sysinternals利器系列之——TCPView

好久没有更新sysinternals系列了，因为前段时间一直在找实习，大家都懂的，大三的学生是异常的忙啊！趁着清明节处理了一堆事终于有时间来写写博客了。废话也不多说了，直接进入我今天给大家推荐的小工具TCPView。

懂点网络知识的朋友都知道我们的计算机网络是分层的。有什么7层模型啊！5层模型啊！那都不是我要说的主题，我要讲的是TCP协议相信大家都听过，只是有的朋友知道它是一个传输层协议，有的不知道罢了。

这么来说吧，大部分的网络应用都需要这个协议的帮助才能实现，比如HTTP协议、FTP协议、SMTP协议（发邮件的那个协议）等等乱七八糟的玩意都必须通过它实现。现在你明白点了吧！当然TCP协议是可信的，UDP是不可信的我们今天也不去讨论，那些说起来恐怕不是一两篇博文能讲完的，我想说的是如果你有需求要了解你的windows系统建立了哪些TCP连接，那么用这个小工具就可以一目了然。

下载网页：http://technet.microsoft.com/en-us/sysinternals/bb897437，目前版本为3.03。不过这个小工具的上传时间还是很近的，就今年2月1号上传的，才2个多月就更新这么多了，可见人们对它的关注度。

中文网页下载地址：http://technet.microsoft.com/Zh-cn/sysinternals/bb897437，版本为2.4。

这个小工具属于Networking Utilities类别。

• 简介：

说的是TCPView这个工具能够在windows平台下显示出所有TCP、UDP连接，包括本地和远程的TCP连接。在Windows Server 2008、Vista、XP下它都能显示这些开了TCP连接的进程名。TCPView这个工具还能提供Netstat（这是windows平台下系统自带的一个检测网络的工具，你可以在命令行里输入netstat，看看会出现什么！@！）程序忽略的信息。下载这个工具同时提供一个命令行的同样功能的小工具——Tcpvcon。

• 运行平台：

依然是那个平台描述。

• 安装：

首先下载下来解压后打开文件夹，如下图：

果然看到两个工具，一个叫Tcpview，另一个叫Tcpvcon。

随便运行一个，首先还是需要认证：

比如我们打开Tcpview：

大家果断就看到我在用360、小红伞和chrome了。。。。。。

第一次打开大家都会有点担心的，因为它一直在变动，这是因为它默认的刷新时间是1s，你可以在View->Update Speed里修改1s、2s、5s或者是停止刷新。

它列出了很多进程，当然，你也可以关掉这些进程的TCP连接，甚至是结束这个进程，只需要在你想要处理的进程上右键鼠标就可以看到选项了。这个小工具还有一个非常有意思的地方，它可以查看一个通信IP地址的whois信息，如果你还不知道什么是whois就请看我上次介绍whois小工具的博文吧：http://rangercyh.blog.51cto.com/1444712/508924。

• 使用方法：

下面我还是讲一个那个命令行工具Tcpvcon的用法，因为我个人还是喜欢命令行的东西，因为简洁啊～～

和以前一样，把它放到系统路径下，然后在命令行输入tcpvcon就可以了。它显示了所有的TCP连接，和它的图形界面兄弟TCPView一样也有进程PID和进程名等信息。但它显示的速度比图形界面要慢好多，而且默认只显示已经建立TCP连接的端点。下载页面上给出了它的命令格式：

你也可以如下显示命令格式：

当然，如果你输入tcpvcon -a命令，它就会把所有占用端口的进程都显示出来，包括还没有建立TCP连接的进程。

-c参数比较有意思，是让结果以CSV方式显示出来，你肯定要问什么是CSV了，CSV就是一种以逗号分隔值的文件（Comma Separated value），是一种用来存储数据的纯文本的文本格式，通常用于电子表格或数据库软件。比如：

-n参数也挺有趣，是不解析IP地址，比如上面的IP地址被解析成了caiyiheng-b460等主机名了。如果输入-n参数就如下：

好了，这个小工具就和大家分享完了，下次再见咯～～