Qu’est-ce que Netstat ?

Netstat est un mélange de network (réseau en anglais) et de statistics (statistiques). C’est un programme piloté via des commandes dans une ligne de commandes. Il livre des statistiques de base sur toutes les activités de réseau et donne par exemple des indications sur le port et l’adresse sur lesquels une connexion (TCP, UDP) est établie et quels ports sont ouverts pour des demandes. Netstat a pour la première fois été mis en place en 1983 dans un dérivé UNIX BSD (Berkeley Software Distribution), dont la version de l’époque était la première compatible avec la famille de protocoles Internet TCP/IP. Depuis la version 3.11 de Netstat apparue en 1993, le programme pouvait communiquer via TCP/IP à l’aide d’une extension et était intégré par défaut sous Windows ou Linux. Les différentes implémentations sont assez similaires au regard des fonctionnalités, tandis que les paramètres des commandes Netstat ainsi que l’édition se différencient légèrement d’un système à un autre.

Netstat ne possède fondamentalement pas d’interface graphique car il s’agit d’un programme de lignes de commandes. Des programmes comme TCPView, programme créé par le département Windows Sysinternals de Microsoft, rendent possible la représentation graphique de statistiques.

Comment utiliser netstat ?

Les services de Netstat sont utilisés avec les systèmes d’exploitation Windows avec la ligne de commande (cmd.exe). Pour ce faire, rendez-vous dans le menu de démarrage puis sélectionnez « tous les programmes » puis « accessoires » et « saisie ». Vous pouvez aussi accéder directement à la saisie en tapant « saisie » dans le champ de recherche du menu de démarrage ou démarrer la ligne de commandes avec « exécution » (touche Windows + bouton « R », saisir « cmd »). La syntaxe des commandes suit le même modèle que Linux :

netstat [a] [b] [-e] [-f] [n] [-o] [-p Protocole] [-r] [-s] [-t] [-x] [-y] [Intervalle]

La combinaison des options individuelles fonctionne en reliant les paramètres individuels, chacun étant séparé par un espace:

netstat [-OPTION1] [-OPTION2] [-OPTION3] …

Les paramètres sont généralement précédés d’un trait d’union (-), mais si vous souhaitez combiner plusieurs options, il vous suffit de placer ce trait d’union devant le premier élément. Au lieu de la variante illustrée ci-dessus, vous pouvez également lier différents paramètres comme suit :

netstat [-OPTION1][OPTION2][OPTION3] …

L’important est que vous ne mettiez pas d’espace entre les options individuelles de netstat.

Commandes netstat-cmd pour Windows

[OPTION]

Commande

Description de l’option

 

netstat

Listage standard de toutes les connexions actives

-a

netstat -a

Liste aussi les ports ouverts en supplément

-b

Netstat-b

Affiche l’exécutable d’une connexion ou d’un port d’écoute (nécessite des droits d’administrateur)

-e

netstat -e

Statistiques de l’interface (paquets de données émis et reçus)

-f

netstat-e

Renvoie le nom de domaine complet (FQDN) des adresses distantes

-i

netstat -i

Charge l’aperçu du menu netstat

-n

netstat -n

Affichage numérique des adresses et numéros de ports

-o

netstat -o

Ajoute chaque connexion au processus ID correspondant

-p protocole

netstat -p TCP

Indique les contacts pour le protocole  indiqué (dans ce cas TCP, mais UDP, TCPv6 ou UDPv6 sont également possibles)

-q

Netstat-q

Liste toutes les connexions, tous les ports TCP en cours d’écoute et tous les ports TCP ouverts qui ne sont pas à l’écoute

-r

netstat -r

Affiche le tableau de routing

-s

Netstat-s

Récupère des statistiques sur les protocoles réseau importants tels que TCP, IP ou UDP

-t

Netstat-t

Affiche l’état de téléchargement (téléchargement TCP pour soulager le processus principal) des connexions actives

-x

Netstat-x

Informe sur toutes les connexions, les auditeurs et les points finaux partagés pour NetworkDirect

-y

Netstat-y

Affiche les modèles de connexion utilisés pour les connexions TCP actives

Intervalle

Netstat-p 10

Affiche à nouveau les statistiques respectives après un certain nombre de secondes sélectionné (ici 10) ; peut être combiné au besoin (ici avec –p), [CTRL]+[C] termine l’affichage des intervalles

Netstat : exemples

Afin de rendre l’utilisation des commandes netstat-cmd pour Windows plus facile à comprendre, nous vous montrons ci-dessous un exemple de commandes :

Liste de toutes les connexions pour le protocole IPv4

Si vous ne souhaitez pas récupérer toutes les connexions actives, mais seulement toutes les connexions IPv4 actives, vous pouvez le faire avec cette commande netstat :

netstat –p IP

Statistiques d’appel utilisant le protocole ICMPv6

Si vous voulez seulement obtenir des statistiques sur le protocole ICMPv6, entrez la commande suivante dans la ligne de commande :

Netstat –s –p icmpv6

La sortie ressemblera alors à ceci :

Requête répétitive de statistiques d’interface (toutes les 20 secondes)

Utilisez la commande netstat suivante pour une requête répétée des statistiques de l’interface, qui retourne de nouvelles valeurs toutes les 20 secondes sur les paquets de données reçus et envoyés :

Netstat –e 20

Affichage de tous les ports ouverts et de toutes les connexions actives (numérique et ID de processus inclus)

L’une des commandes cmd netstat les plus populaires est sans aucun doute d’interroger tous les ports ouverts et les connexions actives (y compris l’ID de processus) sous forme numérique :

Netstat –ano

En quoi Netstat est-il utile ?

Vous possédez un grand avantage dans la bataille contre le trafic excessivement élevé et les logiciels nuisibles si vous êtes au fait des connexions courantes de votre ordinateur ou serveur. Celles-ci sont fabriquées sur l’adresse du réseau respective et indiquent entre autres quel port est ouvert au préalable pour l’échange de données. Si un port est ouvert, il passe au statut « LISTEN » ou « Sur écoute », et se met en attente d’une tentative de connexion. Le problème de ces ports ouverts est qu’ils permettent à des tiers d’introduire des logiciels malveillants dans votre système. Il y a de plus une possibilité pour qu’un cheval de Troie soit déjà présent dans ce qu’on appelle la Backdoor (porte de derrière) et qu’il ouvre le port correspondant. Pour cette raison les ports ouverts de votre système doivent régulièrement être vérifiés, pour profiter pleinement et en toute sécurité de Netstat. Étant donné que l’outil de diagnostic est disponible sur n’importe quel système Windows, il est possible de l’utiliser avec tout type d’ordinateur et de serveur.

Vous pouvez reconnaître une intrusion dans votre système en constatant la présence de ports ouverts inconnus ou d’adresses IP inconnues. Pour un résultat pertinent, tous les autres programmes connectés à Internet devraient être fermés car ils utilisent souvent des adresses IP inconnues dans leurs échanges. Grâce à des statistiques détaillées, vous recevez des renseignements sur les paquets transmis depuis le dernier démarrage du système ainsi que les erreurs rencontrées. Le tableau du routeur, indiquant le chemin des paquets de données, peut aussi être affiché à l’aide de commandes Netstat spécifiques aux systèmes d’exploitation.