Моніторинг мережі з використання утиліти tcpview і netstat
Дана стаття буде, в якійсь мірі, присвячена безпеці. У мене недавно виникла думка, а як перевірити, які додаток використовують інтернет з`єднання, куди може витікати трафік, через які адреси йде з`єднання і багато іншого. Є користувачі, які також задаються цим питанням.
Припустимо у вас є точка доступу, до якої підключені тільки ви, але ви помічаєте, що швидкість з`єднання якась низька, телефонуйте провайдеру, вони відзначають, що все нормально або щось подібне. А раптом до вашої мережі хтось підключений? Можна спробувати за допомогою методів з цієї статті дізнатися, які програми, які вимагають Інтернет-з`єднання він використовує. А взагалі, ви можете використовувати ці методи, як душа забажає.
Ну що, давайте аналізувати?
Команда netstat для аналізу мережевої активності
Цей спосіб без використання будь-яких програм, нам лише знадобиться командний рядок. У Windows є спеціальна утиліта netstat, яка займається аналізом мереж, давайте використовувати її.
Бажано, щоб командний рядок була запущена від імені адміністратора. У Windows 10 можна натиснути на меню Пуск правою кнопкою миші і вибрати відповідний пункт.
Відео: Як дізнатися яка програма використовує який TCP / UDP порт ПК
У командному рядку вводимо команду netstat і бачимо багато цікавої інформації:
Ми бачимо з`єднання, в тому числі, їх порти, адреси, з`єднання активні і що очікуються. Це звичайно круто, але нам цього мало. Нам би дізнатися, яка програма використовує мережу, для цього разом з командної netstat можна використовувати параметр -b, тоді команда буде виглядати так:
netstat -b
Тепер в квадратних дужках буде видна утиліта, яка користується інтернетом.
Це не єдиний параметр в цій команді, для відображення повного списку введіть командуnetstat -h.
Далі можна просто використовувати кілька команд для отримання необхідної інформації.
Але, як показує практика, багато утиліти командного рядка не дають тієї інформації, якої хотілося б бачити, та й не так це зручно. В якості альтернативи ми будемо використовувати додаткове програмне забезпечення - TCPView.
Моніторинг мережевої активності за допомогою TCPView
Завантажити програму можна звідси. Її навіть не потрібно встановлювати ви просто її розпаковуєте і запускаєте утиліту. Також вона безкоштовна, але не підтримує російську мову, але цього особливо і не потрібно, з цієї статті ви зрозумієте, як нею користуватися.
Відео: How to Use NETSTAT & FPORT Command to detect spyware, malware & trojans by Britec
Отже, утиліта TCPView займається моніторингом мереж і показує у вигляді списку всі підключені до мережі програми, порти, адреси і з`єднання.
В принципі тут все гранично ясно, але деякі пункти програми я поясню:
стовпець Process, ясна річ, показує назву програми або процесу.
Відео: zabbix перевірка порту tcp
стовпець PID вказує на ідентифікатор підключеного до мережі процесу.
стовпець Protocol вказує на протокол процесу.
стовпець Local adress - локальний адресу процесу даного комп`ютера.
стовпець Local port - локальний порт.
стовпець Remote adress вказує на адресу, до якого підключена програма.
стовпець State - вказує на стан з`єднання.
Там, де вказано Sent Packets і Rcvd Packets вказує на відправлене та отримане кількість пакетів, те ж саме і зі стовпцями Bytes.
Ще за допомогою програми можна натиснути на процес правою кнопкою миші і завершити його, або подивитися, де він знаходиться.
Назви адреси, як показано на зображенні нижче можна перетворити в локальну адресу, для цього потрібно натиснути гарячі клавіші Ctrl + R.