在windows和linux环境中,netstat命令是一个监控TCP/IP网络的非常有用的工具,它可以显示路由表、实际的网络连接、以太网统计信息以及每一个网络接口设备的状态信息。netstat共有14个参数,下面来简要说说常用的七种用法。
1、Netstat -a 显示所有TCP连接和监听的TCP、UDP端口。
其中,0.0.0.0代表本机上可用的任意地址,比如0.0.0.0:135 表示本机上所有地址的135端口,这样如果主机上有多个IP的话,就不需要显示多行了。前面两个端口135、443是比较常见的端口,135端口可以通过远程调用控制其他主机,是比较危险的端口,大名鼎鼎的冲击波就是利用这个端口。一般情况下,网管都会关闭这个端口。443是https服务端口,因为本机上没有开启web服务器,所以80端口没有打开。TCP连接常见的状态主要是LISTENING,表明正在监听该端口;ESTABLISHED,表明连接已经建立。通常情况下,我们关注这个两个状态就行了。2、netstat -n,以为数字形式显示活动的连接。-n参数作用与-a差不多的,不同的是-n参数输出的外部地址、端口是数字形式,即显示的是IP地址。而-a显示的则是主机名字。一般情况下使用-n比较好,一目了然。
3、netstat -e 显示以太网统计信息,包括发送和接收的字节、出错的次数等。这个参数一般和-s结合使用,可以查看IPV4、IPV6、ICMPv4、ICMPv6以及相应的TCP、UDP协议信息。 
4、netstat -r,查询本机路由表,这个命令和route print命令效果一样。
从路由表中,我们可以看出本机IP地址是192.168.16.234,网段是192.168.16.0,子网掩码是255.255.255.0,网关是192.168.16.1。缺省路由通过接口192.168.16.234从网关192.168.16.1转发出去。127.0.0.1本机环回地址,这是一个特殊地址,如果能ping通,说明物理网卡和硬件设备是正常的。而192.168.16.234虽然也是代表本机,但这是DHCP自动分配的地址,有可能变动。如果我们在本机架设web服务器,在浏览器输入的是127.0.0.1这个地址,或者localhost。虽然从路由表上,可以看出这两个地址,都是指向本地址,但是机制完全不一样。另外,还有224.0.0.0组播地址和255.255.255.255广播地址,都是指向本机地址192.168.16.234或者127.0.0.1。5、netstat -o ,显示活动的连接和相应的进程ID。
6、Netstat interval ,重新显示信息的间隔秒数。这个参数一般和其他参数组合使用。比如每隔2秒显示一次以太网的统计信息,则输入netstat -e 2,除非CTL+C终止,否则会一直显示下去。
7、netstat -b,这个参数挺有用,可以查看开放的端口对应的进程,进程的名称位于底部 [] 中。这个参数,可以用于检查异常的网络连接。可以通过外部的IP地址,查询IP地址归属地,初步判断网络连接来自何处。
如果你不记得相关参数的用法,也没有关系,直接输入netstat ?,可以显示所有参数的使用说明,可以摸索使用。通常情况下,我们只需要使用-n、-b、-o、-r这几个参数就够了。
|
