需识别windows 10中listening状态的tcp端口及无远程地址的udp端口以评估安全风险,方法包括:一、netstat -ano全量查看;二、findstr精准筛选;三、powershell直接查进程;四、资源监视器图形化查看;五、tcpview实时监控。
如果您需要确认 Windows 10 系统当前正在监听或开放哪些网络端口,以评估潜在的网络安全风险,则需识别处于 LISTENING 状态的 TCP 端口及无远程地址的 UDP 端口。以下是多种可独立使用的排查方法:
一、使用 netstat -ano 全量查看所有监听端口及关联进程
该命令一次性输出本机全部 TCP/UDP 连接与监听端口,并附带进程标识符(PID),是识别开放端口最基础、最通用的手段,无需安装额外工具,适用于所有标准 Win10 安装环境。
1、按下 Win + R 组合键,输入 cmd 并按回车,打开命令提示符。
2、在命令提示符中输入以下命令并回车:netstat -ano。
3、观察输出列表中 State 列为 LISTENING 的 TCP 行,以及 UDP 行中 Local Address 含端口号但 Foreign Address 为空的条目,这些即代表当前被开启并监听的端口。
4、每行末尾的数字为对应进程的 PID,可用于后续定位程序身份。
二、通过 findstr 精准筛选指定端口的监听记录
当已知需重点检查的端口号(如 445、3389、135 等高危端口)时,直接过滤 netstat 输出可跳过人工扫描冗长列表,显著提升定位效率,并降低遗漏风险。
1、在已打开的命令提示符中,输入格式化命令(以端口 445 为例):netstat -ano | findstr ":445"。
2、若未返回结果,尝试去掉冒号执行:netstat -ano | findstr "445"(部分 Windows 版本对格式敏感)。
3、匹配成功后,提取输出行最右侧的 PID 数值(如 1234)。
三、利用 PowerShell 直接获取端口所属进程信息
PowerShell 提供结构化 cmdlet,可绕过手动查 PID 与 tasklist 匹配的步骤,直接按端口查询 OwningProcess 属性,响应更高效且结果明确,适合需快速确认服务归属的场景。
1、右键点击“开始”按钮,选择 Windows PowerShell(管理员) 以提升权限运行。
2、输入以下命令(将 445 替换为实际端口号)并回车:Get-NetTCPConnection -LocalPort 445 | Select-Object -ExpandProperty OwningProcess。
3、记录返回的 PID,再执行:Get-Process -Id [PID](将 [PID] 替换为上一步数值)。
4、输出中的 ProcessName 字段 即为占用该端口的程序名称,例如 lsass.exe 或 svchost.exe。
四、通过资源监视器图形化查看监听端口详情
资源监视器提供免命令、全字段可视化的界面,直接展示协议类型、完整进程路径、用户账户、监听状态及实时数据吞吐量,适合不熟悉命令行或需交叉验证的用户快速确认端口归属。
1、按下 Win + R 组合键,输入 resmon 并回车,启动资源监视器。
2、点击顶部选项卡中的 网络。
3、向下滚动至 监听端口(Listening Ports)区域,此处按端口号排序列出所有处于 LISTEN 状态的端口。
4、每行包含端口、协议、进程名、PID、完整路径等信息;可在右上角搜索框中直接输入端口号进行快速定位。
五、使用 TCPView 工具实时动态监控所有端口
TCPView 是微软 Sysinternals 官方提供的轻量级工具,能实时刷新并高亮显示所有活动连接与监听端口,同时标明进程名、PID、服务状态及连接方向,支持一键终止异常进程,适用于深度安全审计。
1、从微软官网下载 Sysinternals Suite 并解压,或单独获取 TCPView.exe。
2、双击运行 TCPView.exe(无需安装;首次运行可能需允许访问网络)。
3、主界面中,State 列显示为 Listening 的 TCP 行 及 UDP 行中 Local Address 含端口且 Remote Address 为空的条目 即为当前开启端口。
4、进程名列直接显示占用者(如 conhost.exe、java.exe),右键条目可选择 End Process 强制释放端口。
