netstat用法
一、netstat
netstat 是 Windows 系统中用于查看网络连接、路由表、接口统计等信息的常用命令行工具,在排查网络连接、进程外联等问题时非常实用
二、命令格式与参数
netstat [参数]
| 参数 | 含义 |
|---|---|
| -a | 显示所有活动的 TCP 连接,以及计算机监听的 TCP 和 UDP 端口 |
| -b | 显示在创建每个连接或侦听端口时涉及的可执行文件。在某些情况下,已知可执行文件托管 多个独立的组件,此时会显示创建连接或侦听端口时涉及的组件序列。在此情况下,可执行文件的名称位于底部 [] 中,它调用的组件位于顶部, 直至达到 TCP/IP。注意,此选项可能很耗时,并且可能因为你没有足够的 权限而失败。 |
| -e | 显示以太网统计信息。此选项可以与 -s 选项结合使用 |
| -f | 显示外部地址的完全限定域名(FQDN)。 |
| -n | 以数字形式显示 IP 地址和端口号(不解析域名,速度更快) |
| -o | 显示每个连接对应的进程 ID(PID),可结合任务管理器定位进程 |
| -p proto | 指定协议(如 TCP、UDP),只显示该协议的连接(如 netstat -p tcp) |
| -q | |
| -r | 显示路由表信息 |
| -s | 按协议显示网络统计信息(如 TCP、UDP 的收发数据包数量) |
| -t | 显示当前连接卸载状态。 |
| -x | 显示 NetworkDirect 连接、侦听器和共享终结点 |
| -y | 显示所有连接的 TCP 连接模板。 无法与其他选项结合使用 |
| interval | 重新显示选定的统计信息,各个显示间暂停的 间隔秒数。按 CTRL+C 停止重新显示 统计信息。如果省略,则 netstat 将打印当前的配置信息一次。 |
三、常用命令示例
3.1、查看所有活跃连接及对应进程(最常用)
netstat -ano
输出包含:本地 IP: 端口、远程 IP: 端口、连接状态(如ESTABLISHED已建立)、进程 PID。
协议 本地地址 外部地址 状态 PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 1380
TCP 127.0.0.1:4154 127.0.0.1:56630 ESTABLISHED 3752
3.2、筛选特定端口的连接(如排查 63000 端口、80端口)
netstat -ano | findstr ":63000"
TCP 127.0.0.1:8071 127.0.0.1:63000 ESTABLISHED 10572
TCP 127.0.0.1:63000 127.0.0.1:8071 ESTABLISHED 11484
netstat -ano | findstr /r ":80[^0-9]"
/r:启用 正则表达式模式(findstr 默认是普通字符串匹配,加/r后支持正则规则)
上面搜索的例子只会显示80端口,不会显示其他端口,比如8080端口
3.3、筛选特定进程的连接(已知 PID 为 1234)
netstat -ano | findstr "1234"
3.4、仅显示已建立的连接
netstat -ano | findstr "ESTABLISHED"
3.5、通过 PID 查找对应进程名
先通过netstat -ano获取 PID,再执行:
tasklist | findstr "PID号"