如何用DOS命令查看网络连接状态？

一、基础命令入门：netstat 的基本语法与常用参数

在Windows系统中，netstat（Network Statistics）是诊断网络连接状态的核心DOS命令。其最基本形式为：

netstat [选项]

以下是几个关键参数的含义：

• -a：显示所有活动连接和监听端口
• -n：以数字形式显示地址和端口号（不解析主机名和服务名）
• -o：显示关联的进程ID（PID）
• -p protocol：指定协议类型，如TCP、UDP
• -b：显示创建连接的可执行文件名称（需管理员权限）

例如，执行以下命令可查看所有TCP连接及其状态：

netstat -an | findstr :80

二、深入实践：如何判断某个端口是否被占用？

当服务启动失败或端口冲突时，首要任务是确认目标端口是否已被占用。可通过如下步骤排查：

1. 使用 netstat -an 列出所有连接
2. 结合 findstr 过滤特定端口，例如检查8080端口：

netstat -ano | findstr :8080

若输出结果非空，则说明该端口正在被使用。接下来可通过PID定位具体进程。

三、进程溯源：结合 tasklist 定位占用端口的应用程序

获取到PID后，需进一步识别对应进程。可使用：

tasklist | findstr 4567

输出示例：

java.exe                    4567 Console                    1     180,364 K

这表明Java应用程序正在监听8080端口。对于更详细的信息，可在任务管理器“详细信息”页签中查找该PID。

高级技巧：使用PowerShell增强查询能力：

Get-Process -Id 4567 | Select-Object ProcessName, Path, Company

四、安全分析：识别可疑的外部网络连接

恶意软件常通过异常外连进行数据回传。重点关注以下特征：

• 连接至非常规IP段（如境外IP）
• 处于 ESTABLISHED 状态但无明确业务背景
• 使用高隐蔽性端口（如DNS端口53用于反向Shell）

可编写批处理脚本定期扫描：

@echo off
for /f "tokens=5" %i in ('netstat -ano ^| findstr ESTABLISHED') do (
  tasklist /fi "pid eq %i" | findstr /i "chrome\|explorer"
)

五、持续监控：自动化轮询与日志记录策略

对于运维场景，需实现对连接变化的动态跟踪。可采用循环方式持续监控：

:loop
  netstat -ano | findstr :443 > connection_log_%date:~0,4%%date:~5,2%%date:~8,2%.txt
  timeout /t 30
  goto loop

进阶方案推荐使用PowerShell定时任务：

$action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-Command "netstat -ano | Export-Csv -Path C:\logs\netstat_$(Get-Date -Format 'yyyyMMddHHmm').csv""
Register-ScheduledTask -TaskName "NetstatMonitor" -Action $action -Trigger (New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Minutes 5))

此类机制可用于构建轻量级入侵检测系统（IDS）的基础组件。