Tech TIPS：TCP/IP通信の状態を調べる「netstat」コマンドを使いこなす (1/2)

TCP/IP関連のトラブルシューティングでは定番といえるWindows OS標準の「netstat」コマンド。主にTCPの通信状態を調査するコマンドであり、通信の状態や通信相手、通信しているプロセス、通信量などの情報を知ることができる。その使い方を解説する。

　TCP/IP関連のトラブルシューティングを行う場合に、必ずといってよいほど使うコマンドとして「netstat」コマンドがある（実行ファイル名はnetstat.exe）。このコマンドは、主にTCPの通信状態を調べるためには必須であり、ぜひともその使い方をマスターしておきたい。

netstatの基本――通信中のTCPコネクションの調査

　netstatコマンドの最も基本的な使い方は、通信中のTCPコネクション（TCP接続）の状態を表示させることである。このコマンドを実行すると、ローカルPCのTCP/IPプロトコルスタック上において、現在アクティブになっているTCP通信の状態を表示できる。

　TCPとは、2つのアプリケーション間で、信頼性のある通信路（コネクション）を開設し、お互いにデータなどをやりとりするための機能である。通信するアプリケーションは、同一PC上のアプリケーション同士でもよいし、異なるPC（ホスト）上にある2つのアプリケーション間でもよい。

　例えばWebブラウザを使ってWebサーバにアクセスする場合、実際にはHTTP（Hypertext Transfer Protocol）というプロトコルが利用される。WebサーバのHTTPポート（TCPの80番ポート）とWebブラウザの間でTCPコネクションが開設され（クライアント側のポート番号は任意）、Webサーバへコマンドを送ったり、Webサーバからの応答メッセージを受信したりする。

TCPの通信モデル
TCPは、2つのコンピュータ間（アプリケーション間）で通信路（コネクション）を開設し、お互いにデータをやりとりするための機能である。例えばWebサーバへ接続する場合、TCPを使ってWebサーバ（の80番ポート）とWebブラウザの間で通信路を作成する。TCPでは、それぞれのポート番号とIPアドレスの組み合わせでコネクションを識別する。

　現在どのようなTCP通信が行われているかは、netstatコマンドを使うと表示させることができる。まずは何もオプション引数を付けずにnetstatコマンドを実行してみる（以下、全てWindows 10上で実行）。

引数なしでnetstatコマンドを実行する
netstatコマンドに引数を付けずに実行すると、現在アクティブなTCPコネクションの一覧が表示される。

　何もオプション引数を付けずにnetstatを実行すると、現在アクティブなTCPコネクションの状態が表示される（後述する「状態」が「LISTENING」ではないコネクションが表示される）。

　「プロトコル」欄は使用中のネットワークプロトコルの種類であり、次項で述べる「-a」オプションを付けていない場合は、常に「TCP」と表示されているはずである。UDPにはコネクションを確立するという概念がないので（UDPではデータを単発的に送るだけなので）、このコマンドではUDPの通信状態は表示されない。

　「ローカル アドレス」欄は、ローカル側のコンピュータ名（もしくはIPアドレス）と使用中のTCPのポート番号である。「外部アドレス」欄は、通信の相手となっているマシンのコンピュータ名（もしくはIPアドレス）とポート番号である。1つのマシンには複数のIPアドレスを付けることができるし、ローカルのループバックアドレス（IPv4なら「127.0.0.1」、IPv6なら「[::1]」など）が使われていることもあるので、「ローカル アドレス」に表示されるIPアドレスは固定的ではない。また同じマシン同士でもコネクションを確立できるので、「外部アドレス」が自分のIPアドレスの場合もある。

　「:」記号の左側に表示されているのが「コンピュータ名」（もしくは「IPアドレス」）で、右側に表示されているのが「ポート」（サービス名か番号）である。例えば「MYPC001:16664」は「MYPC001」というPCの「16664」番のポートを表している。また「a110-232-152-80:http」は、「a110-232-152-80」というコンピュータの「http」というサービスのポート（80番）を表している。

　TCPのコネクションは、「ローカルのIPアドレス／ローカルのポート番号／リモートのIPアドレス／リモートのポート番号」という4つの組み合わせで識別される。どれか1つでも値が異なれば別のコネクションとして扱われるので、例えばWebサーバとの通信を行っていると、同じような値のコネクションが複数表示されることがある。Webブラウザは、高速化のために複数のTCPコネクションを使うのが一般的だからだ。だがよく見ると、ローカル側（左側）のポート番号が違っているはずである。

●TCPの状態遷移

　netstatコマンドの「状態」欄は、その名の通りTCPコネクションの「状態」を表すものだ。TCPはステート（状態）を持つプロトコルであり、コネクションの開始や終了、通信方法などに関して細かい手順が決められている。サーバとクライアントのどちらの側から先に通信を開始するのか、データの送受信はどうするのか、終了する場合はどうするのか、などが厳密に決まっている。

　また通信速度は有限なので、送信したコマンドが相手側へ届くまでにはタイムラグがある。ローカル側から先に終了コマンドを送ったとしても、それが相手側に届く前に、相手側から先に終了要求が到着することがある。そのような状況でも、破綻のないように処理手順が決められている。

　次にTCPの状態遷移図を示しておく。TCPの詳細については解説「TCP（Transmission Control Protocol）」を参照していただきたい。この図中の白い四角の中にある中に書いてある「SYN_SENT」や「ESTABLISHED」がnetstatコマンドで表示されている「状態」になっている。

TCPの状態遷移図
TCPの規格書（RFC793）に記載の状態遷移図を簡略化して、分かりやすくしたものだ。四角の中に書かれているのがTCPの状態名。矢印は可能な遷移の経路。矢印のそばにある文字は「トリガ（アクション）」を表しており、ある「トリガ」となるイベントが発生すると指定された「アクション」を実行して、次の状態へ遷移する。TCPの主なステートは次の通りである。
パッシブオープン：TCPの接続要求を受け付ける側。いわゆるサーバ側は、このLISTEN状態でクライアントからの接続を待ち受けしている。例：Webサーバなど。
アクティブオープン：TCPの接続要求を送信する側。LISTEN状態のTCPのポートに対して、接続を試みる側。例：Webブラウザなど。
通信確立：TCPの接続が確立して、通信中の状態。双方からデータを送信可能な状態（通信路がアクティブな状態）。
アクティブクローズ：先に終了要求を送信する側。
パッシブクローズ：相手から終了要求を受け取って、自分自身も終了処理を実行する状態。

　それぞれの状態の意味は次の通りである。これを調べることにより、コネクションの状態がどうなっているか、開始しようとしているのか、待ち受け中なのか、終了しようとしているのか、などが分かる。

IPアドレスやポート番号を数値で表示させる-nオプション

　先の例では、IPアドレスやTCP／UDPポート番号が文字列で表示されていたが、「-n」オプションを付けると、IPアドレスやポート番号が全て数値で表示されるようになる。

netstat -nで数値表示させる
「netstat -n」コマンドを実行すると、ポート番号やPC名（ホスト名）などが文字列ではなく、数値のみで表示される。IPアドレスから名前を求める名前解決処理を行わないので、結果が素早く表示される。ただしIPアドレスがそのまま表示されるので、通信相手などが分かりづらい。通常は-nオプション付きで素早く実行させ、必要に応じて-nオプションなしで利用するとよいだろう。

　TCP/IPのプロトコルでは、IPアドレスやポート番号は全てこのように数値で表現するのが基本である。しかしこれでは人間にとって非常に分かりづらいので、文字列を使って代用することもできるようになっている。このためのメカニズムとしては、IPアドレスならDNSやhostsファイルによる「FQDN名／ホスト名←→IPアドレス」の相互変換システムがあるし（これを「名前解決」という）、ポート番号ならservicesファイルによる「サービス名←→ポート番号」の相互変換機能がある。hostsファイルやservicesファイルは、Windows OSでは%windir%\system32\drivers\etcフォルダに置かれている。

　netstatに-nオプションを付けないと、これらの変換機構を使って、なるべくIPアドレスやポート番号を具体的なホスト名やサービス名に変換して出力するので、人間にとっては分かりやすい（変換できないものについては、そのまま数値で出力される）。しかし1台のホストに複数のIPアドレスが付けられていたり、サービス名だけでははっきりとは分からなかったりする場合は、-nオプションを使って実際の数値で確認する必要がある。

　また-nを付けて実行すると、DNSサーバなどに対する問い合わせが行われないので、結果がすぐに表示されるという利点もある。Webブラウザでインターネット上のサイトを閲覧しているような場合には、外部IPアドレスがインターネット上のホストになる。この場合は、外部のDNSサーバに対してDNSの逆引き（IPアドレスからFQDN／ホスト名への変換）を実行するので、かなり待たされるし、さらにコネクションごとに逆引き操作が必要になるので、通信の状態を素早く調べたい場合には-nオプションを付けて逆引きを抑制した方がよい。

　どうしても具体的なホスト名が必要ならば、別途「nslookup」コマンドなどで調べるか（TIPS「nslookupの基本的な使い方」参照）、最後に1回だけ-nなしでnetstatを実行すればよいだろう。

-fオプションでホスト名をFQDNで表示させる

　「-f」オプションを付けると、リモート（外部アドレス）のコンピュータ名がFQDNで表示されるようになる。例えば「a1234.sys.example.jp」というFQDN名を持つコンピュータと通信している場合、-fオプションがないと単にa1234としか表示されないが、-fを付けると完全なDNS名で表示される。表示が長くなって見づらくなるが、どのコンピュータと通信しているかが分かりやすくなる。