La commande netstat, qui signifie statistiques du réseau, est une commande d'invite de commande utilisée pour afficher des informations très détaillées sur la façon dont votre ordinateur communique avec d'autres ordinateurs ou périphériques réseau.
Plus précisément, il peut afficher des détails sur les connexions réseau individuelles, des statistiques réseau globales et spécifiques au protocole, et bien plus encore, ce qui peut aider à résoudre certains types de problèmes de réseau.
Disponibilité de la commande Netstat
Cette commande est disponible à partir de l'invite de commande dans la plupart des versions de Windows, y compris Windows 11, Windows 10, Windows 8, Windows 7, Windows Vista, Windows XP, les systèmes d'exploitation Windows Server et certaines anciennes versions de Windows, aussi.
Netstat est une commande multiplateforme, ce qui signifie qu'elle est également disponible dans d'autres systèmes d'exploitation comme macOS et Linux.
La disponibilité de certains commutateurs de commande netstat et d'autres syntaxes de commande netstat peut différer d'un système d'exploitation à l'autre.
Syntaxe de commande Netstat
netstat [- a] [- b] [- e] [- f] [- n] [- o] [-p protocole] [-r ] [-s ] [-t] [- x] [- y] [time_interval] [ /?]
| Liste de commandes Netstat | |
|---|---|
| Option | Explication |
| netstat | Exécutez la commande netstat seule pour afficher une liste relativement simple de toutes les connexions TCP actives qui, pour chacune, afficheront l'adresse IP locale (votre ordinateur), l'adresse IP étrangère (l'autre ordinateur ou périphérique réseau), ainsi que leurs numéros de port respectifs, ainsi que l'état TCP. |
| - a | Ce commutateur affiche les connexions TCP actives, les connexions TCP avec l'état d'écoute, ainsi que les ports UDP qui sont écoutés. |
| - b | Ce commutateur netstat est très similaire au commutateur - o listé ci-dessous, mais au lieu d'afficher le PID, il affichera le nom de fichier réel du processus. Utiliser - b sur - o peut sembler vous faire économiser une étape ou deux, mais l'utiliser peut parfois considérablement prolonger le temps nécessaire à netstat pour s'exécuter complètement. |
| - e | Utilisez ce commutateur avec la commande netstat pour afficher des statistiques sur votre connexion réseau. Ces données incluent les octets, les paquets unicast, les paquets non unicast, les rejets, les erreurs et les protocoles inconnus reçus et envoyés depuis l'établissement de la connexion. |
| - f | Le commutateur - f forcera la commande netstat à afficher le nom de domaine complet (FQDN) pour chaque adresse IP étrangère lorsque cela est possible. |
| - n | Utilisez le commutateur - n pour empêcher netstat de tenter de déterminer les noms d'hôte pour les adresses IP étrangères. En fonction de vos connexions réseau actuelles, l'utilisation de ce commutateur peut réduire considérablement le temps nécessaire à l'exécution complète de netstat. |
| - o | Une option pratique pour de nombreuses tâches de dépannage, le commutateur - o affiche l'identificateur de processus (PID) associé à chaque connexion affichée. Voir l'exemple ci-dessous pour en savoir plus sur l'utilisation de netstat -o. |
| - p | Utilisez le commutateur - p pour afficher les connexions ou les statistiques uniquement pour un protocole particulier. Vous ne pouvez pas définir plus d'un protocole à la fois, ni exécuter netstat avec - p sans définir de protocole. |
| protocole | Lorsque vous spécifiez un protocole avec l'option - p, vous pouvez utiliser tcp, udp, tcpv6, ou udpv6 Si vous utilisez - s avec - p pour afficher les statistiques par protocole, vous pouvez utiliser icmp, ip, icmpv6, ou ipv6 en plus des quatre premiers que j'ai mentionnés. |
| - r | Exécutez netstat avec - r pour afficher la table de routage IP. C'est la même chose que d'utiliser la commande route pour exécuter route print. |
| - s | L'option - s peut être utilisée avec la commande netstat pour afficher des statistiques détaillées par protocole. Vous pouvez limiter les statistiques affichées à un protocole particulier en utilisant l'option - s et en spécifiant ce protocole, mais assurez-vous d'utiliser - s avantProtocole - p lors de l'utilisation des commutateurs ensemble. |
| - t | Utilisez le commutateur - t pour afficher l'état actuel de déchargement de la cheminée TCP à la place de l'état TCP généralement affiché. |
| - x | Utilisez l'option - x pour afficher tous les écouteurs, connexions et terminaux partagés NetworkDirect. |
| - y | Le commutateur - y peut être utilisé pour afficher le modèle de connexion TCP pour toutes les connexions. Vous ne pouvez pas utiliser - y avec une autre option netstat. |
| time_in terval | C'est le temps, en secondes, pendant lequel vous souhaitez que la commande netstat se réexécute automatiquement, en s'arrêtant uniquement lorsque vous utilisez Ctrl-C pour terminer la boucle. |
| /? | Utilisez le commutateur d'aide pour afficher des détails sur les différentes options de la commande netstat. |
Rendez toutes ces informations netstat dans la ligne de commande plus faciles à utiliser en affichant ce que vous voyez à l'écran dans un fichier texte à l'aide d'un opérateur de redirection. Voir Comment rediriger la sortie de la commande vers un fichier pour des instructions complètes.
Exemples de commandes Netstat
Voici plusieurs exemples montrant comment la commande netstat peut être utilisée:
Afficher les connexions TCP actives
netstat -f
Dans ce premier exemple, nous exécutons netstat pour afficher toutes les connexions TCP actives. Cependant, nous voulons voir les ordinateurs auxquels nous sommes connectés au format FQDN [- f] au lieu d'une simple adresse IP.
Voici un exemple de ce que vous pourriez voir:
Active Connections
Proto Local Address Foreign Address State
TCP 127.0.0.1:5357 VM-Windows-7: 49229 TIME_WAIT
TCP 127.0.0.1:49225 VM-Windows-7:12080 TIME_WAIT
TCP 192.168.1.14:49194 75.125.212.75:http CLOSE_WAIT
TCP 192.168.1.14:49196 a795sm.avast.com:http CLOSE_WAIT
TCP 192.168.1.14: 49197 a795sm.avast.com:http CLOSE_WAIT
TCP 192.168.1.14:49230 TIM-PC:wsd TIME_WAIT
TCP 192.168.1.14:49231 TIM-PC:icslap ESTABLISHED
TCP 192.168.1.14:49232 TIM-PC:netbios-ssn TIME_WAIT
TCP 192.168.1.14:49233 TIM-PC:netbios-ssn TIME_WAIT
TCP [::1]:2869 VM-Windows-7:49226 ESTABLISHED
TCP [::1]:49226 VM-Windows-7:icslap ÉTABLI
Comme vous pouvez le voir, il y avait 11 connexions TCP actives au moment où netstat a été exécuté dans cet exemple. Le seul protocole (dans la colonne Proto) répertorié est TCP, ce qui était attendu car nous n'avons pas utilisé - a.
Vous pouvez également voir trois ensembles d'adresses IP dans la colonne Adresse locale: l'adresse IP réelle de 192.168.1.14 et les versions IPv4 et IPv6 des adresses de bouclage, ainsi que le port utilisé par chaque connexion. La colonne Adresse étrangère répertorie le FQDN (75.125.212.75 n'a pas été résolu pour une raison quelconque) ainsi que ce port.
Enfin, la colonne État répertorie l'état TCP de cette connexion particulière.
Afficher les connexions et les identificateurs de processus
netstat -o
Dans cet exemple, netstat sera exécuté normalement donc il ne montre que les connexions TCP actives, mais nous voulons aussi voir l'identifiant de processus correspondant [- o] pour chaque connexion donc que nous pouvons déterminer quel programme sur l'ordinateur a lancé chacun.
Voici ce que l'ordinateur a affiché:
Active Connections
Proto Local Address Foreign Address State PID
TCP 192.168.1.14:49194 75.125.212.75:http CLOSE_WAIT 2948
TCP 192.168.1.14:49196 a795sm:http CLOSE_WAIT 2948
TCP 192.168.1.14:49197 a795sm:http CLOSE_WAIT 2948
Vous avez probablement remarqué la nouvelle colonne PID. Dans ce cas, les PID sont tous les mêmes, ce qui signifie que le même programme sur l'ordinateur a ouvert ces connexions.
Pour déterminer quel programme est représenté par le PID de 2948 sur l'ordinateur, il vous suffit d'ouvrir le Gestionnaire des tâches, de sélectionner l'onglet Processus et de noter le nom de l'image répertorié à côté du PID que nous recherchons dans la colonne PID.1
L'utilisation de la commande netstat avec l'option - o peut être très utile pour rechercher quel programme utilise une trop grande part de votre bande passante. Cela peut également aider à localiser la destination où un type de logiciel malveillant, ou même un logiciel autrement légitime, pourrait envoyer des informations sans votre permission.
Bien que cet exemple et l'exemple précédent aient été exécutés sur le même ordinateur et à une minute d'intervalle, vous pouvez voir que la liste des connexions TCP actives est considérablement différente. En effet, votre ordinateur se connecte et se déconnecte constamment de divers autres appareils sur votre réseau et sur Internet.
Afficher uniquement les connexions spécifiques
netstat -0 | findstr 28604
L'exemple ci-dessus est similaire à ce que nous avons déjà vu, mais au lieu d'afficher toutes les connexions, nous demandons à la commande netstat de n'afficher que les connexions qui utilisent un PID spécifique, 28604 dans cet exemple.
Une commande similaire pourrait être utilisée pour filtrer les connexions avec un état CLOSE_WAIT, en remplaçant le PID par ESTABLISHED.
Afficher les statistiques spécifiques au protocole
netstat -s -p tcp -f
Dans cet exemple, nous voulons voir les statistiques spécifiques au protocole [- s] mais pas toutes, juste les statistiques TCP [- ptcp]. Nous voulons également que les adresses étrangères soient affichées au format FQDN [-f ].
Voici ce que la commande netstat, comme indiqué ci-dessus, a produit sur l'exemple d'ordinateur:
Statistiques TCP pour IPv4
Ouvertures actives=77
Ouvertures passives=21
Tentatives de connexion échouées=2 Réinitialiser les connexions=25 Connexions actuelles=5 Segments reçus=7313 Segments envoyés=4824 Segments retransmis=5Active Connections Proto Adresse locale État de l'adresse étrangère TCP 127.0.0.1:2869 VM-Windows-7:49235 TIME_WAIT TCP 127.0.0.1:2869 VM-Windows-7:49238 ESTABLISHED TCP 127.0. 0.1:49238 VM-Windows-7:icslap ESTABLISHED TCP 192.168.1.14:49194 75.125.212.75:http CLOSE_WAIT TCP 192.168.1.14:49196 a795sm.avast.com:http CLOSE_WAIT TCP 192.168.1.14:49197 a795sm.avast.com:http CLOSE_WAIT
Comme vous pouvez le voir, diverses statistiques pour le protocole TCP sont affichées, ainsi que toutes les connexions TCP actives à ce moment-là.
Afficher les statistiques réseau mises à jour
netstat -e -t 5
Dans ce dernier exemple, la commande netstat est exécutée pour afficher certaines statistiques de base de l'interface réseau [- e] et pour que ces statistiques soient continuellement mises à jour dans la fenêtre de commande toutes les cinq secondes [- t 5].
Voici ce qui est produit à l'écran:
Interface Statistics
Received Sent
Bytes 22132338 1846834
Unicast packets 19113 9869
Paquets non unicast 0 0
Rejets 0 0
Erreurs 0 0
Protocoles inconnus 0Statistiques d'interface Reçu Envoyé Octets 22134630 1846834
Paquets monodiffusion 19128 9869
Paquets non monodiffusion 0 0
Rejets 0 0
Erreurs 0 0
Protocoles inconnus 0
^C
Plusieurs informations, que vous pouvez voir ici et que nous avons répertoriées dans la syntaxe - e ci-dessus, sont affichées.
La commande netstat n'a été exécutée automatiquement qu'une fois de plus, comme vous pouvez le voir dans les deux tableaux du résultat. Notez le ^C en bas, indiquant que la commande d'abandon Ctrl+C a été utilisée pour arrêter la réexécution de la commande.
Commandes liées à Netstat
La commande netstat est souvent utilisée avec d'autres commandes d'invite de commande liées au réseau telles que nslookup, ping, tracert, ipconfig et autres.
[1] Vous devrez peut-être ajouter manuellement la colonne PID au Gestionnaire des tâches. Vous pouvez le faire en sélectionnant PID après un clic droit sur les en-têtes de colonne dans l'onglet Process. Si vous utilisez Windows 7 ou un ancien système d'exploitation Windows, cochez la case PID (Process Identifier) à partir de View > Select Colonnes dans le Gestionnaire des tâches. Vous devrez peut-être également choisir Afficher les processus de tous les utilisateurs en bas de l'onglet Processes si le PID que vous recherchez n'est pas répertorié.
