Доброго времени суток, дорогие читатели, почитатели и всяческие прочие личности.
В рамках анализа безопасности компьютера, меня частенько спрашивают, мол, а как узнать какие программы сейчас пользуются интернетом, какие нет, что вообще занимает драгоценный канал загрузки/раздачи, через какие порты и на какие IP идет соединение и тд и тп.
В общем-то это стремление разумно и понятно, особенно, когда случаются какие-либо проблемы с скоростью, не понятно куда утекает трафик или что вообще происходит с соединением на компьютере в общем и целом.
Сегодня речь пойдет как раз об этом.
Давайте приступим.
Анализируем сетевой и интернет трафик с TCPView и netstat
Первый и самой простой способ узнать происходящее, - это воспользоваться встроенной в Windows утилитой, которая зовется не иначе как netstat.
Чтобы воспользоваться ей, потребуется попасть в консоль, которая живет по пути "Пуск - Выполнить - cmd.exe" (или "Win + R" на клавиатуре):
консоль Windows - пуск - выполнить
В появившейся консоли достаточно ввести команду netstat, чтобы увидеть список установленных, ожидающих и иных соединений, их адреса и порты:
netstat - вывод сетевой активности
Это не совсем то, что нам нужно, ибо мы, в рамках этой статьи, хотели бы увидеть какая из программ, собственно, эти соединения устанавливает и использует, поэтому хорошо бы использовать эту команду с параметром -b, т.е вот так:
netstat -b
Вывод получится уже более наглядным, с указанием процесса и прочего:
вывод команды с параметром netstat -b
Собственно, netstat имеет еще много интересных параметров, которые Вы можете узнать, введя команду netstat -h (кликабельно):
netstat -h все параметры команды
Комбинируя эти параметры можно достигнуть множества интересных и подробных результатов, которые подойдут для диагностики опытными администраторами..
сводка о сетевой активности
..но, как Вы понимаете, этот вариант, тем более для простого пользователя, всё же не самый наглядный, удобный и прочее.
Поэтому мы с Вами, в качестве второго решения, мы расскажем о такой программе как TCPView. Скачать программу можно, например, по этой ссылке.
Установка не требуется, - просто распакуйте архив чем-нибудь вроде 7-zip и запустите TCPView.exe. Программа полностью бесплатна, а поддержка русского языка, думаю, не требуется, - всё и так интуитивно понятно. Впрочем, мы расскажем, что в ней к чему.
TCPView - установка и запуск программы
Занимается она, как Вы уже, думаю, поняли, как раз тем, что выводит список всех программ соединенных в данный момент с чем-либо в сети и интернете, показывает удаленные и локальные порты, адреса, состояние соединения прочее.
Выглядит оное примерно вот так (кликабельно):
TCPView - мониторинг сетевой активности, главное окно программы
Где столбцы означают следующее:
- Process, - это, соответственно, программа (процесс), который использует соединение;
- PID, - идентификатор процесса;
- Protocol, - протокол, который используется программой (процессом);
- Local adress, - локальный адрес, задействованные процессом непосредственно на данном компьютере;
- Local port, - тоже самое, что и Local adress, но только порт;
- Remote adress, - удаленный адрес, т.е. с чем (каким адресом\хостом) соединен процесс (программа) в интернете;
- Remote port, - тоже самое, что и Remote adress, но только порт;
- State, - состояние соединения;
- Sent Packets, - отправленное количество пакетов;
- Sent Bytes, - отправленное количество байт;
- Rcvd Packets, - полученное количество пакетов;
- Rcvd Bytes, - полученное количество байт.
Нажав правой кнопкой мышки на любую из строчек можно завершить процесс (Close Proccess) или завершить соединение (Close Connection):
TCPView - закрытие сетевого соединения
Так же можно вызвать свойства процесса дабы выяснить где он обитает в системе (Process Properties) или завершить его (End Process):
TCPView - информация о сетевом соединении
Нажав Ctrl + R можно так же преобразовать названия адресов в их ip-адреса (например, на скриншоте, локальный хост desktop-lt5f3ve при нажатии Ctrl+R преобразуется в локальный адрес 192.168.31.2):
Тоже самое произойдет с адресами доменов с которыми установлено соединение (что удобно, наглядно и полезно), проколов (например https превратится 443) и прочие разности.
TCPView - процесс открытия или закрытия соединений
Так же периодически Вы будете наблюдать выделение строк красным или, скажем, зеленым. Это означает открытие или закрытие соответствующего соединения.
TCPView - скорость обновления списка сетевой активности
Настроек не так много: есть сохранение текущего списка, изменение шрифтов, скорости обновления и всякие прочие мелочи.
На этом, собственно, всё.
Перейдем к послесловию.
Послесловие
Подобный инструмент полезно всегда держать под рукой, ибо никогда не знаешь когда он будет нужен и для каких целей (а их можно придумать достаточно).
Впрочем, при хорошо настроенном фаерволе ничего лишнего в этом списке быть не должно и всё должно работать, что называется, как часы.
Если есть какие-то вопросы, мысли, дополнения и всё такое прочее, то добро пожаловать в комментарии к этой записи.
Блин, давно хотел такую программу. Но вот беда - ОЧЕНЬ часто вылетает с ошибкой. Это как-то лечится?
Я не телепат, к сожалению :-)
С какой ошибкой, какая ОС? ;-)
Вий SP 3 x86. Текст ошибки такой: Ошибка приложения tcpview.exe, версия 2.54.0.0, модуль ntdll.dll, версия 5.1.2600.5512, адрес 0x000118e9.
Можно попробовать Comodo Firewall, у него такие же функций и он автоматический блокироет интернет для программ(если правильна настроить,а то без инета останешся)
Вопрос не по теме,но достало.У меня процессы дублируются(crss.exe 2 штука, svchost.exe 14 штук) и жрет лишний памяты..Как быть?
Windows 7 x32 Ultimate
Ставить фаерволл для мониторинга за программами как-то не гумманно, особенно, если уже стоит другой или нельзя перезагружать машину.
Что до вопроса, - это не проблема, - это нормально. crss.exe может быть и 10 :-) Ровно как и количество svchost.exe может привышать указанное значение.
А можете объяснить как можно контролировать всё свои подключения ( а то бывает включишь торрент, он разгонится и всё остальное тормозит)
И что это всё за проццесы такие
Их так много, что разобраться сложно.
Какие именно процессы Вас беспокоят? [System Process]:0 ?
отлично, опробуем прогу...
Ставил Zone Аlarm на vist'у ultimate x64, подгружала прога систему и при закрузке комп показывал черный экран, минут 5-10 (как буд-то не догружает систему, такое бывало из-за обновлений windows), но потом система загружалась полностью. Причем не знал что причиной тому ZA пока не удалил ее.
Далее, использовал фаерволл в связке с aps, видать зря, (ведь у меня стоит еще роутер asus wl-520GU), так как у меня aps орал на 80 порт и локальный ip мол "атака хакера", спустя какое-то время ZA начал блокировать адреса, причем подошел к этому вопросу серьезно, т.е. начал блокировать адреса роутера, в следствии чего произошло разъединение с инетом и последующее невозможное подключение. Не разобрался как разблокировать в этой проге адреса, пробовал добавлять их в "доверенную зону", но они все-равно не разблокировались. В итоге оказалось что меня робот провайдера заблокировал из-за скачка траффика.... кароче, видать роутер + ZA + aps = перебор, или это просто с Vist'ой так... попробую позже outpost. Пока пользуюсь пробным фаерволлом eset, прикольный, много ф-ций, показывает подробно какое приложение куда лезет (хотя это может умеют все фаерволлы, не в курсе, в основном пользовался брэндмауэром), но некоторые программы отказывается работать, т.к. бывает мало обучить фаерволл разрешать доступ определенной проге в инет, например ТВ прога корбины все-равно не работала после разрешения ей доступа в инет, как оказалось надо было знать диапазон ip адрессов по которым работает прога и добавить этот диапазон в "доверенную зону"... так же и с похожими прогами....
ИЗВИНЯЮСЬ за комментарий непохожий на комментарий.....
У меня такая же почти связка (ZA + apc) через роутер работает на ура. Правда, на вин7
Связка отличная и работает как часы :)
Правда коммент выше за 2010-ый год :)
Ну елки-иголки)))
Обнаружил., что это связано с uTorrent - когда он не работает все нормально. Может, он открывает слишком много соединений (или слишком часто), и потому программа вылетает (кстати, только оконная версия - консольная и так и так работает).
Скорее всего, так и есть. Просто отключайте utorrent, проводите мониторинг, потом запускайте снова.
Андрей, объясните пожалуйста для чайника)
Я открыла данную программу, минуты через две, несколько системных процессов по очереди стали выделяться красным и закрываться.
Что бы это значило?) В поле remote adress напротив этих процессов значились какие-то подозрительные адреса (к сожалению не запомнила). Или это нормально?
Это нормально :)
цитирую microsoft: По умолчанию программа TCPView обновляет информацию один раз в секунду, но период обновления можно изменить с помощью пункта Refresh Rate (Период обновления) в меню Options (Параметры). Если в период между обновлениями состояние конечной точки изменилось, она выделяется желтым цветом, если конечная точка удалена — красным цветом, новые конечные точки отображаются зеленым цветом.
Не могу скачать программу по вышеуказанной ссылке:
This XML file does not appear to have any style information associated with it. The document tree is shown below.
OutOfRangeInputOne of the request inputs is out of range. RequestId:3fce483c-1e76-4016-8885-aa262ec9fd0e Time:2012-12-31T13:34:17.9622572Z
Поправили, спасибо
ссылка на скачивание проги не работает...
Поправили
Как узнать IP собеседника, если это возможно ? Мне друг дал свой IP, мы говорим в скайпе, и среди процессов в Tcpview я его IP не вижу.
Неудивительно, учитывая, что связь не идет напрямую :)
Где показано какая программа к которому порту привязана?
В программе :)
Добрый день. Меня беспокоят пару процессов. Скажите, пожалуйста, что с ними делать:
1) процесс svchost.exe должен смотреть в интернет? Дело в том, что он уже два раза загружал процессор на 50%,после перезагрузки ноута всё становилось нормально. Аваст, Cureit утверждают, что вирусов нету.
2) процесс System смотрит на microsoft, но у меня отключено обновление Виндоус
3) И к тому же Ворд в инет смотрит!
Для наглядности скриншот сделала
https://prnt.sc/98ptqt
Получается, что на компе всё же есть какая-то гадость? И надо ставить AVZ на очччень долгую проверку (при быстрой и просто долгой ничего не находит)
Приветствую.
1. По скрину вроде нормально всё, всплески нагрузки правда странноваты, но надо смотреть;
2. Может смотреть не только на обновления, зависит от системы. В принципе, если охота, то можно в hosts закрыть простукивание туда;
3. Тоже может апдейты, может чего
Маловероятно, что-то сидит, но если есть сомнения, то не AVZ можно, а какой-нибудь liveCD/liveUSB, но не думаю, что-то найдет
Спасибо за ответ!
А если svchost.exe снова загрузит процессор на 50% я могу использовать команду "перезапустить" в AnVir Task Manager или всё таки лучше полная перезагрузка ноутбука?
Попробовать можно..
Добрый день. Снова вернулась к этой статье. Вы мне советовали закрыть в hosts простукивание. Скажите, пожалуйста, как это сделать? Например, процесс [System Process], а удаленный адрес
ec2-52-200-111-16.compute-1.amazonaws.com?
Я знаю как заблокировать в hosts сайт, чтобы в браузере не открывался, а как в данной ситуации поступить:
127.0.0.1 ec2-52-200-111-16.compute-1.amazonaws.com или
127.0.0.1 amazonaws.com?
Немного обновили и дополнили статью, заодно вытащили на главную, по некоторым просьбам
Спасибо за Ваш труд!!! А Вы не рассматривали в этом контексте "System Explorer" - очень многофункциональная программа (к тому же free)?
Не рассматривали, но судя по скриншотам он немного не о том. Если уж смотреть мультифункционал, то можно глянуть на Process Explorer или Anvir.
Пользователям ESS Nod32 чтобы контролировать соединения:
Дополнительные настройки/Сеть/Персональный файервол/Режим фильтрации/ Интерактивный режим
Спасибо за дополнение :)
спасибо за статью))
Пожалуйста :)
Добрый день, хоть уже и год комментариев новых не появлялось, но попробую спросить.
Всегда успешно использовал TCPView для отслеживания процессов, закачивающих не пойми что и последующей блокировки ip соединений на роутере. И все шло прекрасно, пока в один прекрасный момент TCPView не дал мне бой и не прекратил отображать объёмы загрузки. Столбцы Sent Packets, Sent Bytes, Rcvd Packets, Rcvd Bytes абсолютно пустые, из-за чего не могу установить использования трафика подключениями. Есть способ исправить программу и почему могла возникнуть такая проблема?
Приветствую.
Посмотрите в свойствах подключения, не отключено ли всё вообще, может в этом дело.
И что за система у Вас?