Netstat 指令教學及短片

Darknet 的 windows netstat 教學短片下載，在 5分半的影片中透過十個步驟來引導大家熟悉 netstat 指令的應用，其中部份牽涉到 process 的範例，短片中以找出 epmap(Endpoint Mapper - 135/tcp)資訊為例子進行示範。雖然作者另外有提供 Youtube 的版本，不過對這種指令教學而言，Youtube 實在不夠清晰，因此還是建議自行下載觀看。

在此並將短片中所用到的十個步驟整理說明：

1. 查看 sockets(列出 active/listen connections)
netstat -a

2. 篩選特定協定，在此僅列 TCP
netstat -ap tcp
也可利用 windows 內建的 find 指令
netstat -a | find "TCP"

3. 顯示 Port 號碼而非名稱
netstat -an | find "TCP"

4. 找出觸發每個 tcp 連線的 process 號碼(PID)
netstat -aop tcp

5. 找出 process 檔案名稱(配合上一步取得的 PID)
在此可採用 netstat 的 -b 參數(比較慢，參考步驟九，XP SP2、2003 SP1)
或是 tasklist (XP 專業版、2003、Vista)

6. 查看通訊協定狀態
netstat -sp tcp
netstat -sp ip
netstat -sp udp
netstat -sp icmp

7. 查看路由表 (同 route print 指令)
netstat -r

8. 查看乙太網路(網卡)狀態
netstat -e

9. 找出觸發每個 tcp 連線的 process 號碼及檔案名稱
與 tasklist 不同的是還多了相關 dll 資訊
netstat -abp tcp

10. 延續上一步，查看更詳盡資訊(速度更慢)
netstat -abvp tcp

延伸閱讀: Windows 內建的 Netstat 小技巧