Wie gehe ich mit Netstat um

Optionen von Netstat

Netstat wird ausgeführt indem man einen Dos-Prompt öffnet und dann einfach
"netstat" eingibt. Wenn Ihr eine direkte Hilfe zu dem Befehl braucht, gebt doch mal netstat ?
ein, dann erscheint eine Tabelle die wie folgt aussieht:

NETSTAT [-a] [-n] [-e] [-s] [-p Proto] [-r] [Intervall]

[-a] Zeigt den Status aller Verbindungen an. (Verbindungen
des Servers werden normalerweise nicht angezeigt).
[-e] Zeigt die Ethernet-Statistik an. Kann mit der Option -s
kombiniert werden.
[-n] Zeigt Adressen und Anschlüsse numerisch an.
[-p] [Proto] Zeigt Verbindungen für das mit Proto angegebene Protokoll
an. Proto kann TCP oder UDP sein. Bei Verwendung mit der
Option -s kann Proto TCP, UDP oder IP sein.
[-r] Zeigt den Inhalt der Routing-Tabelle an.
[-s] Zeigt Statistik protokollweise an. Standardmäßig werden
TCP, UDP und IP angezeigt. Mit der Option -p können Sie dies
weiter einschränken.
[Intervall] Zeigt die gewählte Statistik nach der mit Intervall angegebenen Anzahl Sekunden erneut an. Drücken Sie Strg+C zum Beenden der Intervallanzeige. Ohne Intervallangabe werden die aktuellen Konfigurationsinformationen einmalig angezeigt.

Hier noch ein Beispiel zu dem Argument [Intervall]:
"netstat -a 5"
Das würde bedeuten, daß alle 5 Sekunden die Tabelle aktualisiert wird. Falls Ihr abbrechen wollt, dann drückt die Tastenkombination "Strg + C".

Allerdings wird die Dos-Hilfe einem kompletten Newbie nicht viel weiterhelfen. Deswegen werde ich jetzt auf die häufig genutzten Argumente eingehen und sie genauer erklären. Wir beginnen jetzt mit dem -a Argument. Das -a Argument zeigt alle geöffneten Anschlüsse auf deinem Computer. Es zeigt den Host und den Port des Systems an, mit dem Ihr verbunden seid und ebenfalls auch, auf welche Art Ihr verbunden seid. Ok, wenn Ihr nun den Befehl in eienem Dos-Fenster eingebt, kann es zum Beispiel so aussehen (Werte sind nur ausgedacht!):

C:\netstat -a

Proto Local Adress Foreign Adress State
TCP mase:1031 www.gcf.de:80 ESTABLISHED
TCP mase:1036 www.heise.de:80 ESTABLISHED
TCP mase:1052 freemail.com:110 ESTABLISHED

So, ich erkläre jetzt mal die einzelnen Begriffe mit dem Beispiel der ersten
Zeile:

Proto steht für das genutzte Protokoll, in unserem Fall TCP. Es kann aber auch UDP oder IP sein. Mit Local Adrese ist hier eure Windows-Anmeldung gemeint bzw. euer RechnerName, nach dem Doppelpunkt steht der von euch benutzte Port dazu. Mit was Ihr verbunden seid steht unter Foreign Adress, oberste Zeile wäre bei uns www.gcf.de und nach dem Doppelpunkt wieder der Port, also 80 (logisch http).State zeigt euch den Status, in unserem Beispiel ESTABLISHED, also HERGESTELLT.
So einfach ist das. Das -a Argument wird häufig dazu benutzt, Trojaner auf dem System zu entdecken, da man geöffnete Ports sieht und damit ist ein Virenscanner unnötig, naja fast unnötig, Ihr könnt halt nicht davor schon wissen ob einer drauf ist.

Nun kommen wir zum -n Argument. Gleich mal ein Beispiel dazu:

Proto Local Adress Foreign Adress State
TCP 62.158.128.62:1031 212.223.64.113:80 ESTABLISHED
TCP 62.158.128.62:1036 193.99.144.71:80 ESTABLISHED
TCP 62.158.128.62:1052 206.230.43.70:110 ESTABLISHED

Das wäre jetzt das Gegenstück für das von oben. Hier gibts eigentlich wenig zu erklären, außer vielleicht das jetzt die IP vom entfernten Host angegeben wird und nicht der Host, den man dann anpingen müsste.
Durch das -n Argument kann man ebenfalls die IP eines ICQ Users herausfinden, wie schon in meinem anderen Tutorial beschrieben. Weswegen man auch häufig diese Option wählt, hat den Grund, daß die eigene IP ebenfalls angegeben wird (im Gegensatz zu -a). Natürlich könnt Ihr auch mit "winipcfg" eure IP herausfinden, aber mit dieser Methode habt Ihr gleich mehrere Informationen auf einmal. Ihr erhaltet den offenen Port des entfernten Rechners sowie den Port eurerseits, der dafür bereitgestellt wird.

OK, jetzt wird schnell das -e Argument erläutert. Es liefert euch die Ethernet-Statistiken. Dazu gibt es weniger zu sagen und es ist denke ich mal nicht sehr interessant bzw. von großem Nutzen. Gleich mal ein Beispiel:

Empfangen Gesendet
Bytes 4648645 1376996
Unicast-Pacete 18623 17018
Nicht-Unicast-Pakete 217 232
Verworfen 0 0
Fehler 0 0
Unbekannte Protokolle 0

Empfangene und gesendete Bytes müssten klar sein, funktioniert ähnlich wie die Anzeige von der DFÜ-Verbindung, obwohl man beim Vergleichen der Beiden geringe Differenzen erkennt.
Unicast-Pakete werde ich jetzt etwas eingängiger erläutern da nicht jeder sich im Klaren ist, was das genau für Pakete sind. Am besten ein Beispiel: Ein großes Klassenzimmer, Sandra will von Alex die Mathematik-Hausaufgaben. Also schreit Sandra in der Klasse: "Alex, hast du mal die Mathe Hausaufgaben für mich?" Bei dem Ruf wird nur Alex schauen und alle anderen unbeachtet weiterarbeiten/schwätzen. Das bedeutet, das die Nachricht nur für Alex bestimmt war, und so funktionieren auch Unicast-Pakete. Nicht-Unicast-Pakete dürfte sich dann ja von selber erklären.Verworfen, Fehler und unbekannte Protokolle ebenfalls. So viel zum -e Argument.

netstat -p [Protokoll] ist ebenfalls schnell erklärt. Man kann dadurch die
verschiedenen Protokolle herausfiltern, bzw. sich das bestimme anzeigen
lassen, z. B. TCP:

netstat -p TCP
Es erscheint ein ähnliche Abbildung wie diese:

Proto Local Adress Foreign Adress State
TCP mase:1031 www.gcf.de:80 ESTABLISHED
TCP mase:1036 www.heise.de:80 ESTABLISHED
TCP mase:1052 freemail.com:110 ESTABLISHED

Ihr seht, es gleich dem wie oben besprochenem -a Argument, zufällig kamen oben auch nur TCP-Verbindungen vor, aber hier würden jetzt auch "nur" TCP-Verbindungen angezeigt werden.

Wie Ihr vielleicht gemerkt habt, habe ich das -s und -r Argument ausgelassen. Diese beiden wären für das Tutorial einfach zu umfangreich und ich werde bei Interesse für sie ein neues Tutorial widmen.Das war es auch dann schon. Ich hoffe Ihr habt was dazugelernt!

Startseite (Kein Menü ???)