Come utilizzare il comando Netstat

Utilizzare il comando Netstat per risalire ad accessi non autorizzati (Aprile 2024)

Utilizzare il comando Netstat per risalire ad accessi non autorizzati (Aprile 2024)
Anonim

Il comando netstat è un comando del prompt dei comandi utilizzato per la visualizzazione molto informazioni dettagliate su come il tuo computer sta comunicando con altri computer o dispositivi di rete.

In particolare, il comando netstat può mostrare dettagli sulle singole connessioni di rete, statistiche di rete complessive e specifiche del protocollo, e molto altro ancora, ognuna delle quali può aiutare a risolvere determinati problemi di rete.

Disponibilità del comando Netstat

Il comando netstat è disponibile all'interno del prompt dei comandi nella maggior parte delle versioni di Windows, inclusi Windows 10, Windows 8, Windows 7, Windows Vista, Windows XP, sistemi operativi Windows Server e anche alcune versioni precedenti di Windows.

La disponibilità di alcuni switch di comando netstat e di altre sintassi del comando netstat può variare da sistema operativo a sistema operativo.

Sintassi del comando Netstat

netstat -un -b -e -f -n -o -p protocollo -r -S -t -X -y Intervallo di tempo /?

Come leggere la sintassi del comando

Esegui il comando netstat da solo per mostrare un elenco relativamente semplice di tutte le connessioni TCP attive che, per ognuna, mostreranno l'indirizzo IP locale (il tuo computer), l'indirizzo IP esterno (l'altro computer o dispositivo di rete), insieme ai rispettivi numeri di porta, così come lo stato TCP.

-un = Questo interruttore visualizza le connessioni TCP attive, le connessioni TCP con lo stato di ascolto e le porte UDP che vengono ascoltate.

-b = Questo switch netstat è molto simile al -o interruttore elencato di seguito, ma anziché visualizzare il PID, visualizzerà il nome del file effettivo del processo. utilizzando -b al di sopra di -o potrebbe sembrare che ti stia salvando un passaggio o due, ma usarlo a volte può allungare notevolmente il tempo necessario per eseguire completamente netstat.

-e = Usa questa opzione con il comando netstat per mostrare le statistiche sulla tua connessione di rete. Questi dati includono byte, pacchetti unicast, pacchetti non unicast, scarti, errori e protocolli sconosciuti ricevuti e inviati da quando è stata stabilita la connessione.

-f = Il -f switch impone il comando netstat per visualizzare il nome di dominio completo (FQDN) per ciascun indirizzo IP esterno quando possibile.

-n = Usa il -n passare a impedire a netstat di tentare di determinare i nomi host per gli indirizzi IP esterni. A seconda delle attuali connessioni di rete, l'utilizzo di questa opzione potrebbe ridurre notevolmente il tempo necessario per eseguire correttamente netstat.

-o = Un'opzione utile per molte attività di risoluzione dei problemi, il -o switch visualizza l'identificatore di processo (PID) associato a ciascuna connessione visualizzata. Vedere l'esempio di seguito per ulteriori informazioni sull'utilizzo netstat -o.

-p = Usa il -p passa a mostrare connessioni o statistiche solo per un particolare protocollo . Non puoi definirne più di uno protocollo contemporaneamente, né puoi eseguire netstat con -p senza definire a protocollo .

protocollo = Quando si specifica a protocollo con il -p opzione, puoi usare tcp, udp, TCPv6, o UDPv6. Se usi -S con -p per visualizzare le statistiche per protocollo, è possibile utilizzare icmp, ip, ICMPv6, o ipv6 oltre ai primi quattro che ho menzionato.

-r = Esegui netstat con -r per mostrare la tabella di routing IP. È lo stesso che usare il comando route da eseguire stampa del percorso.

-S = Il -S l'opzione può essere utilizzata con il comando netstat per mostrare statistiche dettagliate per protocollo. È possibile limitare le statistiche mostrate a un particolare protocollo usando il -S opzione e specificandolo protocollo , ma assicurati di usarlo -S prima -p protocollo quando si usano gli interruttori insieme.

-t = Usa il -t passare per mostrare lo stato attuale di offload del camino TCP al posto dello stato TCP visualizzato in genere.

-X = Usa il -X opzione per mostrare tutti i listener, le connessioni e gli endpoint condivisi di NetworkDirect.

-y = Il -y switch può essere utilizzato per mostrare il modello di connessione TCP per tutte le connessioni. Non puoi usare -y con qualsiasi altra opzione netstat.

Intervallo di tempo = Questo è il tempo, in secondi, in cui si desidera eseguire di nuovo il comando netstat automaticamente, fermandosi solo quando si usa Ctrl-C per terminare il ciclo.

/? = Usa l'interruttore di aiuto per mostrare i dettagli sulle varie opzioni del comando netstat.

Semplifica l'utilizzo di tutte le informazioni di netstat nella riga di comando mediante l'output di ciò che viene visualizzato sullo schermo in un file di testo utilizzando un operatore di reindirizzamento. Vedi Come reindirizzare l'output del comando su un file per istruzioni complete.

Esempi di comandi Netstat

netstat -f

In questo primo esempio, eseguo netstat per mostrare tutte le connessioni TCP attive. Tuttavia, voglio vedere i computer a cui sono connesso in formato FQDN -f invece di un semplice indirizzo IP.

Ecco un esempio di ciò che potresti vedere:

Collegamenti attivi Proto Indirizzo locale Stato indirizzo esterno TCP 127.0.0.1:5357 VM-Windows-7: 49229 TIME_WAIT TCP 127.0.0.1:49225 VM-Windows-7: 12080 TIME_WAIT TCP 192.168.1.14:49194 75.125.212.75:http CLOSE_WAIT TCP 192.168.1.14:49196 a795sm.avast.com:http CLOSE_WAIT TCP 192.168.1.14:49197 a795sm.avast.com:http CLOSE_WAIT TCP 192.168.1.14:49230 TIM-PC: wsd TIME_WAIT TCP 192.168.1.14:49231 TIM-PC: icslap ESTABLISHED TCP 192.168.1.14:49232 TIM-PC: netbios-ssn TIME_WAIT TCP 192.168.1.14:49233 TIM-PC: netbios-ssn TIME_WAIT TCP :: 1: 2869 VM-Windows-7: 49226 ESTABLISHED TCP :: 1: 49226 VM-Windows-7: icslap ESTABLISHED

Come puoi vedere, c'erano 11 connessioni TCP attive al momento dell'esecuzione di netstat in questo esempio. L'unico protocollo (nel Proto colonna) elencato è TCP, che era previsto perché non l'ho usato -un.

Puoi anche vedere tre serie di indirizzi IP nel Indirizzo locale column-my actual IP address di 192.168.1.14 e entrambe le versioni IPv4 e IPv6 dei miei indirizzi di loopback, insieme alla porta utilizzata da ciascuna connessione. Il indirizzo straniero colonna elenca il FQDN ( 75.125.212.75 non è stato risolto per qualche motivo) insieme a quella porta.

Finalmente, il Stato colonna elenca lo stato TCP di quella particolare connessione.

netstat -o

In questo esempio, netstat verrà eseguito normalmente, quindi mostra solo connessioni TCP attive, ma vogliamo anche vedere l'identificatore di processo corrispondente -o per ogni connessione in modo da poter determinare quale programma sul computer ha avviato ciascuno di essi.

Ecco cosa ha visualizzato il computer:

Collegamenti attivi PID di indirizzo straniero dell'indirizzo locale Proto TCP 192.168.1.14:49194 75.125.212.75:http CLOSE_WAIT 2948 TCP 192.168.1.14:49196 a795sm: http CLOSE_WAIT 2948 TCP 192.168.1.14:49197 a795sm: http CLOSE_WAIT 2948

Probabilmente hai notato il nuovo PID colonna. In questo caso, i PID sono tutti uguali, il che significa che lo stesso programma sul mio computer ha aperto queste connessioni.

Per determinare quale programma è rappresentato dal PID di 2948 sul computer, tutto ciò che devi fare è aprire Task Manager, fare clic su Processi scheda e nota il Nome dell'immagine elencato accanto al PID che sto cercando nel PID colonna.1

Usando il comando netstat con il -o l'opzione può essere molto utile quando rintracciare quale programma sta usando una quota troppo grande della larghezza di banda. Può anche aiutare a localizzare la destinazione dove qualche tipo di malware, o anche un altro software legittimo, potrebbe inviare informazioni senza la tua autorizzazione.

Mentre questo e l'esempio precedente erano entrambi eseguiti sullo stesso computer, e in un solo minuto l'uno dall'altro, è possibile vedere che l'elenco delle connessioni TCP attive è notevolmente diverso. Questo perché il tuo computer è costantemente connesso e disconnesso da vari altri dispositivi sulla tua rete e su Internet.

netstat -s -p tcp -f

In questo terzo esempio, vogliamo vedere le statistiche specifiche del protocollo -S ma non tutti, solo le statistiche TCP -p tcp . Vogliamo anche gli indirizzi stranieri visualizzati in formato FQDN -f.

Questo è ciò che il comando netstat, come mostrato sopra, ha prodotto sul computer di esempio:

Statistiche TCP per IPv4 Attiva attiva = 77 Aperture passive = 21 Tentativi di connessione falliti = 2 Ripristina connessioni = 25 Collegamenti correnti = 5 Segmenti ricevuti = 7313 Segmenti inviati = 4824 Segmenti ritrasmessi = 5 Collegamenti attivi Proto Indirizzo locale Stato indirizzo esterno TCP 127.0.0.1:2869 VM-Windows-7: 49235 TIME_WAIT TCP 127.0.0.1:2869 VM-Windows-7: 49238 ESTABLISHED TCP 127.0.0.1:49238 VM-Windows-7: icslap ESTABLISHED TCP 192.168.1.14:49194 75.125.212.75:http CLOSE_WAIT TCP 192.168.1.14:49196 a795sm.avast.com:http CLOSE_WAIT TCP 192.168.1.14:49197 a795sm.avast.com:http CLOSE_WAIT

Come puoi vedere, vengono visualizzate varie statistiche per il protocollo TCP, così come tutte le connessioni TCP attive al momento.

netstat -e -t 5

In questo ultimo esempio, viene eseguito il comando netstat per mostrare alcune statistiche di base dell'interfaccia di rete -e e in modo che queste statistiche vengano continuamente aggiornate nella finestra di comando ogni cinque secondi -t 5 .

Ecco cosa viene prodotto sullo schermo:

Statistiche dell'interfaccia Ricevuto inviato Byte 22132338 1846834 Pacchetti unicast 19113 9869 Pacchetti non unicast 0 0 Scarta 0 0 Errori 0 0 Protocolli sconosciuti 0 Statistiche dell'interfaccia Ricevuto inviato Byte 22134630 1846834 Pacchetti unicolari 19128 9869 Pacchetti non unicast 0 0 Scarta 0 0 Errori 0 0 Protocolli sconosciuti 0 ^ C

Varie informazioni, che puoi vedere qui e che ho elencato nel -e sintassi sopra, vengono visualizzati.

Il comando netstat ha eseguito automaticamente solo una volta in più, come puoi vedere dalle due tabelle nel risultato. Notare la ^ C in basso, che indica che il comando Ctrl-C abort è stato usato per fermare il riesecuzione del comando.

Comandi correlati a Netstat

Il comando netstat viene spesso utilizzato con altri comandi del prompt dei comandi relativi alla rete come nslookup, ping, tracert, ipconfig e altri.

1 Potrebbe essere necessario aggiungere manualmente la colonna PID a Task Manager. Puoi farlo selezionando la casella di controllo "PID (Process Identifier)" da Visualizza -> Seleziona colonne in Task Manager. Potrebbe anche essere necessario fare clic sul pulsante "Mostra processi da tutti gli utenti" nella scheda Processi se il PID che stai cercando non è elencato.

Netstat - Comando Linux

Netstat - Comando Linux

Comando Linux / Unix: netstat - stampa connessioni di rete, tabelle di routing, statistiche di interfaccia, connessioni masquerade e appartenenze multicast

Come utilizzare la riga di comando di Linux per cambiare directory

Come utilizzare la riga di comando di Linux per cambiare directory

Questa guida mostra come cambiare directory usando la riga di comando di Linux. Ciò include la descrizione di come vengono denominate le unità e di come le cartelle sono strutturate

Come usare il comando Netstat su Mac

Come usare il comando Netstat su Mac

Netstat per Mac può mostrare le porte e le porte aperte del Mac in uso, aiutandoti a capire le operazioni della tua rete e delle porte del tuo Mac.

Scelta Del Redattore