注:本文为 "Windows 网络监控、端口排查" 相关合辑。
图片清晰度受引文原图所限。
略作重排,未整理去重。
如有内容异常,请看原文。
CurrPorts 网络监控工具
mywlbc 原创于 2025-04-25 21:40:30 发布
1 概述
CurrPorts 是由 NirSoft 开发的免费 Windows 平台网络监控工具,可枚举系统中全部处于活动状态的 TCP/IP 与 UDP 端口,并关联对应进程信息,支持网络连接管理与数据导出,适用于端口监测、进程定位、故障排查等场景。
2 功能特性
2.1 实时网络连接监测
- 展示系统中所有活动 TCP/UDP 端口及连接状态。
- 输出本地 IP 地址、远程 IP 地址、端口号、协议类型等参数。
2.2 进程关联分析
- 显示网络连接对应的进程名称、PID(进程 ID)、可执行文件路径。
- 支持读取进程命令行参数(部分程序适用)。
2.3 网络连接管理
- 支持终止指定 TCP/UDP 连接或对应进程。
- 支持将连接列表导出为 HTML、CSV、TXT 格式。
2.4 高级筛选与排序
2.4.1 条件筛选
支持按端口号、进程名、远程 IP 地址等维度筛选网络连接。
筛选字符串示例:
- 仅显示远程 TCP 端口 80 数据包:
include:remote:tcp:80 - 仅显示远程 TCP 端口 80 与 UDP 端口 53 数据包:
include:remote:tcp:80 include:remote:udp:53 - 仅显示 IP 段 192.168.0.1--192.168.0.100 数据包:
include:remote:tcpudp:192.168.0.1-192.168.0.100 - 仅显示端口段 53--139 的 TCP/UDP 数据包:
include:both:tcpudp:53-139 - 排除端口 6881 的 BitTorrent 数据包:
exclude:both:tcpudp:6881 - 仅显示 Firefox 浏览器占用端口:
include:process:firefox.exe
2.4.2 自定义列显示
支持自定义数据列,实现目标信息的定向展示。
2.4.3 排序
支持按指定字段对端口列表进行排序。
2.5 命令行参考
查询 8680 端口对应 PID(进程 ID):
netstat -ano|findstr -l ":8680"
3 适用场景
- 网络安全监测:识别可疑连接,阻断恶意程序通信。
- 端口冲突排查:定位占用指定端口的应用程序。
- 系统资源优化:关闭冗余网络连接,降低系统负载。
- 开发调试:监控应用程序网络行为,分析通信流程。
Windows 端口排查:CurrPorts 与 TCPView 对比分析
February 15, 2026
1 背景
Windows 系统中,TCPView 为常用端口监测工具,由微软 Sysinternals 套件提供。该工具在部分场景下无法完整枚举监听端口,尤其在集成环境(如 phpStudy Pro)启动的服务进程中存在信息缺失。CurrPorts 可实现更完整的端口枚举,具备更高的实用性与可靠性。
2 问题复现
通过 PowerShell 检测 8080 端口监听状态:
powershell
Get-NetTCPConnection -State Listen | Where-Object LocalPort -eq 8080 | Select LocalPort, OwningProcess, @{Name="ProcessName";Expression={(Get-Process -Id $_.OwningProcess).ProcessName}}输出结果表明 8080 端口由 nginx.exe 占用,而 TCPView 界面无对应条目。该现象源于进程启动方式、IPv6 绑定、权限隔离等机制对用户态工具的限制。
3 主流工具性能对比
| 工具名称 | 图形界面 | 实时刷新 | 进程终止 | 下载需求 | 监听端口可见性 | 对 phpStudy Nginx 8080 表现 | 底层机制 |
|---|---|---|---|---|---|---|---|
| PowerShell/netstat | 否 | 否 | 否 | 否 | ★★★★★ | 可完整识别 | 内核层直接读取 |
| 资源监视器(resmon) | 是 | 半实时 | 间接 | 否 | ★★★★★ | 稳定可靠 | 内核层数据读取 |
| CurrPorts | 是 | 是 | 批量支持 | 是 | ★★★★★ | 完整显示 | 多源交叉验证与全量枚举 |
| LiveTcpUdpWatch | 是 | 是 | 否 | 是 | ★★★★☆ | 表现良好 | 动态捕获验证 |
| TCPView | 是 | 是 | 是 | 是 | ★★★☆☆ | 频繁遗漏 | 用户态 API 调用 |
| System Informer | 是 | 是 | 是 | 是 | ★★☆☆☆ | 无法识别监听端口 | 进程管理强,网络模块受限 |
4 CurrPorts 特性
- 端口覆盖范围完整,支持 IPv6 端口显示。
- 支持多维度筛选与搜索,提升排查效率。
- 支持单条/批量关闭连接与终止进程。
- 免安装,以管理员权限运行可获取完整端口信息。
5 标准排查流程(以 8080 端口为例)
- 以管理员权限运行 CurrPorts。
- 对 Local Port 列排序或使用 Ctrl+F 检索 8080。
- 定位 nginx.exe 对应条目并查看进程路径。
- 执行 Kill Processes of Selected Ports 终止进程。
- 刷新列表或通过命令行验证端口释放。
- 在集成环境管理界面停止对应服务以避免重复占用。
6 结论
CurrPorts 在 Windows 端口监听与排查场景中具备更高的完整性与稳定性,可弥补 TCPView 在特殊场景下的信息缺失问题。
该工具适用于开发、运维、网络安全等场景,建议纳入标准工具集。
极端场景下可配合 Wireshark 完成深度嗅探与验证。
CurrPorts
CurrPorts 显示您本地计算机上所有当前打开的 TCP/IP 和 UDP 端口的列表。
对于列表中的每个端口,还会显示打开该端口的进程的信息。该信息包括进程名称、进程的完整路径、进程的版本信息(产品名称、文件描述等)、进程创建的时间以及创建该进程的用户。
此外,它允许您关闭不需要的 TCP 连接,终止打开端口的进程,并将 TCP/UDP 端口信息保存为 HTML 文件、XML 文件或制表符分隔的文本文件。
CurrPorts 还会自动将由未识别的应用程序拥有的可疑 TCP/UDP 端口标记为粉红色。
LiveTcpUdpWatch
LiveTcpUdpWatch 允许您实时获取系统上的 TCP 和 UDP 活动。
这款便携式工具的使用体验与其他 Nirsoft 应用程序(如 CurrPorts 和 NetTrafficView)相似,操作方式也大致相同,但它采用了不同的技术来收集所呈现的详细信息。例如,LiveTcpUdpWatch 使用事件跟踪 API 从 Windows 内核中提取实时信息,以获取您系统上每个发送/接收的 TCP/UDP 数据包。与 CurrPorts 不同,LiveTcpUdpWatch 在不使用网络嗅探器的情况下捕获所有 UDP 活动及其进程信息。
您将获得 TCP/UDP/IPv4/IPv6 协议、本地/远程 IP 地址/端口、发送/接收的字节和数据包的总数、连接/断开连接的时间(仅适用于 TCP),以及负责此活动的进程(ID 和路径)。所有详细信息都通过清晰且易于导航的 Nirsoft 界面展示,使其适用于所有类型的用户。
NetworkTrafficView
NetworkTrafficView 是一款小巧且易于使用的网络监控工具,能够捕获通过您的网络适配器的数据包。
该程序还显示有关网络流量的一般统计信息。
数据包统计信息按以太网类型、IP 协议、源/目标地址以及源/目标端口进行分组。
对于每一条统计信息,NetworkTrafficView 显示以下信息:
以太网类型(IPv4、IPv6、ARP)
IP 协议(TCP、UDP、ICMP)
源地址
目标地址
源端口
目标端口
服务名称(如 http、ftp 等)
数据包数量
数据包总大小
数据总大小
数据速度
最大数据速度
平均数据包大小
首个/最后一个数据包时间
持续时间
进程 ID/名称(仅适用于 TCP 连接)
CurrPorts vs. NetworkTrafficView vs. LiveTcpUdpWatch
它们非常相似,但每个工具的行为不同,并使用不同的技术来提取网络信息。
CurrPorts 显示当前活动的 TCP 连接表以及 TCP/UDP 监听端口。但这种技术有一些缺点,例如,如果 UDP 数据包从您的计算机发送到远程网络地址,您将无法通过 CurrPorts 查看,因为 UDP 并没有真正的连接,而 UDP 表仅包含监听的 UDP 端口。CurrPorts 的优点是可以在不提升权限的情况下使用(以管理员身份运行)。
NetworkTrafficView 使用网络嗅探技术------它分析每个通过您的网络适配器发送/接收的数据包,并根据您选择的显示模式提供详细的摘要。该工具的缺点是:您必须选择一个网络适配器和捕获方法才能激活网络嗅探器。
LiveTcpUdpWatch 使用事件跟踪 API 从 Windows 内核获取实时信息,关于您系统上每个发送/接收的 TCP/UDP 数据包。与 CurrPorts 相比,它捕获所有 UDP 活动及其进程信息,但无需使用网络嗅探器。
ResourceLink
- CurrPorts: Monitoring TCP/IP network connections on Windows
https://www.nirsoft.net/utils/cports.html
LiveTcpUdpWatch - View TCP/UDP network activity of every application on Windows
https://www.nirsoft.net/utils/live_tcp_udp_watch.html - NetworkTrafficView - Monitor the traffic on your network adapter
https://www.nirsoft.net/utils/network_traffic_view.html - TCPView for Windows - Sysinternals | Microsoft Learn
https://learn.microsoft.com/en-us/sysinternals/downloads/tcpview
reference
- CurrPorts(网络监控工具)-CSDN博客
https://blog.csdn.net/mywlbc/article/details/147521719 - Windows 端口排查神器:为什么 CurrPorts 比 TCPView 更可靠? - 互联技术
https://www.800188.com/index.php?option=com_content&view=article&id=4844&lang=en