netstat — Netzwerkverbindungen und Statistiken im Überblick

netstat ist das klassische Werkzeug, um aktive Verbindungen, lauschende Ports, die Kernel-Routing-Tabelle und Schnittstellen-Statistiken auf der Kommandozeile einzusehen. Es funktioniert auf Linux, macOS und Windows und ist auf vielen Systemen vorinstalliert. Auf modernen Linux-Distributionen gilt ss aus dem iproute2-Paket als direkter Nachfolger – schneller und mit aktivem Upstream. Für gelegentliche Diagnosen und plattformübergreifende Szenarien bleibt netstat der bewährte erste Griff.

Verbindungen auflisten

netstat — Zeigt alle aktiven Verbindungen (TCP und Unix-Sockets) an.

netstat

netstat -a — Zeigt alle Verbindungen und lauschende Ports an.

netstat -a

netstat -l — Zeigt nur lauschende Sockets an.

netstat -l

netstat -t — Zeigt ausschließlich TCP-Verbindungen an.

netstat -t

netstat -u — Zeigt ausschließlich UDP-Verbindungen an.

netstat -u

netstat -x — Zeigt ausschließlich Unix-Domain-Sockets an.

netstat -x

netstat -w — Zeigt RAW-Sockets an.

netstat -w

Ausgabe-Optionen

netstat -n — Numerische Ausgabe – zeigt IP-Adressen und Portnummern statt Namen an.

netstat -n

netstat -p — Zeigt PID und Programmname für jede Verbindung an (Root-Rechte erforderlich).

sudo netstat -p

netstat -e — Zeigt erweiterte Informationen an (Benutzer, Inode).

netstat -e

netstat -o — Zeigt Timer-Informationen an.

netstat -o

netstat -c — Aktualisiert die Ausgabe kontinuierlich jede Sekunde.

netstat -c

netstat --wide — Verkürzt IP-Adressen in der Ausgabe nicht.

netstat --wide

Häufige Kombinationen

netstat -tlnp — Zeigt TCP-Listening-Ports mit Portnummern und Prozessen – die häufigste Verwendung.

sudo netstat -tlnp

netstat -tulnp — Zeigt alle TCP- und UDP-Listening-Ports mit Prozessen.

sudo netstat -tulnp

netstat -tanp — Zeigt alle TCP-Verbindungen mit Portnummern und Prozessen.

sudo netstat -tanp

netstat -anp — Zeigt alle Verbindungen mit numerischen Adressen und Prozessinformationen.

sudo netstat -anp

netstat -ltpe — Zeigt lauschende TCP-Ports mit Prozessen und erweiterten Informationen.

sudo netstat -ltpe

Routing-Tabelle

netstat -r — Zeigt die Kernel-Routing-Tabelle an.

netstat -r

netstat -rn — Zeigt die Routing-Tabelle mit numerischen Adressen (ohne DNS-Auflösung).

netstat -rn

Schnittstellen-Statistiken

netstat -i — Zeigt eine Tabelle aller Netzwerkschnittstellen mit Statistiken.

netstat -i

netstat -ie — Zeigt Schnittstellen mit erweiterten Informationen an (ähnlich wie ifconfig).

netstat -ie

netstat -I INTERFACE — Zeigt Statistiken für eine bestimmte Schnittstelle.

netstat -I eth0

Protokoll-Statistiken

netstat -s — Zeigt Protokoll-Statistiken an (TCP, UDP, ICMP, IP).

netstat -s

netstat -st — Zeigt ausschließlich TCP-Statistiken an.

netstat -st

netstat -su — Zeigt ausschließlich UDP-Statistiken an.

netstat -su

Multicast

netstat -g — Zeigt Multicast-Gruppenmitgliedschaften an.

netstat -g

Praktische Beispiele

netstat -tlnp | grep :80 — Zeigt, welcher Prozess auf Port 80 lauscht.

sudo netstat -tlnp | grep :80

netstat -an | grep ESTABLISHED | wc -l — Zählt etablierte Verbindungen.

netstat -an | grep ESTABLISHED | wc -l

netstat -an | grep TIME_WAIT | wc -l — Zählt Verbindungen im TIME_WAIT-Status.

netstat -an | grep TIME_WAIT | wc -l

netstat -tn | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -rn | head — Zeigt die häufigsten Remote-IPs nach Verbindungsanzahl.

netstat -tn | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -rn | head

netstat -an | awk '/tcp/ {print $6}' | sort | uniq -c | sort -rn — Zeigt die Anzahl der Verbindungen nach TCP-Status.

netstat -an | awk '/tcp/ {print $6}' | sort | uniq -c | sort -rn

netstat -tulnp | grep -v 127.0.0.1 | grep -v ::1 — Zeigt lauschende Ports, die von außen erreichbar sind (nicht nur localhost).

sudo netstat -tulnp | grep -v 127.0.0.1 | grep -v ::1

Fazit

Für schnelle Diagnosen – welcher Prozess hört auf Port 80, wie viele ESTABLISHED-Verbindungen gibt es gerade, was zeigt die Routing-Tabelle? – ist netstat nach wie vor erste Wahl. Auf modernen Linux-Systemen solltest du ss kennen: es liefert dieselben Informationen schneller und zeigt sogar TCP-interne Zustände, die netstat verbirgt.

Weiterführende Links

• netstat – Wikipedia – Hintergrund und Geschichte
• netstat(8) – Linux man page – vollständige Optionsreferenz (englisch)

Verwandte Kommandos

• ss – schnellerer Nachfolger von netstat auf modernen Linux-Systemen
• ip – Routen, Adressen und Schnittstellen auf der Kommandozeile verwalten
• iftop – Netzwerkbandbreite in Echtzeit nach Verbindung anzeigen