Моніторинг мережі з використання утиліти tcpview і netstat

Команда netstat для аналізу мережевої активності

Цей спосіб без використання будь-яких програм, нам лише знадобиться командний рядок. У Windows є спеціальна утиліта netstat, яка займається аналізом мереж, давайте використовувати її.

Бажано, щоб командний рядок була запущена від імені адміністратора. У Windows 10 можна натиснути на меню Пуск правою кнопкою миші і вибрати відповідний пункт.

Відео: Як дізнатися яка програма використовує який TCP / UDP порт ПК

У командному рядку вводимо команду netstat і бачимо багато цікавої інформації:

Ми бачимо з`єднання, в тому числі, їх порти, адреси, з`єднання активні і що очікуються. Це звичайно круто, але нам цього мало. Нам би дізнатися, яка програма використовує мережу, для цього разом з командної netstat можна використовувати параметр -b, тоді команда буде виглядати так:

Тепер в квадратних дужках буде видна утиліта, яка користується інтернетом.

Це не єдиний параметр в цій команді, для відображення повного списку введіть команду netstat -h.

Далі можна просто використовувати кілька команд для отримання необхідної інформації.

Але, як показує практика, багато утиліти командного рядка не дають тієї інформації, якої хотілося б бачити, та й не так це зручно. В якості альтернативи ми будемо використовувати додаткове програмне забезпечення - TCPView.

Моніторинг мережевої активності за допомогою TCPView

Завантажити програму можна звідси. Її навіть не потрібно встановлювати ви просто її розпаковуєте і запускаєте утиліту. Також вона безкоштовна, але не підтримує російську мову, але цього особливо і не потрібно, з цієї статті ви зрозумієте, як нею користуватися.

Відео: How to Use NETSTAT & FPORT Command to detect spyware, malware & trojans by Britec

Отже, утиліта TCPView займається моніторингом мереж і показує у вигляді списку всі підключені до мережі програми, порти, адреси і з`єднання.

В принципі тут все гранично ясно, але деякі пункти програми я поясню:

• стовпець Process, ясна річ, показує назву програми або процесу.

Відео: zabbix перевірка порту tcp

• стовпець PID вказує на ідентифікатор підключеного до мережі процесу.

• стовпець Protocol вказує на протокол процесу.

• стовпець Local adress - локальний адресу процесу даного комп`ютера.
• стовпець Local port - локальний порт.

• стовпець Remote adress вказує на адресу, до якого підключена програма.

• стовпець State - вказує на стан з`єднання.

• Там, де вказано Sent Packets і Rcvd Packets вказує на відправлене та отримане кількість пакетів, те ж саме і зі стовпцями Bytes.

Ще за допомогою програми можна натиснути на процес правою кнопкою миші і завершити його, або подивитися, де він знаходиться.

Назви адреси, як показано на зображенні нижче можна перетворити в локальну адресу, для цього потрібно натиснути гарячі клавіші Ctrl + R.