Як дізнатися, куди йде трафік

Як дізнатися, куди йде трафік

Рано чи пізно виникає питання, куди діваються гроші в інтернеті. Часто користувачам потрібна інформація, яка повністю надає покрокову інструкцію щодо отримання інформації — на що використано трафік при з’єднанні з інтернетом по УЦИ. Дана технологія буде корисна при з’ясуванні причини підвищеної витрати трафіку.

Інструкція

  1. Потрібно запустити командний рядок cmd.exe. Для цього виберіть у меню «Пуск» пункт «Виконати».
  2. У вікні, що відкрилося, в рядку з миготливим курсором потрібно набрати cmd.exe. Натискаємо введення. Відкрилося стандартне віконце інтерпретатора: даний крок можливо пропустити, і перейти відразу до виконання наступного кроку в командному рядку вашого файлового менеджера, наприклад FAR. 111111
  3. Далі потрібно набрати мережеву команду netstat.exe /? (Можна просто netstat /?). Запустити її можна натиснувши клавішу «Enter». В результаті отримуємо список з підказками, а саме який результат може видавати мережева програма при експлуатації тих чи інших ключів. В даному випадку ми будемо цікавитися більш детальною інформацією про активність мережевих портів і конкретними іменами додатків.
  4. Далі потрібно перевірити, чи не сканує чи якийсь зловмисник зараз нашу машину. Вводимо в командному рядку: Netstat-p tcp-n або Netstat-p tcp-n. Тут потрібно звернути вашу увагу на те, щоб не повторювався дуже часто один і той же зовнішній IP-адреса (1-й IP — локальний адресу вашої машини). Крім того, про спробу вторгнення може також свідчити величезна кількість записів такого типу: SYN_SENT, TIME_WAIT з одного IP. За небезпечні можна приймати часті повтори мережевих порт 139, 445 протоколу TCP, і 137, і 445 протоколу UDP, з зовнішнього IP.
  5. Далі можемо вважати, що нам щастить, зовнішнього вторгнення не відмічено, і ми продовжуємо шукати «погане додаток», яке пожирає трафік.
  6. Набираємо наступне: Netstat-b (тут необхідні права адміністратора). У результаті цього вивантажиться величезний протокол із статистикою роботи в інтернеті всіх ваших додатків: Цей сегмент протоколу показує на те, що програма uTorrent.exe (клієнт для скачування і роздачі файлів в мережі BitTorrent) виробляла роздачу файлів на дві машини в мережі з відкритих локальних портів 1459 і 1461.
  7. Ваше право вирішити, чи потрібно зупинити цю програму. Можливо, є якийсь сенс видалити його з автозавантаження. Тут вже закарбований активність інших легальних програм, які працюють з мережевими сервісами: Skype, Miranda, причому 2-й працює через захищений протокол https.
  8. Остаточною метою даного аналізу має стати визначення незнайомих вам додатків, які без вашого відома, підключаються до інтернет мережі (невідомо що вони передають). Далі ви вже повинні використовувати різні способи боротьби з «шкідливими» додатками, починаючи з їх відключення з автозавантаження і закінчуючи перевіркою спеціальними утилітами.