内置系统工具 (无需安装,快速上手)
这些工具是 Windows 自带的,对于快速、临时的监控任务非常方便。
(图片来源网络,侵删)
任务管理器
最简单、最直接的方法,适合查看实时的网络占用情况。
-
如何使用:
- 按
Ctrl + Shift + Esc打开任务管理器。 - 切换到 “性能” 选项卡。
- 在左侧选择 “以太网” 或 “Wi-Fi”。
- 在右侧,你可以看到:
- 实时图表: 显示当前的总网络使用率(发送和接收)。
- 每个进程的网络: 点击下方的 “打开资源监视器” 链接,或在任务管理器的 “详细信息” 或 “进程” 选项卡中点击右上角的“列”按钮,勾选 “网络” 相关列,这样你就能看到每个进程正在发送和接收的数据速率。
- 按
-
优点:
- 无需安装,随时可用。
- 直观,能快速定位是哪个进程在占用大量网络。
-
缺点:
(图片来源网络,侵删)- 信息非常有限,无法查看具体的 IP 地址、端口或协议。
- 无法记录历史数据,只能看实时状态。
- 功能非常基础。
资源监视器
任务管理器的增强版,提供更详细的网络连接信息。
-
如何使用:
- 打开任务管理器,在“性能”标签页点击 “打开资源监视器”。
- 切换到 “网络” 选项卡。
- 这里可以看到 “侦听端口” 和 “网络活动” 的详细信息。
- 侦听端口: 显示你的电脑正在监听哪些 IP 地址和端口。
- 网络活动: 显示所有活动的 TCP 连接,包括
PID(进程ID)、IP 地址、端口、状态等,你可以按 PID 搜索,来定位具体是哪个进程发起的连接。
-
优点:
- 比任务管理器信息更丰富,能查看连接详情。
- 可以轻松地将 PID 与进程对应起来。
-
缺点:
(图片来源网络,侵删)- 仍然是实时视图,无法保存历史记录。
- 对于海量的网络连接,界面可能会显得混乱。
性能监视器
一个功能强大的工具,可以记录和导出长期性能数据。
-
如何使用:
- 在开始菜单搜索
perfmon并打开 “性能监视器”。 - 在左侧,展开 “数据收集集” -> “系统”。
- 你可以看到一些预设的数据收集器,“Network Interface Details”,右键点击它,选择 “开始” 即可开始收集。
- 你也可以创建自己的 “数据收集集 (Data Collector Sets)”,自定义要监控的网络计数器,如:
Network Interface(*)Bytes Total/sec: 总网络流量。Network Interface(*)Bytes Received/sec: 接收速率。Network Interface(*)Bytes Sent/sec: 发送速率。TCPv4/Connections Established: 已建立的 TCP 连接数。
- 收集完成后,你可以右键点击数据集,选择 “报告” -> “生成报告” 来查看详细的 HTML 报告。
- 在开始菜单搜索
-
优点:
- 可以进行长时间的数据收集和分析。
- 功能极其强大,可监控数百个不同的性能计数器。
- 可以生成详细的报告,便于历史数据分析。
-
缺点:
- 界面复杂,学习曲线较陡。
- 配置起来比前两者麻烦。
Windows 命令行工具
适合高级用户和脚本化操作。
-
netstat:netstat -an: 显示所有活动的 TCP 连接,不解析域名 (-n),并以数字形式显示地址和端口。netstat -anb: 显示所有连接,并尝试将它们与可执行文件关联 (-b),需要管理员权限。netstat -s: 按协议显示详细的统计信息(如 TCP, UDP, ICMP)。
-
Get-NetTCPConnection(PowerShell):- 这是
netstat的 PowerShell 版本,功能更强大,结果更容易处理。 Get-NetTCPConnection | Format-Table -AutoSize: 显示所有 TCP 连接。Get-NetTCPConnection | Where-Object {$_.State -eq 'Established'} | Sort-Object LocalAddress: 只显示已建立的连接,并按本地地址排序。Get-NetTCPConnection | Group-Object RemoteAddress | Sort-Object Count -Descending: 按远程 IP 地址分组,并按连接数降序排列,可以快速找到与哪些服务器通信最频繁。
- 这是
-
TypePerf:- 一个命令行工具,可以实时输出性能计数器的数据,非常适合重定向到文件进行日志记录。
typeperf "\Network Interface(*)\Bytes Total/sec" -sc 10: 持续输出 10 次网络总流量数据。
第三方专业监控软件 (功能强大,图形化界面)
当你需要更深入、更专业的分析时,第三方软件是更好的选择。
Wireshark
网络协议分析领域的“黄金标准”,几乎无所不能。
-
特点:
- 深度包检测: 可以捕获网络数据包的完整内容,并对其中的协议进行解码分析。
- 强大的过滤功能: 可以使用复杂的过滤器(如
ip.addr == 1.2.3.4 and tcp.port == 80)来精确查找你感兴趣的数据流。 - 丰富的统计信息: 提供多种图表和统计,如协议分层统计、端点对话、数据流图等。
- 多平台支持: Windows, macOS, Linux。
-
如何使用:
- 下载并安装 Wireshark。
- 选择要监听的网络接口(如以太网或 Wi-Fi)。
- 点击开始捕获,所有经过该接口的流量都会被记录下来。
- 停止捕获后,可以在数据包列表中查看,并使用过滤器进行筛选和分析。
-
优点:
- 功能最强大,是网络故障排查和安全分析的终极武器。
- 社区庞大,文档和教程丰富。
-
缺点:
- 对于初学者来说非常复杂,学习曲线陡峭。
- 捕获和分析大量数据会消耗大量 CPU 和内存。
- 捕获的数据文件(
.pcap)可能会非常大。
Microsoft Network Monitor (NetMon)
微软官方出品的免费网络协议分析器,曾是 Wireshark 的有力竞争者。
-
特点:
- 界面比 Wireshark 更简洁一些。
- 对 Windows 协议(如 SMB, RPC)的支持非常好。
- 同样支持强大的过滤功能。
-
现状:
微软已经停止了该项目的官方更新,但依然可以从其官网下载到旧版本,对于一些老旧环境或特定协议的分析仍然有用。
GlassWire
一款现代化的、用户友好的网络监控和安全工具。
-
特点:
- 图形化流量图表: 将网络活动以时间线的形式直观地展示出来,非常漂亮。
- 应用程序监控: 清晰地显示每个应用程序的网络使用情况。
- 安全警报: 当有新的未知连接或应用程序尝试连接网络时,会发出警报。
- 主机地理定位: 可以显示连接的服务器所在的大致地理位置。
- 有免费版和功能更强大的付费版。
-
优点:
- 界面非常直观,易于上手。
- 将网络监控和安全警报很好地结合在一起。
-
缺点:
- 免费版功能有限(如历史记录时间短)。
- 相比 Wireshark,底层分析能力较弱。
Process Monitor (ProcMon)
虽然它不是一个纯粹的网络流量工具,但在排查由网络活动引起的文件访问、注册表修改等问题时,它无与伦比。
-
特点:
- 由微软 Sysinternals 团队出品,免费且强大。
- 可以实时监控文件系统、注册表和进程/线程的活动。
- 可以通过过滤器只显示与特定进程(如
chrome.exe)或网络相关的活动。
-
适用场景:
当你怀疑某个程序在连接网络时,同时也在修改本地文件或配置时,使用 ProcMon 可以看到完整的操作序列。
Windows 事件日志 (安全审计)
对于安全审计,记录谁在什么时候连接了哪里,事件日志是关键。
-
如何使用:
- 打开 “事件查看器” (
eventvwr.msc)。 - 导航到 “Windows 日志” -> “安全”。
- 在右侧的“筛选当前日志”中,你可以设置筛选器。
- 关键的事件 ID 包括:
- 4624: 登录成功,虽然不是直接的网络事件,但成功的登录是网络活动的前提。
- 4625: 登录失败。
- 4688: 一个新进程已启动,可以用来记录启动网络连接的进程。
- 4634: 注销。
- 4672: 特权账户使用,对于监控管理员发起的网络连接很重要。
- 5156: 防墙已允许入站连接。这是最直接的网络连接日志之一,记录了被防火墙放行的远程 IP、本地端口、进程等信息。
- 5157: 防墙已拒绝入站连接。
- 打开 “事件查看器” (
-
优点:
- 系统级别的审计记录,非常权威。
- 可以与 SIEM(安全信息和事件管理)系统集成,进行长期存储和分析。
-
缺点:
- 相对抽象,不如 Wireshark 详细。
- 需要正确配置 Windows 安全策略才能记录这些事件。
总结与选择建议
| 工具名称 | 主要用途 | 优点 | 缺点 | 适用人群 |
|---|---|---|---|---|
| 任务管理器 | 快速查看实时进程网络占用 | 简单、快速、无需安装 | 信息有限,无历史记录 | 所有 Windows 用户 |
| 资源监视器 | 查看详细连接和端口占用 | 信息比任务管理器丰富,实时 | 无历史记录,界面稍乱 | 中级用户,故障排查 |
| 性能监视器 | 长期性能数据收集和报告 | 可记录历史,功能强大,可生成报告 | 配置复杂,学习曲线陡峭 | 系统管理员、性能分析师 |
| Wireshark | 深度协议分析和故障排查 | 功能最强大,无所不能 | 复杂,资源消耗大 | 网络工程师、安全专家 |
| GlassWire | 用户友好的网络监控和安全 | 界面美观,直观,结合安全警报 | 免费版功能受限 | 普通用户,注重隐私和安全 |
| 事件查看器 | 安全审计和合规性检查 | 系统级权威日志,可追溯 | 信息抽象,需配置 | 安全管理员、IT 审计员 |
如何选择?
- 只是想看看哪个软件在占网速? -> 任务管理器。
- 感觉电脑有可疑连接,想看看连向了哪里? -> 资源监视器 或 GlassWire。
- 需要分析一个持续的网络性能问题(如缓慢)? -> 性能监视器 进行长时间监控。
- 网络出现严重故障,需要抓包分析根本原因? -> Wireshark。
- 需要记录和审计所有网络连接行为,满足安全要求? -> 事件查看器(特别是防火墙日志)。
