How To – Netzwerkverbindungen mit der PowerShell anzeigen

​Grundlegendes

​Es ist doch immer interessant, welche Programme, Prozesse oder Dienste eine Verbindung zu anderen Netzwerkkomponenten ​hergestellt haben. Natürlich ist das gerade von Bedeutung, wenn man glaubt verdächtige Bewegungen am System zu erkennen oder aber auch zur Fehleranalyse.

Generell können hier natürlich immer Programme wie Wireshark herangezogen werden. Diese sind für solche Aufgaben natürlich spezialisiert. Für einen ersten Eindruck allerdings, gibt es auch Windows Tools ​​aus der cmd oder PowerShell, welche standardmäßig an Bord sind.

Kommandozeilen Tool

​Aus der Kommandozeile ist dir bestimmt das Tool „Netstat“ bekannt. Es liefert sämtliche Verbindungen. So könnte man sich damit die aktiven Verbindungen ansehen oder auch welche Ports verwendet wurden. Die Hilfe hierzu erhält man wieder über das Zeichen „/?“.

Der Aufruf netstat ohne weitere Parameter liefert die folgende Ausgabe. Also alle aktiven Verbindungen inklusive dessen lokale Adressen mit dem entsprechenden Port sowie die Remoteadresse mit entsprechendem Port bzw. Dienst.

Mit der cmd die offenen Netzwerverbindungen auflisten

​Mit der cmd die offenen Netzwerverbindungen auflisten

netstat

Windows PowerShell Cmdlet

Die bessere Wahl ist natürlich die Windows PowerShell. Mit ihren Cmdlets bietet sie weit aus mehr Möglichkeiten. Das zu verwendende Cmdlet trägt den Namen Get-NetTCPConnection​ und gehört zum Modul NetTCPIP.

Ganz allgemein kann man die detallierte Hilfe wiederrum mit Get-Help und dem Parameter „detailed“ aufrufen. Natürlich müssen die Hilfe-Dateien vorhab heruntergeladen worden sein. Falls nicht, muss man noch update-help verwenden.

Get-Help Get-NetTCPIPConnection -detailed

Möchte man jetzt alle aktiven Verbindungen aufrufen, so wird folgende Befehlssequenz benötigt:

Get-NetTCPConnection -State Established

Weiterhin wäre es auch möglich, sich alle Port ausgeben zu lassen und diese entsprechend auch zu ordnen:

Get-NetTCPConnection -State Established | Sort-Object RemoteAddress

​Hier noch die vollständige Befehlssequenz aus dem Video. Hier zeigt sich auch wiederum der große der Vorteil der Windows PowerShell. Im Prinzip kann man mit einem Einzeiler viele korrekte Abfragen erhalten.

Get-NetTCPConnection | Where {$_.RemoteAddress -like (Resolve-DnsName -Name www.it-learner.de).IPAddress} | foreach {(Get-Process -id $_.OwningProcess).ProcessName } | select -Unique

Dieser Artikel beinhaltet Partner-Links. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhält IT-Learner eine kleine Provision. Der Preis ändert sich für euch nicht. Danke für eure Unterstützung! Letzte Aktualisierung am 26.01.2024

e194c6e0ea9647189cf1659bb628bf01
Der Blogbetreiber und Autor: Markus Elsberger

Über den Autor

Mein Name ist Markus Elsberger und ich beschäftige mich mit der Administration von Windows und Linux Systemen sowie mit diversen Themen bzgl. Netzwerktechnik. In meiner Lehrtätigkeit erstelle ich verschiedene Szenarien und teste auch verschiedene Konfigurationen, welche ich in diesem Blog festhalten möchte.

Nach oben scrollen
×