你有没有遇到过这种情况:电脑明明没开什么软件,网速却慢得像蜗牛?或者防火墙突然报警,说某个陌生进程在往外发数据?这时候,netstat 就是你的“网络透视镜”——不用装软件,敲几行命令,就能看清本机所有网络连接和监听端口。
netstat 是干啥的?
它是个系统自带的网络统计工具,Windows、Linux、macOS 都有。简单说,就是帮你列出:
• 哪些程序正在连外网(比如微信、迅雷、后台更新)
• 哪些端口被占着(比如 80 被占用导致网站打不开)
• 有没有可疑连接(比如陌生 IP + 高端口号,可能是木马在回传数据)
最常用几招,一学就会
打开命令提示符(Win+R → 输入 cmd 回车)或终端,直接敲:
netstat -ano这会显示所有连接和监听端口,并附带对应的进程 PID(进程编号)。看到一堆数字别慌,关键在最后一列——那个 PID 就是“作案程序”的身份证号。
比如你发现一行写着:TCP 192.168.1.100:54321 203.208.60.1:443 ESTABLISHED 12876
说明本机 54321 端口正连着谷歌服务器(443 是 HTTPS 端口),背后是 PID 为 12876 的程序。
怎么知道 12876 是谁?再敲一句:
tasklist | findstr 12876Windows 就会告诉你:是 chrome.exe 或 WeChat.exe —— 这下心里就有底了。
快速定位“偷跑流量”的程序
如果怀疑某个软件偷偷上传数据,可以这样筛:
netstat -ano | findstr :443只看走 HTTPS 的连接,再结合 PID 查进程,比翻任务管理器快得多。尤其对那些没图标、不弹窗、藏在后台的更新服务特别管用。
查本机开了哪些端口(防黑客扫描)
黑客常先扫你开放了哪些端口,再找漏洞。用这句看看自己是不是“大门敞开”:
netstat -an | findstr LISTENING重点关注本地地址是 0.0.0.0:xxx 或 [::]:xxx 的行——这意味着该端口对外网可见。比如 0.0.0.0:3389 就是远程桌面,如果你没开远程,却看到它,就得马上查。
小提醒
netstat 是静态快照,不是实时监控。想持续观察,可以加 -n(不解析域名,更快)、-b(显示程序名,需管理员权限);Linux 用户常用 netstat -tuln,效果类似。别迷信“没看到就安全”,有些高级木马会隐藏连接,但日常排查,它足够靠谱又零成本。