Želite li vidjeti s kojim uređajima vaš računar trenutno komunicira i isključiti sve što vam ne odgovara? Windows uključuje izvorne uslužne programe, a ima i TCPView od Sysinternals-a., lagani alat koji prikazuje veze u stvarnom vremenu i omogućava vam da djelujete na njih bez borbe s konzolom.
U kućnim ili korporativnim scenarijima, poznavanje ko s kim razgovara ključno je za dijagnosticiranje grešaka, prilagođavanje pravila zaštitnog zida ili blokirati neželjene mreže. TCPView i njegov konzolni pandan, Tcpvcon, pružaju trenutnu vidljivost na nivou procesa.; a ako više volite staromodni način, netstat je i dalje osnovna alatka za brze inventare iz terminala.
TCPView: Šta je to i zašto je korisniji od netstat dumpa
TCPView je besplatni uslužni program kompanije Microsoft Sysinternals koji prikazuje u realnom vremenu sve TCP i UDP tačke povezivanja na računaru, sa lokalnim/udaljenim adresama, portovima i statusom (ESTABLISHED, TIME_WAIT, itd.). Za razliku od tekstualnog popisa, njegov interfejs vam omogućava da na prvi pogled locirate aktivnost svakog procesa.
Različita prednost je što TCPView označava naziv procesa vlasništva i, gdje je primjenjivo, povezanu usluguPomoću ovoga ne vidite samo IP/port, već i koja je izvršna datoteka otvorila socket, što je ključno za sužavanje dijagnostike ili traženje zlonamjernog softvera.
Aplikacija osvježava prikaz svake sekunde prema zadanim postavkama, iako Učestalost možete promijeniti u Opcije | Učestalost ažuriranjaOsim toga, kodiranje bojama olakšava čitanje: nove veze zelenom bojom, promjene statusa žutom, a zatvaranja crvenom bojom.
Pored posmatranja, TCPView vam omogućava da djelujete: Zatvorite uspostavljene TCP veze iz Datoteka | Zatvori veze ili pomoću kontekstni meniIdealno je za prekidanje neočekivane komunikacije dok istražujete ili prilagođavate sigurnosne politike.
Ako trebate ostaviti zapis, program Sačuvajte izlaz u datoteku pomoću menija SačuvajTakođer možete omogućiti ili onemogućiti razrješavanje naziva domena iz alatne trake ili menija, ovisno o tome želite li nazive hostova koje ljudi mogu čitati ili numeričke IP adrese.
Alat je prenosiv, ne zahtijeva instalaciju i može se pokrenuti trenutno pomoću Sysinternals Live-aTrenutno preuzimanje traje oko 15 MB; u prošlosti je bila manja (na primjer, 208 KB u određenim paketima), ali oduvijek je bilo lagano i spreman za upotrebu.
Kao historijska referenca, projekat nosi potpis Mark Russinovich i njegova dokumentacija je nedavno ažurirana. To znači aktivno održavanje od strane Sysinternals tima i da ostat će pouzdan komad u vašem kompletu za reviziju.
Kompatibilnost, preuzimanje i izvršavanje
TCPView radi na širokom spektru sistema: Windows 8.1 i noviji na klijentu y Windows Server 2012 ili noviji na serveruStoga pokriva većinu trenutnih desktop i serverskih okruženja.
Uslužni program možete preuzeti sa službene Microsoftove web stranice ili pokrenite ga u hodu pomoću Sysinternals Live-a Ako ne želite ništa preuzeti, kada raspakujete arhivu, pronaći ćete grafički interfejs (Tcpview.exe) i konzolnu verziju (Tcpvcon.exe), koji dijele osnovnu funkcionalnost.
Da biste posmatrali svu aktivnost, pokrenite ga sa povećanim privilegijamaOtvaranjem kao administrator možete vidjeti sistemske procese i usluge koji bi inače mogli biti skriveni zbog nedostatka dozvola.
Kako koristiti TCPView korak po korak
Kada pokrenete aplikaciju, vidjet ćete listu aktivnih krajnjih tačaka sa kolone koje prikazuju proces, protokol, adrese/portove i statusSortiranje po procesu ili portu pomaže vam da grupišete i otkrijete neobične obrasce u sekundama.
Ako više volite čitati hostove bez ikakvih promjena, omogućite razrješenje imena. Kada vas zanima forenzička tačnost ili izbjegavanje DNS latencija, onemogućite tu opciju da biste radili s IP adresamaU kritičnim revizijama, brojke eliminiraju dvosmislenost.
Interfejs ističe aktivnost sa svakim osvježavanjem. Mnogo naizmjeničnog zelenog i crvenog svjetla može ukazivati na agresivna ponovna povezivanja, ponovna skeniranja ili ponovljene pokušaje povezivanja. iz prijave, znakovi koje treba istražiti.
Da li detektujete neželjeni saobraćaj? Izaberite jedan ili više redova u stanju ESTABLISHED i Zatvorite socket sa Datoteka | Zatvori veze ili desnim klikom mišaImajte na umu da je ovo privremena mjera: izvorna aplikacija se može ponovo povezati ako je još uvijek aktivna.
Za dokumentaciju ili timski rad, Sačuvaj sliku prozora iz menija SačuvajOvi dokazi su veoma korisni za korelaciju sa zapisima firewalla, IDS/IPS-a ili EDR-a i, ako je primjenjivo, za izvještaj o incidentu.
Tcpvcon: Moć TCPView-a u komandnoj liniji
Ako vam je ugodnije koristiti skripte, periodično raspoređivanje ili servere bez grafičkog korisničkog interfejsa, Tcpvcon nudi istu vidljivost iz konzoleSintaksa je jednostavna i omogućava vam izvoz rezultata za analizu ili SIEM.
Osnovna upotreba: tcpvcon Pomoću ovoga možete navesti status po procesu ili po identifikatoru i primijeniti najkorisnije modifikatore u dnevnoj reviziji.
Istaknuti modifikatori: -a prikazuje sve krajnje tačke (bez njega ćete uglavnom vidjeti uspostavljene TCP veze), -c štampanje u CSV za Excel ili SIEM, i -n izbjegava razrješenje imena kako bi se smanjila latencija i povećala tačnost.
Tipičan slučaj: imate sumnjiv PID i želite vidjeti njegovu aktivnost bez razrješavanja imena. Bježi tcpvcon -a -n 784 da se fokusiraju na svoje veze; na ovaj način ulazite u detalje procesa i izbjegavate buku od drugih izvršnih datoteka.
Netstat: Ključne komande, poređenje i razmatranja performansi
Netstat je veteran koji je uvijek tu: Omogućava vam pregled aktivnih TCP/UDP veza, portova za slušanje, statusa, statistike i tabele usmjeravanjaNjegov izlaz je statičan (ažurira se nakon ponovnog pokretanja), ali je i dalje vrlo vrijedan.
Brzi pregled komandi: netstat (navedite veze i portove s nazivima), netstat -n (IP adrese i numerički portovi), netstat -a (sve veze i slušanje), netstat -b (zahtijeva administratorske pristupe; povezuje izvršne datoteke).
U dugim sesijama, možete simulirati kontinuirano ažuriranje pomoću netstat -n 7 osvježavati svakih 7 sekundi. A kada vam trebaju detalji po procesu, dodajte -o da prikaže PID i poveže ga sa Upraviteljem zadataka.
Opšta sintaksa dozvoljava više parametara: netstat Koristite ih mudro i samo kada dodaju vrijednost analizi.
Utjecaj na performanse: Ako prekomjerno koristite netstat (kontinuirano izvršavanje ili izvršavanje s previše parametara na visokoj frekvenciji), može potrošiti značajne resursePreporuke: Ograničite se na specifične slučajeve, tražite samo potrebne informacije, izbjegavajte vrlo kratke intervale i razmotrite specifične alate za praćenje ako vam je potrebno praćenje u stvarnom vremenu.
Istaknute prednosti: vidljivost aktivnih veza, pravovremeno praćenje korištenja mreže, identificiranje sumnjivih veza, rješavanje problema incidenata i praćenje sesija između klijenata i servera kako bi se otkrila anomalna perzistencija.
Također nudi statistiku po protokolu (netstat -s), putem interfejsa (netstat -e) y tabela usmjeravanja sa netstat -r; pomoću ovoga možete vidjeti aktivne rute i procijeniti da li nešto ne odgovara vašoj topologiji i, ako je potrebno, promijeniti prioritet interfejsa.
Nedostaci i ograničenja: ne šifrira podatke niti ima grafički interfejs, njegov izlaz Može biti složeno za tumačenje za netehničke profile i nije skalabilan za velike mreže. U modernim sistemima, mnogi zadaci se prebacuju na PowerShell ili bogatije alate, ali netstat je i dalje koristan na prvi pogled.
Korištenje u Windowsu korak po korak: otvorite CMD ili Terminal kao administrator, pokrenite netstat for a brza fotografija, Dodati -n ako želite numeričke IP adrese/portove i filtrirati po statusu sa findstr ako tražite, na primjer, uspostavljene veze.
Praktični primjeri koje vrijedi imati pri ruci: netstat -ano (otvoreni portovi + PID), netstat -a (svi priključci), netstat | findstr ESTABLISHED (samo utvrđeno) ili netstat -f (FQDN). U nekim tutorijalima ćete vidjeti netstat -p IP fokusirati se na IPv4Na Windowsu, uobičajeni filter je po određenom protokolu (npr. TCP/UDP), ali ideja sužavanja izlaza je valjana za brže otklanjanje grešaka.
Scenariji iz stvarnog života sa TCPView, Tcpvcon i Netstat
Detekcija odlazne neželjene pošte: Ako vaš internet provajder blokira port 25 za masovnu poštu, Pokrenite TCPView na svakom računaru na jednu minutu Pomaže vam da odredite krivca pregledom više udaljenih odredišta na portu 25/587 sa konstantnom aktivnošću.
Zaražena mašina u odnosu na čistu mašinu: Na kompromitovanoj mašini, vidjet ćete više istovremenih SMTP konekcija; u zdravom, aktivnost će biti stabilna i bez čudnih skokova. Nakon što je identificiran sumnjivi PID, koristite tcpvcon -a -n 784 da navedete svoje utičnice iz konzole i dopunite dokaze, te pregledajte sa Otkrivač Rootkita ako sumnjate na prisustvo rootkitova.
Nepotrebna izloženost putem NAT-a/prosljeđivanja portova: ako primijetite kratkotrajne veze s nepoznatih IP adresa Kod malih količina podataka, problem bi mogao biti internetski šum, skeneri ili pokušaji pristupa. Provjerite svoj zaštitni zid (firewall), zatvorite nepotrebna preusmjeravanja i ojačajte perimetar što je prije moguće.
Legitiman sistemski promet: pogledajte veze povezane sa PID 4 (Sistem) za kontrolere domena Ne uključuje zlonamjerni softver. Usporedite vremena, portove i protokole s funkcijama servera prije donošenja zaključaka.
IDS/IPS upozorenja: Ako vaše sigurnosno rješenje prijavi, na primjer SERVER-WEBAPP Linksys E-serije HNAP TheMoon (pokušaj RCE-a), označava skeniranja ili napade na ranjive uređaje. To ne znači da je vaš Windows host kompromitovan, ali znači da biste trebali pregledati svoju vanjsku izloženost.
Dobre prakse tokom istraživanja: zamrzavanje dokaza spremanje TCPView izlaza i logova firewalla/IDS-a, provjera otvorenih servisa pomoću netstat/Tcpvcon i njihovo upoređivanje s očekivanom konfiguracijom, pregled NAT pravila i provjerava putanje i potpise izvršnih datoteka u sumnjivim procesima. Zatvaranje socketa sa interfejsa može vam dati malo prostora za disanje dok implementirate trajne mjere.
Dopunski alati za potpunu reviziju
Da biste proširili svoje vidno polje, kombinujte ga s drugim alatima. TCPView vam daje uvid u "ko i sada" na nivou procesa, dok drugi dijelovi pokrivaju izloženost i detaljnu analizu prometa.
Hvatanje i analiza paketa: TCPDump/WinDump (komandna linija za ispis paketa; WinDump zahtijeva WinPcap/Npcap) i Wireshark (grafički interfejs za analizu protokola u ogromnim detaljima).
Otkrivanje i izloženost usluga: Nmap je referentni skener portova za otkrivanje hostova, otvorenih portova, servisa, pa čak i zaključivanje o operativnom sistemu; idealan za potvrdite ono što zaista otkrivate.
Bežične mreže i testiranje penetracije: Aircrack-ng Koristi se za procjenu jačine WEP/WPA/WPA2 ključeva i analizu Wi-Fi paketa, i Kali Linux objedinjuje desetine alata za testiranje penetracije, od kojih mnogi imaju grafički interfejs pored konzole.
Druge alternative i „sve u jednom“: u različitim scenarijima mogu dodati vrijednost ipRoute2 (Linux), GlassWire (praćenje i upravljanje zaštitnim zidom s fokusom na privatnost), Monitor vremena rada uzlaznih trendova (praćenje lokacije i performansi sa upozorenjima), Germain UX (sektorski orijentisana posmatranost), Atera (RMM paket sa udaljenim pristupom), Cloudshark (analiza i dijeljenje snimljenog sadržaja), iptraf/iftop (promet u realnom vremenu po interfejsu) i ss (Statistika utičnica), moderna i čistija alternativa za netstat na Linuxu.
Brza pitanja i odgovori
Može se koristiti netstat Da biste otkrili port koji koristi zlonamjerni softver? Pokrenite netstat -ano da biste naveli aktivne veze s PID-ovima. Ako vidite nepoznate portove ili odredišta, provjerite proces u Upravitelju zadataka ili pomoću TCPView-a i pokrenite antivirusni program da potvrdite.
Da li funkcioniše? netstat pratiti u realnom vremenu? Nije dizajnirano za to, ali možete ga simulirati pomoću netstat -n osvježavati svakih X sekundi; za efektivno realno vrijeme, oslanjaju se na alate trećih strana.
Šta da radim ako vidim Nepoznate udaljene IP adreseKoristite netstat -aof da dobijete FQDN i PID, pregledajte povezani proces A ako čudno miriše, blokiraj IP adresu u Windows Firewallu, pokreni AV/EDR skeniranje i isključi računar sa mreže dok se ne razbistri.
Aid netstat sa uskim grlima? Da: sa netstat -e y netstat -s možete videti volumen i greške po protokoluAko otkrijete anomalne skokove ili kvarove, to ukazuje na zagušenje ili probleme na segmentu.
Manje napomene koje se često pojavljuju u člancima i koje možete zanemariti
Na nekim stranicama vidjet ćete kontekstualne ili promotivne linkove koji nemaju direktne veze s revizijom veze, kao što su Šta je KMSpico?, Rješenja za greške u Microsoft prodavnici o Spisak programa za glasovnu reprodukciju igaraOni ne utiču na korištenje TCPView-a, Tcpvcon-a ili Netstat-a, pa se fokusirajte na tehničke dijelove.
TCPView blista svojom kombinacijom vidljivosti i trenutne akcije.Pregledajte procese uživo, statuse i odredišta, zatvorite sockete ako je potrebno i ostavite trag u datoteci. U kombinaciji s Tcpvconom za skriptiranje i Netstatom za specifične inventare, zajedno sa selektivnim snimanjem i skeniranjem, možete brzo prijeći sa sumnje na dokaz, bilo da se radi o kućnom računaru ili kritičnom serveru.
