在日常运维或安全排查中,经常会遇到程序偷偷联网、异常流量暴增的情况。比如你发现电脑网速突然变慢,任务管理器里又看不出是谁在作怪,这时候就得靠网络命令监控工具来揪出幕后“活跃分子”。
常见的网络命令监控工具
netstat 是最基础也最常用的工具之一。它能列出当前所有活动的网络连接和监听端口。在 Windows 或 Linux 终端输入:
netstat -an | grep ESTABLISHED就能看到所有已建立的外部连接。加上 -p 参数还能显示对应进程 ID,在 Linux 上配合 ps 命令快速定位是哪个程序在通信。
不过 netstat 已逐渐被 ss 取代。ss 是 socket statistics 的缩写,效率更高。比如查看所有 TCP 连接:
ss -tuln输出结果更简洁,响应也更快,特别适合脚本中调用。
实时流量监控:iftop 和 tcpdump
如果想看实时带宽占用,iftop 就派上用场了。它像 top 命令一样动态刷新,但显示的是各主机间的流量排行。安装后直接运行:
sudo iftop -i eth0就能看到谁在大量上传或下载。某个 IP 突然占满带宽?一眼就能发现。
而 tcpdump 更深入一层,能抓取数据包内容。比如只想看访问 443 端口的 HTTPS 请求:
sudo tcpdump -i any 'port 443'虽然看不到加密内容,但源地址、目标地址和通信频率都清清楚楚,对排查恶意外联很有帮助。
Windows 下的实用选择
Windows 用户可以用 PowerShell 实现类似功能。比如查看所有带有“Established”状态的连接:
Get-NetTCPConnection | Where-Object {$_.State -eq 'Established'}再结合 Get-Process 关联进程名,就能知道是哪个程序在后台通话。
资源监视器(resmon)也是个图形化好帮手。打开“网络”标签页,能看到每个进程的实时发送接收速度,比命令行更直观。
为什么需要持续监控?
有些木马不会立刻发作,而是长期静默连接 C&C 服务器。定期跑一遍命令,能及时发现异常连接。比如某台服务器平时只连内网,突然出现对外的 8080 连接,就得警惕是不是被植入了后门。
把这些命令写成脚本,配合 cron 定时执行,日志存下来做比对,小问题往往就能在爆发前被发现。
网络命令监控工具看似简单,但在真实环境中往往是第一道防线。不需要复杂平台,几条命令就能看清系统的“网络心跳”。