网络工程师必会之网络状态工具Netstat(winddows平台)

一、Netstat 简介

netstat（Network Statistics）是 Windows 自带的命令行工具，用于查看网络连接状态、监听端口、路由表等信息，是网络故障排查的必备工具。

二、核心参数详解

以下参数可组合使用（如 netstat -ano）：

参数 作用

-a 显示所有连接和监听端口（包括TCP/UDP）

-n 以数字形式显示地址和端口（不解析域名和服务名）

-o 显示每个连接的进程ID（PID）

-b 显示创建连接的可执行文件（需管理员权限）

-p proto 按协议过滤（如 -p tcp）

-r 显示路由表（类似 route print）

-s 按协议统计（如TCP/UDP的收发包数量）

-e 显示网络接口流量统计（收发包字节数）

三、10个最常用的 Netstat 示例

1. 查看所有活动连接和监听端口

netstat -a

用途：快速查看本机所有开放端口（包括被远程连接的端口和本地监听端口）。

输出示例：

TCP 0.0.0.0:80 0.0.0.0:0 LISTENING

TCP 192.168.1.10:49378 142.250.199.14:443 ESTABLISHED

2. 显示所有连接并解析为数字格式（快速分析）

netstat -an

用途：避免域名解析延迟，直接显示 IP 和端口号，适合分析大量连接。

输出示例：

TCP 0.0.0.0:443 0.0.0.0:0 LISTENING

TCP 192.168.1.10:49378 142.250.199.14:443 ESTABLISHED

3. 显示所有连接及对应的进程PID

netstat -ano

用途：找到占用特定端口的进程（通过 PID 可在任务管理器中定位进程）。

输出示例：

TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 1234

下一步：

在任务管理器中按 PID 找到进程名称。

4. 查找特定端口的占用情况

netstat -ano | findstr ":80"

用途：快速定位 80 端口是否被占用及对应的 PID。

输出示例：

TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 1234

5. 显示所有 TCP 连接

netstat -p tcp

用途：仅关注 TCP 协议（如排查 HTTP、SSH 等基于 TCP 的服务）。

6. 显示所有 UDP 连接

netstat -p udp

用途：仅关注 UDP 协议（如排查 DNS、DHCP 等基于 UDP 的服务）。

7. 显示路由表

netstat -r

用途：等同于 route print，查看本机的路由规则（如默认网关、直连网段）。

8. 显示进程的可执行文件（需管理员权限）

netstat -ab

用途：直接显示哪个程序占用了端口（如发现 chrome.exe 在监听某个端口）。

注意：此命令可能需要等待几秒加载信息。

9. 统计网络协议流量

netstat -s

用途：查看 TCP/UDP/ICMP 的收发包数量、错误数（如检测网络丢包）。

10. 持续刷新网络状态（每2秒一次）

netstat -ano 2

用途：动态监控网络连接变化（按 Ctrl+C 停止）。

四、注意事项

以上命令已在 Windows 10/11 及 Windows Server 2016/2019 中测试通过。若遇到问题，注意以下事项：

权限问题：

-b 参数需要以管理员身份运行命令提示符（CMD）。

无输出或延迟：

如果无连接，部分参数（如 -p udp）可能显示空白。

使用 -b 时加载较慢（需解析可执行文件）。

PID 对应进程：

在任务管理器中添加 PID 列：右键任务栏 → 任务管理器 → 详细信息 → 右键列标题 → 选择“PID”。

五、实战案例

案例1：检测恶意程序

运行 netstat -ano 发现异常外部 IP 连接。

根据 PID 在任务管理器中找到可疑进程（如无名称的进程）。

使用 netstat -ab 定位到恶意可执行文件路径。

案例2：释放被占用的端口

运行 netstat -ano | findstr ":80" 找到 PID。

在任务管理器中结束对应 PID 的进程。