Monitoruj ukrytą stronę internetową i połączenia internetowe

Czytając ten artykuł, możesz być prawie pewien, że Twój komputer jest podłączony do serwera hostującego moją witrynę, ale oprócz oczywistych połączeń z witrynami otwieranymi w Twojej przeglądarce internetowej, Twój komputer może łączyć się z całym mnóstwem innych serwerów które nie są widoczne.

Przez większość czasu naprawdę nie będziesz chciał robić niczego napisane w tym artykule, ponieważ wymaga to przyjrzenia się wielu sprawom technicznym, ale jeśli uważasz, że na twoim komputerze jest program, którego nie powinno tam być, aby komunikować się potajemnie w Internecie(Internet) , poniższe metody pomogą Ci zidentyfikować wszystko, co jest nietypowe.

Warto zauważyć, że komputer z systemem operacyjnym, takim jak Windows , z kilkoma zainstalowanymi programami, będzie domyślnie nawiązywał wiele połączeń z serwerami zewnętrznymi. Na przykład na moim komputerze z systemem Windows(Windows) 10 po ponownym uruchomieniu i bez uruchomionych programów kilka połączeń jest wykonywanych przez sam system Windows(Windows) , w tym OneDrive , Cortana , a nawet wyszukiwanie na pulpicie. Przeczytaj mój artykuł na temat zabezpieczania systemu Windows 10(securing Windows 10) , aby dowiedzieć się, jak zapobiec zbyt częstemu komunikowaniu się systemu Windows 10(Windows 10) z serwerami Microsoft .

Istnieją trzy sposoby monitorowania połączeń, które komputer tworzy z Internetem(Internet) : za pomocą wiersza polecenia, za pomocą Monitora zasobów(Resource Monitor) lub za pomocą programów innych firm. Wspomnę o wierszu poleceń na końcu, ponieważ jest to najbardziej techniczne i najtrudniejsze do rozszyfrowania.

Monitor zasobów

Najłatwiejszym sposobem sprawdzenia wszystkich połączeń nawiązywanych przez komputer jest użycie Monitora zasobów(Resource Monitor) . Aby go otworzyć, musisz kliknąć Start , a następnie wpisać  monitor zasobów(resource monitor) . U góry zobaczysz kilka kart, a ta, którą chcemy kliknąć, to Sieć(Network) .

monitor zasobów

Na tej karcie zobaczysz kilka sekcji z różnymi typami danych: Procesy z aktywnością(Processes with Network Activity) sieciową , Aktywność sieciowa(Network Activity) , Połączenia TCP( TCP Connections) i Porty nasłuchiwania( Listening Ports) .

procesy monitorowania zasobów

Wszystkie dane wymienione na tych ekranach są aktualizowane w czasie rzeczywistym. Możesz kliknąć nagłówek w dowolnej kolumnie, aby posortować dane w porządku rosnącym lub malejącym. W sekcji Procesy z aktywnością sieciową (Processes with Network Activity ) lista zawiera wszystkie procesy, które mają jakąkolwiek aktywność sieciową. Będziesz także mógł zobaczyć całkowitą ilość danych wysłanych i odebranych w bajtach na sekundę dla każdego procesu. Zauważysz, że obok każdego procesu znajduje się puste pole wyboru, które może służyć jako filtr dla wszystkich innych sekcji.

Na przykład nie byłem pewien, czym jest nvstreamsvc.exe , więc sprawdziłem go, a następnie spojrzałem na dane w innych sekcjach. W obszarze Aktywność sieciowa(Network Activity) chcesz zajrzeć do pola Adres(Address)  , które powinno zawierać adres IP lub nazwę DNS zdalnego serwera.

filtrowanie monitora zasobów procesu

Same w sobie informacje tutaj niekoniecznie pomogą ci ustalić, czy coś jest dobre, czy złe. Musisz skorzystać z witryn internetowych innych firm, aby pomóc Ci zidentyfikować ten proces. Po pierwsze, jeśli nie rozpoznajesz nazwy procesu , wygoogluj(nvstreamsvc.exe) go, używając pełnej nazwy, tj . nvstreamsvc.exe(Google) .

wyszukaj proces

Zawsze klikaj przynajmniej pierwsze cztery do pięciu linków, a od razu zorientujesz się, czy program jest bezpieczny, czy nie. W moim przypadku było to związane z usługą przesyłania strumieniowego NVIDIA , która jest bezpieczna, ale nie była czymś, czego potrzebowałem. W szczególności proces ten dotyczy przesyłania strumieniowego gier z komputera na NVIDIA Shield , którego nie mam. Niestety, po zainstalowaniu sterownika NVIDIA instaluje on wiele innych funkcji, których nie potrzebujesz.

Ponieważ ta usługa działała w tle, nigdy nie wiedziałem, że istnieje. Nie pojawił się w panelu GeForce , więc założyłem, że właśnie zainstalowałem sterownik. Gdy zdałem sobie sprawę, że nie potrzebuję tej usługi, mogłem odinstalować część oprogramowania NVIDIA i pozbyć się usługi, która cały czas komunikowała się w sieci, mimo że nigdy z niej nie korzystałem. To jeden z przykładów na to, jak zagłębienie się w każdy proces może pomóc nie tylko zidentyfikować potencjalne złośliwe oprogramowanie, ale także usunąć niepotrzebne usługi, które mogą zostać wykorzystane przez hakerów.

Po drugie, powinieneś wyszukać adres IP lub nazwę DNS wymienioną w polu Adres(Address) . Możesz wypróbować narzędzie takie jak DomainTools , które dostarczy Ci potrzebnych informacji. Na przykład pod Aktywnością sieciową(Network Activity) zauważyłem, że proces steam.exe łączy się z adresem IP 208.78.164.10. Kiedy podłączyłem to do wspomnianego wyżej narzędzia, ucieszyłem się, że domena jest kontrolowana przez Valve , czyli firmę będącą właścicielem Steama(Steam) .

Whois adres ip

Jeśli widzisz, że adres IP łączy się z serwerem w Chinach , (China)Rosji(Russia) lub w innej dziwnej lokalizacji, możesz mieć problem. Googlowanie procesu zwykle prowadzi do artykułów dotyczących usuwania złośliwego oprogramowania.

Programy stron trzecich

Monitor zasobów(Resource Monitor) jest świetny i dostarcza wielu informacji, ale istnieją inne narzędzia, które mogą dać ci trochę więcej informacji. Dwa narzędzia, które polecam, to TCPView i CurrPorts . Oba wyglądają prawie tak samo, z wyjątkiem tego, że CurrPorts daje o wiele więcej danych. Oto zrzut ekranu TCPView:

tcpview

Wiersze, które najbardziej Cię interesują, to te, które mają Stan (State)USTANOWIONY(ESTABLISHED) . Możesz kliknąć prawym przyciskiem myszy dowolny wiersz, aby zakończyć proces lub zamknąć połączenie. Oto zrzut ekranu CurrPorts:

porzeczki

Ponownie spójrz na połączenia USTANOWIONE(ESTABLISHED) podczas przeglądania listy. Jak widać na pasku przewijania na dole, dla każdego procesu w CurrPorts jest o wiele więcej kolumn . Za pomocą tych programów można uzyskać naprawdę wiele informacji.

Wiersz poleceń

Wreszcie jest wiersz poleceń. Użyjemy polecenia netstat , aby przekazać nam szczegółowe informacje o wszystkich bieżących połączeniach sieciowych wyprowadzonych do pliku TXT . Informacje są w zasadzie podzbiorem tego, co otrzymujesz z Monitora zasobów(Resource Monitor) lub programów innych firm, więc tak naprawdę są przydatne tylko dla techników.

Oto krótki przykład. Najpierw(First) otwórz wiersz poleceń administratora i wpisz następujące polecenie:(Administrator)

netstat -abfot 5 > c:\activity.txt

polecenie netstat

Poczekaj(Wait) około minuty lub dwóch, a następnie naciśnij CTRL + C na klawiaturze, aby zatrzymać przechwytywanie. Powyższe polecenie netstat zasadniczo przechwytuje wszystkie dane połączenia sieciowego co pięć sekund i zapisuje je w pliku tekstowym. Część – abfot to zestaw parametrów, dzięki którym możemy uzyskać dodatkowe informacje w pliku. Oto, co oznacza każdy parametr, jeśli jesteś zainteresowany.

Pomoc dotycząca polecenia netstat

Po otwarciu pliku zobaczysz prawie te same informacje, które otrzymaliśmy z pozostałych dwóch powyższych metod: nazwa procesu, protokół, numery portów lokalnych i zdalnych, zdalny IP Address/DNS nazwa DNS, stan połączenia, identyfikator procesu itp. .

wyjście netstat

Ponownie(Again) , wszystkie te dane są pierwszym krokiem do ustalenia, czy dzieje się coś podejrzanego, czy nie. Będziesz musiał dużo googlować(Googling) , ale jest to najlepszy sposób, aby dowiedzieć się, czy ktoś Cię szpieguje lub czy złośliwe oprogramowanie wysyła dane z Twojego komputera na jakiś zdalny serwer. Jeśli masz jakieś pytania, śmiało możesz je komentować. Cieszyć się!



Tymon Laskowski

About the author

Jestem informatykiem z ponad 10-letnim doświadczeniem. W wolnym czasie lubię pomagać przy biurku i uczyć dzieci korzystania z Internetu. Moje umiejętności obejmują wiele rzeczy, ale najważniejsze jest to, że wiem, jak pomagać ludziom w rozwiązywaniu problemów. Jeśli potrzebujesz kogoś, kto pomoże Ci w pilnej sprawie lub po prostu potrzebujesz podstawowych wskazówek, skontaktuj się ze mną!


Related posts