Adresa locală arată portul IP al computerului, iar adresa externă, portul IP al computerului la distanță. care cu -f poate include FQDN-uri pentru a facilita urmărirea. Cu -n veți vedea întotdeauna numere (mai rapid și mai puțin ambiguu).

Parametri și opțiuni comune netstat

-A: Listează toate conexiunile și porturile de ascultare, util pentru descoperirea serviciilor active și a socketurilor care așteaptă clienți.

-și: Statistici ale interfeței (octeți, pachete, date eliminate, erori). Aceasta este o scurtă prezentare a traficului și a posibilelor anomalii RX/TX.

-F: Încearcă să afișeze numele de domeniu complet calificat (FQDN) pentru adrese la distanță, foarte util atunci când se investighează destinații necunoscute.

-n: Ieșire numerică DNS nerezolvată; accelerează execuția și evită confuzia de diagnosticare.

-O: adaugă PID-ul procesului asociat fiecărei conexiuni din Windows, piesa pe care trebuie să o intersectați cu Manager de activități sau listă de sarcini.

Protocolul -p: Filtrați după TCP, UDP, TCPv6 sau UDPv6. Pe Windows, se folosește numele protocolului (de exemplu, netstat -p TCP), fără „IP”.

-q: afișează porturile de ascultare și cele care nu ascultă, util pentru revizuirea asocierilor de socketuri.

-s: Statistici grupate după protocol (IPv4, IPv6, TCP, UDP, ICMP), cu contoare de pachete, erori și retransmisii.

-r: expune tabela de rutare și lista de interfețe, esențiale pentru validarea gateway-ului implicit și a rutelor active.

-t: afișează informații despre cronometru/descărcare la conexiuni (suportul și semantica pot varia în funcție de sistem).

-X: Detaliază conexiunile NetworkDirect, atunci când sunt prezente, relevante în medii specifice.

: Adăugați o comandă de reîmprospătare periodică, de exemplu, netstat -n 7 pentru a actualiza la fiecare 7 secunde; utilizați-o cu moderație pentru a evita supraîncărcarea sistemului.

Exemple practice pas cu pas

Cel mai bun lucru despre netstat este că fiecare comutator răspunde la o întrebare specifică care apare zilnic în domeniul rețelelor și securității. Iată câteva utilizări, de la cele de bază până la cele mai detective.

Porturi deschise și procese asociate

Pentru a vedea dintr-o privire ce ascultă, ce conexiuni există și ce proces le deține, utilizați netstat -ano, care combină ieșirea numerică și cea PID.

Cu PID-ul în mână, deschideți Managerul de activități (fila Detalii) sau utilizați lista de activități pentru a identifica executabilul, și astfel să confirmăm dacă este un serviciu legitim sau ceva suspect.

Filtrare după stat cu findstr

Dacă doriți doar conexiuni stabilite, puteți folosi `chain` cu `findstr`: netstat | findstr ESTABLISHEDPentru a vedea socket-urile de ascultare, schimbați termenul în LISTENING, iar pentru închideri, folosiți CLOSE_WAIT sau TIME_WAIT.

Această filtrare rapidă vă permite să vă concentrați asupra a ceea ce contează fără a vă îneca în cozi, util în special pe computerele cu multe browsere, clienți și servicii simultane.

Doar un protocol

Pentru a lista doar TCP pe Windows, executați: netstat -p TCP -anoDacă sunteți interesat de UDP, înlocuiți protocolul. În acest fel, reduci zgomotul și accelerezi analiza.

În unele ghiduri veți vedea „-p IP” pentru IPv4, dar pe Windows parametrul se așteaptă la TCP/UDP (sau variantele lor v6), în timp ce în Linux există și alte comutatoare pentru roluri similare.

Statistici pe protocol și interfețe

Pentru a detecta pierderi, pachete pierdute, retransmisii sau vârfuri ciudate, ruleaza netstat -s și verificați contoarele IPv4/IPv6, TCP, UDP și ICMP.

Dacă doriți să vedeți statistici per interfață (octeți, pachete, erori), netstat -e Îți oferă un rezumat clar care ajută la evaluarea direcției traficului și a calității link-urilor.

Tabela de rutare și FQDN la distanță

cu netstat -r verificați ruta implicită, rutele active și interfețele disponibile, foarte util dacă accesul la internet eșuează sau rutele interne nu ajung.

Pentru a cerceta destinații, netstat -f va încerca să rezolve FQDN-ul gazdei la distanță; te poți sintoniza cu vizualizarea porturilor deschise în Windows sau de utilizare netstat -f | findstr "amazonaws.com".

Securitate și diagnosticare: Cum să detectați comportamente suspecte sau blocaje

Netstat -ano este folosit pentru a depista conexiuni și procese ciudate despre care nu știi, prin compararea PID-ului cu executabilul din Managerul de activități sau cu instrumente precum TCPView. Dacă descoperiți o țintă la distanță necunoscută, investigați-o înainte de a lua măsuri.

Dacă detectați adrese IP la distanță suspecte, puteți extinde cu netstat -aof pentru a vedea FQDN și PID, și apoi blocați adresa IP suspectă în Paravanul de protecție Windows în timp ce rulați un antivirus/EDR. În cazuri grave, deconectați temporar computerul de la rețea.

Pentru a monitoriza în timp „aproape” real, fără instrumente externe, Statele Unite ale Americii netstat -n 5 să se reîmprospăteze la fiecare 5 secunde; rețineți că nu este conceput ca o monitorizare continuă și, dacă aveți nevoie, luați în considerare soluții specializate.

Blocajele pot apărea din cauza acumulării de conexiuni în stări de așteptare sau din cauza contoarelor de erori din -s y -e, ceea ce indică congestie, probleme de cablare sau drivereDacă vedeți o mulțime de „segmente retransmise” în TCP, fiți atenți la latență și pierderi.

Verificarea conflictelor de porturi: caz ArcGIS Server

Înainte de a implementa servicii care necesită porturi specifice (cum ar fi ArcGIS Server), Este recomandabil să se valideze dacă aceste porturi sunt libere și nu ascultă alte procese.

O comandă utilă este să legați în lanț netstat cu findstr pentru a căuta porturi specifice în LISTENING: netstat -ao | findstr "LISTENING" | findstr "4000 4001 4002 4003 6080 6443".

Dacă vreun port pare ocupat, notați PID-ul (coloana din dreapta), Accesați Manager activități > Detalii și localizați procesul. Dacă aparține ArcGIS în sine (de exemplu, javaw.exe cu utilizatorul serviciului), nu există niciun conflict. Dacă nu, reconfigurați serviciul sau reatribuiți portul.

Rețineți că un firewall, un antivirus sau o securitate perimetrală poate bloca porturile indiferent dacă sistemul local le are libere sau nu. așadar, vă rugăm să validați și politicile de rețea.

Alte comenzi de rețea utile în Windows

Netstat nu este singurul: combinarea sa cu alte comenzi de sistem îi multiplică valoarea de diagnostic. Iată lucrurile esențiale pe care să le porți pe cap.

• ipconfig: afișează configurația IP, masca, gateway-ul și permite reînnoirea DHCP; bază pentru a ști de unde veniți și încotro vizați.
• ping: Verifică raza de acțiune și latența către o gazdă; util pentru confirmarea conectivității și măsurarea timpilor dus-întors.
• urmărire: Expune ruta rapidă către o destinație, ceea ce este esențial pentru localizarea locurilor unde traficul este întrerupt sau unde întârzierile cresc.
• cale de acces: combină ping și tracert cu metrici de pierdere a saltului, foarte util, deși mai lent în execuție.
• getmac: dezvăluie adresa MAC, necesar pentru controale prin filtrare sau inventariere hardware.
• nslookup: Verificați rezoluțiile DNS (domeniu <-> IP), esențial dacă observați nume care nu se rezolvă sau mapări neașteptate.
• netsh: shell-ul de rețea pentru a configura totul, de la profiluri Wi-Fi la reguli de firewall, foarte puternic dacă trebuie să modificați parametrii stivei sau ai firewall-ului.