Netstat

Netstat (englisch: network statistics) ist ein Kommandozeilenprogramm, das Protokollstatistiken und aktuelle Rechnernetzverbindungen anzeigt.

Mit diesen Statistiken kann man herausfinden, welche Ports geöffnet oder welche Verbindungen zu entfernten Rechnern bestehen. Für bestehende Verbindungen lässt sich unter anderem die Adresse der Gegenstelle ablesen.

Da Instant-Messaging-Programme meistens die Verbindung direkt zum Gesprächspartner aufbauen, kann man so meistens die IP-Adresse der Gesprächspartner erkennen. Man kann damit unter Umständen auch herausfinden, ob man mit einem Trojaner infiziert ist. Ein unbekannter geöffneter Port oder eine nicht bekannte IP-Adresse sind Hinweise auf eine mögliche Infektion. Dieses ist jedoch nur aussagekräftig, wenn andere Anwendungen, wie z. B. der Webbrowser, vorher beendet werden, da sie auch häufig Verbindungen zu Rechnern mit nicht bekannten IP-Adressen nutzen.

Netstat ist ein Kommandozeilenprogramm ohne graphische Benutzeroberfläche. Es gibt aber Programme die netstat-Statistiken grafisch darstellen, z. B. TCPView von Sysinternals.

Es ist für Unix und Unix-Derivate verfügbar und auch in Windows standardmäßig integriert, die Syntax unterscheidet sich jedoch.

Der Befehl netstat kann unter Windows in der Eingabeaufforderung mit diversen Attributen versehen werden. Neben dem klassischen Befehl netstat, der aktive Verbindungen anzeigt(siehe Bild oben), gibt es eine Reihe weiterer nützlicher Anzeigemöglichkeiten, die für die Netzwerkverbindung von großer Bedeutung sind. Mit dem Befehl netstat -? hat man die Möglichkeit eine Informationsliste(Hilfe) abzurufen, die alle Attribute auflistet. Davon ist der Befehl netstat -a hervorzuheben, der alle Verbindungen und abgehörte Ports anzeigt. Hier kann man z.B. erkennen ob eine Firewall, die Ports schliesst, oder offen lässt. Man erkennt, hier auch die zu Microsoft oft kritisierten Verbindungen, zu deren Server, wie die Synchronisation der Uhrzeit, und die Verbindung zum Server für die automatische Updates. Im Grunde genommen, ist es eine feine Sache, weil, der Rechner praktisch gewartet wird. Allerdings ist nicht eindeutig geklärt, welche Daten bzw Informationen im Zuge dieser Verbindungen von Microsoft ausgelesen bzw gespeichert werden. Im Zweifelsfall ist es empfehlenswert diese dienst zu beenden. Ein weiterer hilfreicher Befehl ist netstat -o, der die mit jeder Verbindung verknüpfte, übergeordnete Prozesserkennung anzeigt. Die Prozesserkennung wird auch PID genannt. Anhand PID ist es im Taskmanager möglich, unter dem Karteireiter Prozesse zu prüfen, welches Programm oder eDienst, die Verbindung aufrecht hällt. Eine PID ist einem Prozess zugeordent. Bei fremden oder nicht eindeutig identifizierten Prozessen, hat man die Möglichkeit, diesen zu beenden und entsprechende Schritte einzuleiten, weil Trojaner oder Viren nicht ausgeschlossen werden können. Häcker nutzen diese Verfahren um IP Adressen und offene Ports bei Chatprogrammen herauszufinden, die sie dann für krimminelle Zwecke mißbrauchen können.

• netstat(8) – Debian GNU/Linux Systemverwaltung Handbuchseite