Was ist netstat?

netstat – eine Zusammensetzung aus network („Netzwerk“) und statistics („Statistiken“) – ist ein Programm, das über Befehle in der Kommandozeile gesteuert wird. Es liefert grundlegende Statistiken über sämtliche Netzwerkaktivitäten und gibt beispielsweise darüber Auskunft, über welche Ports und Adressen die jeweiligen Verbindungen (TCP, UDP) laufen und welche Ports für Anfragen geöffnet sind. Erstmals implementiert wurde netstat 1983 in das UNIX-Derivat BSD (Berkeley Software Distribution), dessen damalige Version 4.2 als erste die Internetprotokoll-Familie TCP/IP unterstützte. Seit der Entwicklung 1991 ist netstat in Linux ebenso standardmäßig integriert wie in Windows seit Version 3.11 (1993), das mithilfe einer Erweiterung ebenfalls über TCP/IP kommunizieren konnte. Die verschiedenen Implementierungen sind hinsichtlich ihrer Funktionalität sehr ähnlich, während sich die Parameter der netstat-Befehle sowie deren Ausgabe von System zu System leicht unterscheiden.

Grundsätzlich ist netstat wie bereits erwähnt ein Kommandozeilenprogramm und besitzt daher keine grafische Benutzeroberfläche. Programme wie TCPView, das von der Microsoft-Abteilung Windows Sysinternals entwickelt wurde, machen es jedoch möglich, die Statistiken auch grafisch darzustellen.

Wie nutzen Sie netstat?

In Windows-Betriebssystemen nutzen Sie die Dienste von netstat über die Kommandozeile (cmd.exe). Sie finden diese im Startmenü unter „Alle Programme“ -> „Zubehör“ -> „Eingabeaufforderung“. Alternativ können Sie im Suchfeld des Startmenüs direkt nach „Eingabeaufforderung“ suchen oder die Kommandozeile über „Ausführen“ starten (Windows-Taste + „R“ drücken und „cmd“ eingeben). Die Syntax der Befehle von netstat folgt folgendem Muster:

netstat [-a] [-b] [-e] [-f] [-n] [-o] [-p Protokoll] [-r] [-s] [-t] [-x] [-y] [Intervall]

Die Kombination der einzelnen Optionen funktioniert durch Aneinanderreihen der einzelnen Parameter, die dabei jeweils durch ein Leerzeichen getrennt sind:

netstat [-OPTION1] [-OPTION2] [-OPTION3] …

Typisch für die Aufführung der Parameter ist ein vorangestellter Bindestrich (-), den Sie bei der Kombination mehrerer Optionen aber prinzipiell nur vor das erste Glied setzen müssen. Anstelle der zuvor aufgezeigten Variante können Sie verschiedene Parameter also auch folgendermaßen verknüpfen:

netstat [-OPTION1][OPTION2][OPTION3] …

Wichtig ist, dass Sie in diesem Fall keine Leerzeichen zwischen den einzelnen netstat-Optionen setzen.

netstat-cmd-Befehle für Windows

[OPTION]

Befehl

Beschreibung der Option

 

netstat

Standard-Auflistung aller aktiven Verbindungen

-a

netstat -a

Listet zusätzlich auch die offenen Ports („ABHÖREN“) auf

-b

netstat -b

Zeigt die ausführbare Datei einer Verbindung bzw. eines lauschenden Ports an (erfordert Administatorenrechte)

-e

netstat -e

Schnittstellenstatistik (empfangene und gesendete Datenpakete etc.)

-f

netstat -f

Gibt den vollqualifizierten Domänennamen (FQDN) von Remote-Adressen wieder

-i

netstat -i

Ruft das netstat-Übersichtsmenü auf

-n

netstat -n

Numerische Anzeige der Adressen und Portnummern

-o

netstat -o

Fügt jeder Verbindung die jeweilige Prozess-ID hinzu

-p Protokoll

netstat -p TCP

Zeigt die Verbindungen für das angegebene Protokoll an, in diesem Fall TCP (auch möglich: UDP, TCPv6 oder UDPv6)

-q

netstat -q

Listet alle Verbindungen, alle lauschenden TCP-Ports und alle geöffneten TCP-Ports, die nicht lauschen, auf

-r

netstat -r

Zeigt die Routing-Tabelle an

-s

netstat -s

Ruft Statistiken über die wichtigen Netzwerkprotokolle wie TCP, IP oder UDP auf

-t

netstat -t

Zeigt den Abladungsstatus (TCP-Abladung zur Entlastung des Hauptprozessors) aktiver Verbindungen auf

-x

netstat -x

Informiert über alle Verbindungen, Listener und freigegebenen Endpunkte für NetworkDirect

-y

netstat -y

Zeigt an, welche Verbindungsvorlagen für die aktiven TCP-Verbindungen angewandt wurden

Intervall

netstat -p 10

Zeigt die jeweilige Statistik nach einer gewählten Anzahl von Sekunden (hier 10) erneut an; beliebig kombinierbar (hier mit -p), [STRG] + [C] beendet die Intervallanzeige

netstat-Beispiele

Um Ihnen den Einsatz und den Nutzen der aufgelisteten netstat-cmd-Befehle für Windows etwas verständlicher zu machen, zeigen wir im Folgenden einige Beispielkommandos.

Auflistung aller Verbindungen für das IPv4-Protokoll

Wer nicht gleich alle aktiven Verbindungen, sondern lediglich alle aktiven IPv4-Verbindung abrufen möchte, erledigt das mit diesem netstat-Befehl:

netstat -p IP

Aufruf der Statistik über das ICMPv6-Protokoll

Wollen Sie ausschließlich die Statistik über das Protokoll ICMPv6 erhalten, geben Sie in die Kommandozeile folgenden Befehl ein:

netstat -s -p icmpv6

Der Output sieht dann in etwa wie folgt aus:

Repetitive Abfrage der Schnittstellenstatistik (alle 20 Sekunden)

Für eine sich wiederholende Abfrage der Schnittstellenstatistik, die alle 20 Sekunden neue Werte über empfangene und gesendete Datenpakete liefert, nutzen Sie folgendes netstat-Kommando:

netstat -e 20

Anzeige aller offenen Ports und aktiven Verbindungen (numerisch und inklusive Prozess-ID)

Zu den beliebtesten netstat-cmd-Befehlen zählt zweifelsohne die Abfrage aller offenen Ports und aktiven Verbindungen (inklusive Prozess-ID) in numerischer Form:

netstat -ano

Warum ist der Einsatz von netstat sinnvoll?

Sie besitzen einen großen Vorteil im Kampf gegen unverhältnismäßig hohen Traffic und schädliche Software, wenn Sie über die ein- und ausgehenden Verbindungen Ihres Computers bzw. Servers Bescheid wissen. Diese werden über die jeweilige Netzwerkadresse hergestellt, die u. a. angibt, welcher Port im Vorfeld für den Datenaustausch geöffnet wurde. Wird ein Port geöffnet, besitzt er zunächst den Status „LISTEN“ bzw. „ABHÖREN“ und wartet auf Verbindungsversuche. Das große Problem dieser offenen Ports ist die Tatsache, dass sie Dritten die Gelegenheit bieten, Malware in Ihr System zu schleusen. Außerdem besteht die Möglichkeit, dass ein bereits in Ihrem System befindlicher Trojaner eine sogenannte Backdoor („Hintertür“) installiert und dabei einen entsprechenden Port öffnet. Aus diesem Grund sollten Sie die von Ihrem System geöffneten Ports regelmäßig überprüfen, wofür sich netstat hervorragend eignet. Dank der Tatsache, dass Sie das Diagnose-Tool auf jedem Windows-System finden, stellt es eine einheitliche Lösung für alle Ihre Rechner und Server dar.

Eine mögliche Infektion erkennen Sie an unbekannten geöffneten Ports oder unbekannten IP-Adressen. Für ein aussagekräftiges Ergebnis sollten zuvor alle anderen Programme wie z. B. der Internetbrowser beendet werden, da diese sich häufig mit Rechnern verbinden, die unbekannte IP-Adressen besitzen. Dank der ausführlichen Statistiken erhalten Sie zudem Auskunft über die übertragenen Pakete seit dem letzten Systemstart sowie dabei aufgetretene Fehler. Auch die Routing-Tabelle, die Aufschluss über den Weg der Datenpakete durchs Netz gibt, kann mithilfe des systemspezifischen netstat-Befehls angezeigt werden.


Bringen Sie Ihr Weihnachtsgeschäft
auf Erfolgskurs
Stark reduziert: Drei Business-Lösungen für Ihre vorweihnachtliche
Verkaufsoffensive. Angebote gültig bis zum 30.11.2020.