使用 TCPView、TCPvcon 和 Netstat 审核 Windows 中的网络连接

最后更新: 19/09/2025
作者: 艾萨克
  • TCPView 显示实时 TCP/UDP 连接,包括进程和状态。
  • 允许您关闭套接字、保存证据以及调整 DNS 刷新和解析。
  • Tcpvcon 和 netstat 涵盖控制台使用、过滤器和 CSV 导出。
  • 它与 Nmap、Wireshark 和其他工具相辅相成,实现完整的审计。

使用 TCPView 审核网络连接

如果你想知道你的电脑现在正在与哪些设备“对话”,那么你来对地方了:系统 Windows 它们配有查看工具,并且有高级实用程序使查看变得更加容易。 TCPView,来自 Sysinternals(微软),是审计实时连接的最快方法之一。 而不会迷失在控制台中。

在企业或家庭环境中,了解哪些进程连接到互联网以及它们与哪些目的地进行通信对于诊断问题、验证防火墙规则或检测可疑活动至关重要。除了 Netstat 之外,TCPView 添加实时视图、颜色突出显示和直接连接管理,使其成为日常审计的实际替代品。

什么是 TCPView 以及为什么它是 Netstat 的实用替代品?

使用 TCPView 审计连接

TCPView 是 Microsoft Sysinternals 提供的免费实用程序,可实时显示所有 系统的 TCP 和 UDP 端点及其本地/远程地址和状态 (例如,ESTABLISHED、TIME_WAIT)。与文本转储不同,它的界面允许您一眼就识别出每个套接字后面是哪个进程。

它最大的吸引力之一是,在每个连接点旁边,你会看到 所属进程的名称以及(如果适用)关联服务的名称这样,您不仅可以检测端口和 IP 地址,还可以检测谁打开了它,这对于缩小网络诊断范围或寻找恶意软件至关重要。

从功能角度来看,TCPView 提供了 以更清晰、更可操作的方式呈现 netstat 子集。下载包中还包含 Tcpvcon,这是 comandos 具有同等的自动化或脚本记录功能。

默认情况下,视图每秒刷新一次,但您可以从 选项 | 更新频率该计划强调了周期之间的变化: 新端点为绿色,状态变化为黄色,断开的连接为红色。,这样活动就显而易见了。

另一个关键优势是,它允许您根据所看到的内容采取行动:您可以 从文件 | 关闭连接或上下文菜单关闭已建立的 TCP 连接,这对于在您继续研究时消除不必要的通信特别有用。

如果您需要保留证据或记录会话,该应用程序允许 使用“保存”菜单将输出保存到磁盘如果您更喜欢人类可读的主机名,您可以从工具栏或菜单切换 DNS 解析。

至于兼容性,TCPView 适用于 客户端为 Windows 8.1 及更高版本,服务器为 Windows Server 2012 及更高版本,因此它广泛涵盖了当前的桌面和服务器场景。

微软提供官方下载,您也可以 使用 Sysinternals Live 立即运行该实用程序。二进制文件大小目前约为 1,5 MB,尽管在旧版本中它更小;无论如何,它是一个 无需安装的便携式工具.

  修复 Mac 显示不正确的时间和日期的方法

作为历史参考,该项目带有 Mark Russinovich 并且其文档最近已更新(例如,2023 年 4 月 11 日)。 这确保了 Sysinternals 团队的持续支持和维护。.

Windows中TCPView的基本使用

使用 TCPView 监控网络

当您打开 TCPView 时,程序会列出所有活动的 TCP/UDP 端点,如果您启用了它, 将 IP 地址解析为域名以提高可读性您可以根据需要快速分析还是数值精度来打开或关闭该分辨率。

请注意进程、协议、地址/端口和状态的列: 按进程或端口排序可帮助您分组活动并检测模式 (例如,与 SMTP 或已知命令和控制服务器的大量连接)。

每秒刷新一次,用颜色标记活动:如果你看到很多绿色和红色频繁闪烁,这可能表明 应用程序的重复连接尝试、扫描或主动重新连接这种颜色编码可以加快关键时刻的决策速度。

需要切断热门流量?选择一个或多个具有设置状态的行并使用 文件 | 关闭连接或右键单击以关闭套接字这是一个临时操作(应用程序可能会重新连接),但它对于在您调整策略时阻止渗透或垃圾邮件很有用。

收集证据或与团队分享,很方便 使用“保存”菜单保存窗口转储。这种捕获使得事件与 日志 防火墙、IDS 或 EDR 并记录事件。

如果您的目标是使用纯 IP,请禁用名称解析。在具有内部 DNS 的环境中,主机名可以提供上下文,但 数字 IP 地址可防止不必要的反向解析造成的混淆 在法务审计期间。

实用说明:尽管 TCPView 不需要安装,但请以适当的权限运行它以查看所有活动。 使用提升的权限打开它可以确保您可以观察系统进程和服务。 否则它可能会不在你的视线范围内。

Tcpvcon:用于自动化审计的控制台版本

如果您希望将审计集成到脚本或安排定期日志,Tcpvcon 提供 通过命令行直接使用即可实现相同的可观察性. 它非常适合批量收集报表或生成 CSV 以供进一步分析。

该工具的基本使用:

tcpvcon [-a] [-c] [-n] [nombre_de_proceso_o_PID]

最有用的修饰符 是:

-a:显示所有端点(如果不使用此功能,您将主要看到已建立的 TCP 连接)。 完美适合完整的系统照片 未按州过滤。

-c:将输出导出为 CSV。 非常适合在 Excel 中打开或输入 SIEM 包含有关流程、端口和状态的表格数据。

-n:不解析名称;打印数字地址。 避免 DNS 延迟并保持取证准确性 在关键环境中。

快速用例示例:您知道可疑的 PID,并希望列出其活动而不解析名称;这就足够了 tcpvcon-a-n 784 查看您的活动连接。 结合过滤器可以让您以最小的摩擦深入了解特定流程的细节。.

  解决 Windows 11 在 UEFI 模式下无法检测硬盘的问题:原因、故障排除和权威指南

Netstat 查看活动连接:何时使用以及如何比较

Netstat 是这方面的专家:它集成在 Windows 中,并且使用良好, 允许您检查 TCP/UDP 连接、监听端口和状态。它的输出“更加静态”,因为它需要重新启动才能更新,但它仍然很有价值。

需要掌握的关键命令:

netstat          # lista conexiones y puertos con nombres
netstat -n       # muestra IPs y puertos en formato numérico
netstat -a       # todas las conexiones y puertos en escucha
netstat -b       # requiere admin; muestra el ejecutable asociado

-b 修饰符 查看连接背后的二进制文件特别有趣,但请记住以管理员身份打开控制台。 如果没有海拔高度,某些进程信息可能无法显示。.

如果您想要使用颜色、视觉过滤器和关闭连接的能力进行实时监控,TCPView 这将节省您的时间。如果您需要从控制台快速获取某些内容,或者您​​使用的服务器没有 GUI, netstat 或 Tcpvcon 是安全的选择。

现实场景:检测恶意软件、SMTP 垃圾邮件和防火墙错误

中小企业常见的情况是:ISP 因检测到垃圾邮件而封锁了 25 端口。与其在数十台计算机上花费数小时进行反恶意软件攻击,不如 在每台电脑上启动 TCPView(一分钟的任务)并在几秒钟内找到罪魁祸首。 看到多个同时传出的 SMTP 连接。

在受到群发邮件木马感染的计算机上,你会看到 端口 25 或 587 上的多个远程目标持续活动与干净的机器(没有任何奇怪的尖峰)相比,对比是明显的,可以让您快速隔离受影响的设备。

另一种情况: 防火墙上的端口转发配置不佳 这使得服务器过于暴露。TCPView 可能会显示来自未知远程 IP 地址且数据量较小的短暂连接。 这可能是互联网噪音、扫描或失败的尝试。,但不建议忽视它。

在域诊断中,经常会看到 与 PID 4(系统)关联的域控制器连接此活动不一定是恶意的:操作系统和内核服务正在建立合法通信。 关键是关联时间表、端口和协议 具有服务器功能。

如果您有 IDS/IPS,警报会提供上下文信息。例如,关于 服务器-WEBAPP Linksys E系列 HNAP TheMoon(RCE尝试) 表示针对易受攻击的路由器进行扫描或攻击。这并不意味着您的 Windows 主机遭到入侵,但 是的,它建议审查曝光情况并加强周边安全.

研究期间的良好做法:
冻结证据 保存 TCPView 输出和防火墙/IDS 日志。
检查开放服务 使用 netstat/Tcpvcon 并将它们与预期配置进行比较。
查看 NAT/端口转发规则 并关闭不需要的。
检查流程和签名 可疑可执行文件及其路径和发布者。
这些操作以及界面的临时连接切断, 在您制定永久性措施的同时帮助控制事件.

  我该怎么做才能让 Windows 10 任务栏不再隐藏?

完整网络审计的补充工具

除了 TCPView 和 Netstat 之外,依靠知名的网络实用程序来拓宽您的范围也是值得的。 将它们用于防御目的可以让您了解攻击者的工作方式。 并帮助您了解您的暴露区域。

TCPDump 和 WinDump:命令行流量捕获器。它们允许 转储数据包进行分析,查看网络中的流量WinDump 在 Windows 上需要 WinPcap/Npcap。它们功能强大,但读取曲线的技术性更强。

NMAP:端口扫描和服务审计。将预定义的数据包发送到 IP 范围,以 发现主机、开放端口、服务,有时还有操作系统验证您实际向网络公开的内容至关重要。

Wireshark的:具有图形界面的协议分析仪。允许 详细检查和解封 TCP/UDP 数据包,非常适合诊断精细的通信问题或研究协议。

了Aircrack-NG:面向无线网络的套件 审核 WEP/WPA/WPA2 密钥强度并分析 Wi-Fi 数据包. 有助于评估企业 Wi-Fi 安全性和密码策略。

卡利 Linux:面向渗透测试的分发版,汇集了数十种工具(包括之前的几种工具)。 它可以实时运行 USB 或定居,许多实用程序除了控制台之外还提供图形界面。

这些解决方案并不能取代 TCPView,而是对其进行补充:TCPView 它为您提供流程层面的“谁和现在”、用于服务暴露的 Nmap 以及用于数据包查看的 Wireshark/TCPDump。它们共同构成了一个强大的工作流程, 检测异常、确认发现并加强控制.

下载、执行和兼容性

您可以从 Microsoft Sysinternals 官方网站获取该实用程序。当前下载文件大小约为 1,5 MB,以可移植二进制文件形式提供如果您不想下载任何内容,也可以 通过 Sysinternals Live 即时运行 直接从互联网上获取。

执行要求摘要:

  • 顾客:Windows 8.1或更高版本。
  • 服务器:Windows Server 2012 或更高版本。

为了充分利用所有功能,建议 在故障排除会话中以管理员身份运行,特别是如果您要使用 netstat -bo,您需要查看系统进程。

日常使用该选什么?TCPView 可实现快速监测和分类 它敏捷、直观且可操作. 对于脚本、库存和定期记录, Tcpvcon 和 netstat 通过控制台覆盖流程。在真正可疑的事件中, 将这些视图与捕获和扫描相结合 从假设转向证据。

有了这样一款轻便的工具,并且能够切割特定的插座, 您有时间实施永久性的纠正措施 (防火墙策略、服务强化、分段,甚至在最谨慎的情况下重新安装)。可见性和即时行动之间的平衡正是 TCPView 的优势所在。