Какие процессы смотрят в интернет или TCPView как элемент сетевой безопасности
# опубликовано [17.07.2010] в рубриках: [
Интернет защита и сетевая безопасность]
Доброго времени суток, дорогие читатели.
Меня частенько спрашивают, мол, а как узнать какие программы сейчас пользуются интернетом, какие нет, что вообще занимает канал, через какие порты и тд и тп.
Ведь это важный элемент сетевой безопасности, да и просто неплохой инструмент для оптимизации интернет-соединения и экономии трафика.
Сегодня речь пойдет как раз об этом.
Анализируем трафик с TCPView.
Можно конечно воспользоваться старым добрым netstat, но консольный вывод не очень нагляден для просто пользователя, плюс имеет ограниченный функционал в плане прямого взаимодействия с выведенными процессами. Поэтому мы с Вами воспользуемся такой программой как TCPView. Занимается она, как Вы уже, думаю, поняли, как раз тем, что выводит список всех программ соединенных в данный момент с чем-либо в сети. Выглядит оное так:
Где:
- process – это, соответственно, процесс
- protocol, – тип протокола
- local adress, – локальный адрес и номер порта, т.е. задействованные процессом непосредственно на данном компьютере
- remote adress – удаленный адрес, т.е. с чем (каким адресом\хостом) соединен процесс в интернете
- state – состояние соединения
Нажав правой кнопкой мышки на любую из строчек можно завершить процесс (Close Proccess) или завершить соединение (Close Connection). Так же можно вызвать свойства процесса дабы выяснить где он обитает в системе (Process Properties). Нажав Ctrl + R можно так же преобразовать названия адресов в их ip-адреса (например, на скриншоте, локальный хост sonikelfpc при нажатии Ctrl+R преобразуется в локальный адрес 192.168.1.2).
Скачать программу можно, например, по этой ссылке.
Установка не требуется, – просто распакуйте архив и запустите Tcpview.exe. Программа полностью бесплатна, а поддержка русского языка, думаю, не требуется, – всё и так интуитивно понятно. Да и не много там всего.
На этом, собственно, всё.
Послесловие.
Вот такие вот дела. Оный инструмент рекомендую всегда держать под рукой, – никогда не знаешь когда он будет нужен.
Впрочем, при хорошо настроенном фаерволе Вы и так должны знать что у Вас к чему и куда смотрит 
Если есть какие-то вопросы, то, как и всегда, буду рад ответить на них в комментариях или с помощью формы обратной связи.
Возможно, это может Вам пригодится: сайт promo.ingate.ru предлагает Вам
продвижение сайтов качественно, эффективно и быстро!
Пригодилось? Расскажи друзьям:
# статья редактировалась [21.03.2012], # автор:
Sonikelf
Блин, давно хотел такую программу. Но вот беда – ОЧЕНЬ часто вылетает с ошибкой. Это как-то лечится?
Я не телепат, к сожалению
С какой ошибкой, какая ОС?
Вий SP 3 x86. Текст ошибки такой: Ошибка приложения tcpview.exe, версия 2.54.0.0, модуль ntdll.dll, версия 5.1.2600.5512, адрес 0×000118e9.
Можно попробовать Comodo Firewall, у него такие же функций и он автоматический блокироет интернет для программ(если правильна настроить,а то без инета останешся)
Вопрос не по теме,но достало.У меня процессы дублируются(crss.exe 2 штука, svchost.exe 14 штук) и жрет лишний памяты..Как быть?
Windows 7 x32 Ultimate
Ставить фаерволл для мониторинга за программами как-то не гумманно, особенно, если уже стоит другой или нельзя перезагружать машину.
Что до вопроса, – это не проблема, – это нормально. crss.exe может быть и 10
Ровно как и количество svchost.exe может привышать указанное значение.
А можете объяснить как можно контролировать всё свои подключения ( а то бывает включишь торрент, он разгонится и всё остальное тормозит)
И что это всё за проццесы такие
http://narod.ru/disk/22859046000/123.txt.html
Их так много, что разобраться сложно.
Какие именно процессы Вас беспокоят? [System Process]:0 ?
отлично, опробуем прогу…
Ставил Zone Аlarm на vist’у ultimate x64, подгружала прога систему и при закрузке комп показывал черный экран, минут 5-10 (как буд-то не догружает систему, такое бывало из-за обновлений windows), но потом система загружалась полностью. Причем не знал что причиной тому ZA пока не удалил ее.
Далее, использовал фаерволл в связке с aps, видать зря, (ведь у меня стоит еще роутер asus wl-520GU), так как у меня aps орал на 80 порт и локальный ip мол “атака хакера”, спустя какое-то время ZA начал блокировать адреса, причем подошел к этому вопросу серьезно, т.е. начал блокировать адреса роутера, в следствии чего произошло разъединение с инетом и последующее невозможное подключение. Не разобрался как разблокировать в этой проге адреса, пробовал добавлять их в “доверенную зону”, но они все-равно не разблокировались. В итоге оказалось что меня робот провайдера заблокировал из-за скачка траффика…. кароче, видать роутер + ZA + aps = перебор, или это просто с Vist’ой так… попробую позже outpost. Пока пользуюсь пробным фаерволлом eset, прикольный, много ф-ций, показывает подробно какое приложение куда лезет (хотя это может умеют все фаерволлы, не в курсе, в основном пользовался брэндмауэром), но некоторые программы отказывается работать, т.к. бывает мало обучить фаерволл разрешать доступ определенной проге в инет, например ТВ прога корбины все-равно не работала после разрешения ей доступа в инет, как оказалось надо было знать диапазон ip адрессов по которым работает прога и добавить этот диапазон в “доверенную зону”… так же и с похожими прогами….
ИЗВИНЯЮСЬ за комментарий непохожий на комментарий…..
Обнаружил., что это связано с uTorrent – когда он не работает все нормально. Может, он открывает слишком много соединений (или слишком часто), и потому программа вылетает (кстати, только оконная версия – консольная и так и так работает).
Скорее всего, так и есть. Просто отключайте utorrent, проводите мониторинг, потом запускайте снова.
Андрей, объясните пожалуйста для чайника)
Я открыла данную программу, минуты через две, несколько системных процессов по очереди стали выделяться красным и закрываться.
Что бы это значило?) В поле remote adress напротив этих процессов значились какие-то подозрительные адреса (к сожалению не запомнила). Или это нормально?
цитирую microsoft: По умолчанию программа TCPView обновляет информацию один раз в секунду, но период обновления можно изменить с помощью пункта Refresh Rate (Период обновления) в меню Options (Параметры). Если в период между обновлениями состояние конечной точки изменилось, она выделяется желтым цветом, если конечная точка удалена — красным цветом, новые конечные точки отображаются зеленым цветом.