Netstat mit der PowerS­hell

Im letz­ten Blog­ein­trag haben wir uns ange­se­hen, man den nslookup Befehl aus der CMD Shell mit der PowerS­hell ablö­sen kann.

In die­sem Blog­ein­trag schauen wir uns an, wie man den netstat Befehl aus der CMD Shell mit der PowerS­hell ablö­sen kann.

Der Befehl netstat (Network Statistics) zeigt alle offe­nen Netz­werk­ver­bin­dun­gen an. Es wird jeweils die Quell­adresse mit Quell-​​IP und die Ziel­adresse mit Ziel-​​IP aus­ge­ge­ben. Außer­dem der Sta­tus der Ver­bin­dung
In der CMD Shell sieht das fol­gen­der­ma­ßen aus.

 

Mit wei­te­ren Para­me­tern kann man auch gezielt nach Ver­bin­dun­gen von Appli­ka­tio­nen suchen. Aller­dings bekommt man immer alle Appli­ka­tio­nen auf ein­mal ange­zeigt und eine Suche ist sehr müh­se­lig.

Zeige alle Adres­sen als IP und die Datei, die die Ver­bin­dung auf­ge­baut hat:

Netstat –nb

Im Bild­aus­schnitt sehen sie die TCP-​​verbindung von mei­nem Fire­fox zur Powershell-​​User Web­seite.

Viel ele­gan­ter lässt sich das Ganze mit der PowerS­hell lösen.

Der Befehl Get-​​NetTCPConnection lie­fert ohne wei­tere Para­me­ter eine ähn­li­che Ant­wort, aller­dings zeigt er nur IP Adres­sen an und keine Domain Namen

 

Da es sich hier aber um eine Objekt-​​Liste han­delt, kann ich mir wun­der­bar die Infor­ma­tio­nen zusam­men­fil­tern.

Zuerst schaue ich mir eine Zeile im Detail an (Die Ver­bin­dung vom Fire­fox mit der Powershell-​​User Web­seite).

Durch die Stern-​​Formatierung | fl * sehen wir auch die Attri­bute, die stan­dard­mä­ßig nicht in der Kon­sole aus­ge­ge­ben wer­den.


 

Fol­gende Attri­bute sehen nütz­lich aus

  • State
  • Crea­ti­onTime
  • Loca­lAd­dress
  • Local­Port
  • OwningPro­cess
  • Remo­teAd­dress
  • Remo­te­Port

Wenn ich alle akti­ven Ses­si­ons auf Web­sei­ten mit Start­zeit sehen will, kann ich das fol­gen­der­ma­ßen machen.

 

 

Power-​​TIP:
So kann ich her­aus­fin­den, wel­che Appli­ka­tio­nen eine Ver­bin­dung zu www​.powers​hell​-user​.de auf­bauen. Hier­für nutze ich zusätz­lich Resolve-​​DNSName und Get-​​Process. Der select –uni­que am Ende sorgt dafür, dass jede Appli­ka­tion nur ein­mal auf­ge­lis­tet wird.

Im nächs­ten Blog­ein­trag beschäf­ti­gen wir uns damit, wie man den ipcon­fig Befehl mit der PowerS­hell umset­zen kann.

4 Kom­men­tare

  • Antworten Gregor |

    Hi Boris,

    sehr inter­es­san­ter Bei­trag, aller­dings habe ich einen Ver­bes­se­rungs­vor­schlag:

    Ich fände es gut, wenn Du die ver­wen­de­ten Kom­man­dos auch tex­t­u­ell zur Ver­fü­gung stellt, da man sie halt aus den Screen­shots nicht kopie­ren kann.

    Ansons­ten top!

    • Antworten Boris Birneder |

      Hallo Gre­gor,

      im Nor­mal­fall hin­ter­lege ich Screen­shots und auch die Kom­man­dos für copy&paste.
      Das ist immer in den blauen Boxen.

      Grüße Boris

  • Antworten Rolf |

    Hallo,
    gibt es auch eine Methode um eine IP zu einer bestimm­ten, frem­den E-​​Mail-​​Adresse in Erfah­rung zu brin­gen. Bzw. war ist der ein­fachste Weg dazu ?

    Grüße Rolf

    • Antworten Boris Birneder |

      Hallo Rolf,
      bei den meis­ten Maildo­mains kann man sich nicht sicher sein, ob der Absen­der auch der Besit­zer der E-​​Mail-​​Adresse ist. Von daher würde die IP nicht viel nut­zen. Und auch die absen­dende IP sel­ber ist im Daten­pa­ket mani­pu­lier­bar. Also: keine/​wenig Chan­cen, den Absen­der zu finde. Grüße

Was den­ken Sie?