Netzwerkverbindungen analysieren leicht gemacht mit netstat.
Die Windows Kommandozeile bringt eine Reihe praktischer Tools und Befehle mit, mit denen Sie Aufgaben schneller erledigen oder Informationen über Ihr System ermitteln können. Mit netstat zeigen Sie alle geöffneten TCP- und UDP-Verbindungen an und erhalten aktuelle Statistiken zu den jeweiligen Protokollen oder dem Netzwerk-Traffic. In diesem Artikel haben wir die wichtigsten netstat-Befehle für Windows zusammengetragen und erklären Ihnen, welche Analysen Sie damit durchführen können.
- Netstat wurde erstmals 1983 in das BSD-Unix-Derivat implementiert und ist seit 1991 bzw. 1993 auch standardmäßig in Linux und Windows integriert.
- Unter Windows ist netstat nur dann verfügbar, wenn in den Eigenschaften eines Netzwerk-Adapters TCP/IP als Komponente installiert ist.
- Durch eine regelmäßige Überprüfung Ihrer Verbindungen können Sie Hacker- und Malware-Angriffen zuvorkommen.
Inhalt
1. Was ist netstat und wofür wird es verwendet?
Der Begriff netstat setzt sich aus den Wörtern „network“ („Netzwerk“) und „statistics“ („Statistik“) zusammen und steht für ein Kommandozeilen-Tool, das Informationen über sämtliche Netzwerkaktivitäten, wie beispielsweise die Ports und Adressen der momentan etablierten Verbindungen, liefert. Die Software ist in den meisten gängigen Betriebssystemen bereits enthalten, die verschiedenen Implementierungen sind sich dabei hinsichtlich Ihrer Funktionalität sehr ähnlich, allerdings unterscheiden sich die Parameter der Befehle und deren Ausgabe von System zu System.
Netstat wird ausschließlich auf der Kommandozeile ausgeführt und besitzt keine grafische Oberfläche. Mit Drittanbieter-Programmen wie TCPView (das aus der Feder der Windows Sysinternals-Entwickler stammt) können Sie sich die Ergebnisse aber trotzdem in übersichtlicher Form darstellen lassen.
Tipp: Für ein aussagekräftiges Ergebnis sollten Sie vor dem Ausführen des netstat-Befehls den Internet-Browser beenden, da dieser des Öfteren Verbindungen zu Servern mit unbekannten IP-Adressen aufbaut.
Netstat dient vor allem dazu, die Verbindungen des Betriebssystems und der installierten Software ins Internet zu überwachen und analysieren (z.B. der Firewall oder UTM). Dadurch lassen sich neben einem unverhältnismäßig hohem Traffic anhand der Anzeige von lauschenden Ports beispielsweise auch potenzielle Malware-Angriffe erkennen.
2. Wie wird netstat unter Windows genutzt?
In den Microsoft-Betriebssystemen rufen Sie die netstat-Dienste ganz einfach ober die Kommandozeile („cmd.exe“) auf. Gehen Sie dazu Startmenü auf „Alle Programme -> Zubehör -> Eingabeaufforderung“ oder geben Sie alternativ „cmd“ in die Suchzeile des Desktops ein.
Die allgemeine Syntax von netstat ist recht einfach gestrickt und sieht wie folgt aus:
netstat [-a] [-b] [-e] [-f] [-n] [-o] [-p protocol] [-r] [-s] [-t] [-x] [-y] [Intervall] [/?]
Im Gegensatz zu anderen Kommandozeilen-Diensten werden in netstat die Parameter mit einem Bindestrich (-) anstelle eines Slash (/) eingeleitet. Um einzelne Optionen miteinander zu kombinieren, müssen Sie diese aneinandergereiht und durch ein Leerzeichen getrennt werden, also
netstat [PARAMETER1] [PARAMETER2] [PARAMETER3]
Gut zu wissen: Wenn Sie auf Ihrem Windows-Rechner Remotedesktopdienste ausführen, werden nur die Verbindungen des aktuellen Benutzers und nicht die des gesamten Computers angezeigt.
3. Die wichtigsten netstat-Befehle für Windows im Überblick
Parameter | Befehl | Welche Informationen werden ausgegeben? |
---|---|---|
netstat | Eine Standard-Auflistung aller derzeit aktiven Verbindungen. | |
-a | netstat -a | Alle derzeit aktiven Verbindungen und die offenen („lauschenden“) Ports „abhören“. Serververbindungen werden dabei normalerweise nicht mit angezeigt. |
-b | netstat -b | Die ausführbare Datei, die beim Erstellen einer Verbindung bzw. eines lauschenden Ports involviert ist. Für diese Option sind Administratorrechte erforderlich und sie kann unter Umständen sehr zeitaufwändig sein. |
-e | netstat -e | Die Ethernet-Statistik bzw. eine Übersicht über die empfangenen und gesendeten Ethernet Frames einer Netzwerkschnittstelle. Eine hohe Anzahl fehlerhafter Frames ist ein Hinweis auf eine schlechte Netzwerkverbindung.
Sie können diese Option auch mit dem Parameter „-s“ kombinieren. |
-f | netstat -f | Der vollqualifizierte Domänenname (FQDN) von Remote-Adressen. |
-i | netstat -i | Das netstat-Übersichtsmenü wird aufgerufen. |
-n | netstat -n | Die Adressen und Portnummern in numerischer Form. Es wird keine Namensabfrage durchgeführt. |
-o | netstat -o | Die Verbindung samt zugehöriger ProzessID. |
-p protocol | netstat -p TCP | Die Verbindungen für das angegebene Protokoll. Mögliche Parameter sind: TCP, UDP, TCPv6 und UDPv6.
In Kombination mit dem Parameter „-s“ stehen IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP oder UDPv6 zur Wahl. |
-q | netstat -q | Alle Verbindungen sowie die lauschenden und nicht lauschenden (geöffneten) TCP-Ports. |
-r | netstat -r | Der Inhalt der Routing-Tabelle. |
-s | netstat -s | Eine ausführliche statistische Übersicht der einzelnen Protokolle. Diese wird standardmäßig für IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP und UDPv6 angezeigt. |
-t | netstat -t | Den aktuellen Abladungsstatus der Verbindungen. |
-x | netstat -x | Informationen zu den Verbindungen, Listenern und freigegebenen Endpunkten für NetworkDirect. |
-y | netstat -y | Die angewandten Verbindungsvorlagen für die aktiven TCP-Verbindungen.
Diese Option kann nicht mit anderen Parametern kombiniert werden. |
Intervall | netstat -p 10 | Erneute Anzeige der gewählten Statistik nach der im Intervall angegebenen Anzahl von Sekunden. Diese Option ist beliebig mit anderen Parametern kombinierbar.
Wenn Sie kein Intervall eingeben, werden die aktuellen Konfigurationsinformationen nur einmal angezeigt. Die Anzeige kann über die Tastenkombination „STRG + C“ beendet werden. |
Gut zu wissen: Die Ergebnisse Ihrer netstat-Abfragen können Sie auch in eine Datei umleiten und diese im Anschluss mit einem Editor bearbeiten. Dies ist beispielsweise dann sinnvoll, wenn Sie zu einem späteren Zeitpunkt detaillierte Auswertungen erstellen möchten. Der Befehle „netstat -o >C:\netstat.txt“ erstellt eine Txt-Datei mit den derzeit geöffneten Ports sowie den bestehenden Internetverbindungen.
Verwenden Sie anstelle des „>“ ein „>>“, wird das Ergebnis an einen bereits bestehenden Datei-Inhalt angehängt.
4. Beispiele für netstat-Befehle
In diesem Abschnitt zeigen wir Ihnen anhand einiger Beispiele, wie das Arbeiten mit netstat in der Praxis funktioniert.
Ausgabe aller aktiven Verbindungen für das IPv4-Protokoll
netstat -p IP
Aktive Verbindungen und offene Ports inklusive Prozess-ID in numerischer Form:
netstat -ano
Abfrage der Schnittstellen-Statistik alle 30 Sekunden
netstat -e 30
Gut zu wissen: Bei der netstat-Ausgabe erhalten Sie mitunter eine Reihe von Einträgen mit der IP-Adresse „0.0.0.0“. Das bedeutet, dass das lauschende Programm bzw. der zugehörige Port nicht fest an einen Netzwerkadapter (also eine IP-Adresse) gebunden sind. Sind auf IP-Ebene mehrere Netzwerkadapter aktiv, ist die IP-Adresse über jeden davon erreichbar.