Как узнать какие программы соединены с интернетом — TCPView

Доброго времени суток, дорогие читатели, почитатели и всяческие прочие личности.

В рамках анализа безопасности компьютера, меня частенько спрашивают, мол, а как узнать какие программы сейчас пользуются интернетом, какие нет, что вообще занимает драгоценный канал загрузки/раздачи, через какие порты и на какие IP идет соединение и тд и тп.

network

В общем-то это стремление разумно и понятно, особенно, когда случаются какие-либо проблемы с скоростью, не понятно куда утекает трафик или что вообще происходит с соединением на компьютере в общем и целом.

Сегодня речь пойдет как раз об этом.
Давайте приступим.


Анализируем сетевой и интернет трафик с TCPView и netstat

Первый и самой простой способ узнать происходящее, - это воспользоваться встроенной в Windows утилитой, которая зовется не иначе как netstat.

Чтобы воспользоваться ей, потребуется попасть в консоль, которая живет по пути "Пуск - Выполнить - cmd.exe" (или "Win + R" на клавиатуре):

консоль Windows - пуск - выполнить

В появившейся консоли достаточно ввести команду netstat, чтобы увидеть список установленных, ожидающих и иных соединений, их адреса и порты:

netstat - вывод сетевой активности

Это не совсем то, что нам нужно, ибо мы, в рамках этой статьи, хотели бы увидеть какая из программ, собственно, эти соединения устанавливает и использует, поэтому хорошо бы использовать эту команду с параметром -b, т.е вот так:

netstat -b

Вывод получится уже более наглядным, с указанием процесса и прочего:

вывод команды с параметром netstat -b

Собственно, netstat имеет еще много интересных параметров, которые Вы можете узнать, введя команду netstat -h (кликабельно):

netstat -h все параметры команды

Комбинируя эти параметры можно достигнуть множества интересных и подробных результатов, которые подойдут для диагностики опытными администраторами..

сводка о сетевой активности

..но, как Вы понимаете, этот вариант, тем более для простого пользователя, всё же не самый наглядный, удобный и прочее.

Поэтому мы с Вами, в качестве второго решения, мы расскажем о такой программе как TCPView. Скачать программу можно, например, по этой ссылке.

Установка не требуется, - просто распакуйте архив чем-нибудь вроде 7-zip и запустите TCPView.exe. Программа полностью бесплатна, а поддержка русского языка, думаю, не требуется, - всё и так интуитивно понятно. Впрочем, мы расскажем, что в ней к чему.

TCPView - установка и запуск программы

Занимается она, как Вы уже, думаю, поняли, как раз тем, что выводит список всех программ соединенных в данный момент с чем-либо в сети и интернете, показывает удаленные и локальные порты, адреса, состояние соединения прочее.

Выглядит оное примерно вот так (кликабельно):

TCPView - мониторинг сетевой активности, главное окно программы

Где столбцы означают следующее:

  • Process, - это, соответственно, программа (процесс), который использует соединение;
  • PID, - идентификатор процесса;
  • Protocol, - протокол, который используется программой (процессом);
  • Local adress, - локальный адрес, задействованные процессом непосредственно на данном компьютере;
  • Local port, - тоже самое, что и Local adress, но только порт;
  • Remote adress, - удаленный адрес, т.е. с чем (каким адресом\хостом) соединен процесс (программа) в интернете;
  • Remote port, - тоже самое, что и Remote adress, но только порт;
  • State, - состояние соединения;
  • Sent Packets, - отправленное количество пакетов;
  • Sent Bytes, - отправленное количество байт;
  • Rcvd Packets, - полученное количество пакетов;
  • Rcvd Bytes, - полученное количество байт.

Нажав правой кнопкой мышки на любую из строчек можно завершить процесс (Close Proccess) или завершить соединение (Close Connection):

TCPView - закрытие сетевого соединения

Так же можно вызвать свойства процесса дабы выяснить где он обитает в системе (Process Properties) или завершить его (End Process):

TCPView - информация о сетевом соединении

Нажав Ctrl + R можно так же преобразовать названия адресов в их ip-адреса (например, на скриншоте, локальный хост desktop-lt5f3ve при нажатии Ctrl+R преобразуется в локальный адрес 192.168.31.2):


Тоже самое произойдет с адресами доменов с которыми установлено соединение (что удобно, наглядно и полезно), проколов (например https превратится 443) и прочие разности.

TCPView - процесс открытия или закрытия соединений

Так же периодически Вы будете наблюдать выделение строк красным или, скажем, зеленым. Это означает открытие или закрытие соответствующего соединения.

TCPView - скорость обновления списка сетевой активности

Настроек не так много: есть сохранение текущего списка, изменение шрифтов, скорости обновления и всякие прочие мелочи.

На этом, собственно, всё.
Перейдем к послесловию.

Послесловие

Подобный инструмент полезно всегда держать под рукой, ибо никогда не знаешь когда он будет нужен и для каких целей (а их можно придумать достаточно).

Впрочем, при хорошо настроенном фаерволе ничего лишнего в этом списке быть не должно и всё должно работать, что называется, как часы.

Если есть какие-то вопросы, мысли, дополнения и всё такое прочее, то добро пожаловать в комментарии к этой записи.

Sonikelf's Project's логотип Sonikelf's Project's логотип Космодамианская наб., 32-34 Россия, Москва (916) 174-8226
Moorindal

Блин, давно хотел такую программу. Но вот беда - ОЧЕНЬ часто вылетает с ошибкой. Это как-то лечится?

Sonikelf

Я не телепат, к сожалению :-)
С какой ошибкой, какая ОС? ;-)

Moorindal

Вий SP 3 x86. Текст ошибки такой: Ошибка приложения tcpview.exe, версия 2.54.0.0, модуль ntdll.dll, версия 5.1.2600.5512, адрес 0x000118e9.

Bakitzhan

Можно попробовать Comodo Firewall, у него такие же функций и он автоматический блокироет интернет для программ(если правильна настроить,а то без инета останешся)
Вопрос не по теме,но достало.У меня процессы дублируются(crss.exe 2 штука, svchost.exe 14 штук) и жрет лишний памяты..Как быть?
Windows 7 x32 Ultimate

Sonikelf

Ставить фаерволл для мониторинга за программами как-то не гумманно, особенно, если уже стоит другой или нельзя перезагружать машину.

Что до вопроса, - это не проблема, - это нормально. crss.exe может быть и 10 :-) Ровно как и количество svchost.exe может привышать указанное значение.

Driver

А можете объяснить как можно контролировать всё свои подключения ( а то бывает включишь торрент, он разгонится и всё остальное тормозит)
И что это всё за проццесы такие
Их так много, что разобраться сложно.

Евгений

отлично, опробуем прогу...
Ставил Zone Аlarm на vist'у ultimate x64, подгружала прога систему и при закрузке комп показывал черный экран, минут 5-10 (как буд-то не догружает систему, такое бывало из-за обновлений windows), но потом система загружалась полностью. Причем не знал что причиной тому ZA пока не удалил ее.
Далее, использовал фаерволл в связке с aps, видать зря, (ведь у меня стоит еще роутер asus wl-520GU), так как у меня aps орал на 80 порт и локальный ip мол "атака хакера", спустя какое-то время ZA начал блокировать адреса, причем подошел к этому вопросу серьезно, т.е. начал блокировать адреса роутера, в следствии чего произошло разъединение с инетом и последующее невозможное подключение. Не разобрался как разблокировать в этой проге адреса, пробовал добавлять их в "доверенную зону", но они все-равно не разблокировались. В итоге оказалось что меня робот провайдера заблокировал из-за скачка траффика.... кароче, видать роутер + ZA + aps = перебор, или это просто с Vist'ой так... попробую позже outpost. Пока пользуюсь пробным фаерволлом eset, прикольный, много ф-ций, показывает подробно какое приложение куда лезет (хотя это может умеют все фаерволлы, не в курсе, в основном пользовался брэндмауэром), но некоторые программы отказывается работать, т.к. бывает мало обучить фаерволл разрешать доступ определенной проге в инет, например ТВ прога корбины все-равно не работала после разрешения ей доступа в инет, как оказалось надо было знать диапазон ip адрессов по которым работает прога и добавить этот диапазон в "доверенную зону"... так же и с похожими прогами....

ИЗВИНЯЮСЬ за комментарий непохожий на комментарий.....

TrasserZero

У меня такая же почти связка (ZA + apc) через роутер работает на ура. Правда, на вин7

Moorindal

Обнаружил., что это связано с uTorrent - когда он не работает все нормально. Может, он открывает слишком много соединений (или слишком часто), и потому программа вылетает (кстати, только оконная версия - консольная и так и так работает).

Ира

Андрей, объясните пожалуйста для чайника)
Я открыла данную программу, минуты через две, несколько системных процессов по очереди стали выделяться красным и закрываться.
Что бы это значило?) В поле remote adress напротив этих процессов значились какие-то подозрительные адреса (к сожалению не запомнила). Или это нормально?

proxy

есколько системных процессов по очереди стали выделяться красным и закрываться.

цитирую microsoft: По умолчанию программа TCPView обновляет информацию один раз в секунду, но период обновления можно изменить с помощью пункта Refresh Rate (Период обновления) в меню Options (Параметры). Если в период между обновлениями состояние конечной точки изменилось, она выделяется желтым цветом, если конечная точка удалена — красным цветом, новые конечные точки отображаются зеленым цветом.

iTeam

Не могу скачать программу по вышеуказанной ссылке:
This XML file does not appear to have any style information associated with it. The document tree is shown below.

OutOfRangeInput

One of the request inputs is out of range. RequestId:3fce483c-1e76-4016-8885-aa262ec9fd0e Time:2012-12-31T13:34:17.9622572Z

svoboda

ссылка на скачивание проги не работает...

Zlodey

Как узнать IP собеседника, если это возможно ? Мне друг дал свой IP, мы говорим в скайпе, и среди процессов в Tcpview я его IP не вижу.

kontakter

Где показано какая программа к которому порту привязана?

Айрини

Добрый день. Меня беспокоят пару процессов. Скажите, пожалуйста, что с ними делать:
1) процесс svchost.exe должен смотреть в интернет? Дело в том, что он уже два раза загружал процессор на 50%,после перезагрузки ноута всё становилось нормально. Аваст, Cureit утверждают, что вирусов нету.
2) процесс System смотрит на microsoft, но у меня отключено обновление Виндоус
3) И к тому же Ворд в инет смотрит!
Для наглядности скриншот сделала
https://prnt.sc/98ptqt
Получается, что на компе всё же есть какая-то гадость? И надо ставить AVZ на очччень долгую проверку (при быстрой и просто долгой ничего не находит)

Sonikelf

Немного обновили и дополнили статью, заодно вытащили на главную, по некоторым просьбам

Stalker

Спасибо за Ваш труд!!! А Вы не рассматривали в этом контексте "System Explorer" - очень многофункциональная программа (к тому же free)?

Tauhed

Пользователям ESS Nod32 чтобы контролировать соединения:
Дополнительные настройки/Сеть/Персональный файервол/Режим фильтрации/ Интерактивный режим

zxc

спасибо за статью))

Павел

Добрый день, хоть уже и год комментариев новых не появлялось, но попробую спросить.

Всегда успешно использовал TCPView для отслеживания процессов, закачивающих не пойми что и последующей блокировки ip соединений на роутере. И все шло прекрасно, пока в один прекрасный момент TCPView не дал мне бой и не прекратил отображать объёмы загрузки. Столбцы Sent Packets, Sent Bytes, Rcvd Packets, Rcvd Bytes абсолютно пустые, из-за чего не могу установить использования трафика подключениями. Есть способ исправить программу и почему могла возникнуть такая проблема?