Як побачити мережеві підключення


 

При роботі в інтернеті комп’ютер з’єднується з різними мережевими ресурсами. В деяких випадках у користувача виникає необхідність подивитися поточні мережні підключення — наприклад, при підозрі на присутність в системі троянських програм.


Інструкція

  1. Для контролю мережевих підключень в операційній системі Windows є штатна утиліта netstat. Для її використання відкрийте командний рядок: «Пуск» — «Всі програми» — «Стандартні» — «Командний рядок» і введіть команду netstat-aon. Натисніть Enter, ви побачите список поточних мережевих з’єднань.
  2. У першій графі вказаний тип підключення — TCP або UDP. У другій ви можете подивитися локальні адреси та номери використовуються при підключенні портів. Третя графа дасть вам інформацію про зовнішні ip-адреси, з якими з’єднується ваш комп’ютер. Четверта показує статус з’єднання. У п’ятій вказаний ідентифікатор з’єднання (PID) — номер, під яким значиться даний процес в системі.
  3. При аналізі мережевих підключень, перш за все, звертайте увагу на відкриті порти. Кожен порт відкривається небудь програмою, деякі програми можуть відкривати відразу кілька портів. Як дізнатися, яка програма відкриває порт? Для цього наберіть в тому ж вікні командного рядка tasklist і натисніть Enter. Відкриється список процесів: у першій колонці вказані їх назви, у другій дано ідентифікатори.
  4. Подивіться в першому списку, виведеному утилітою netstat, ідентифікатор цікавить вас з’єднання (графа PID). Потім знайдіть цей ідентифікатор в другому списку. Зліва від нього, у першій графі, ви побачите назву процесу, який встановив дане з’єднання.
  5. Звертайте увагу на мережеві процеси зі станом LISTENING. Даний стан означає, що програма перебуває в режимі очікування з’єднання — «слухає порт». Зазвичай так поводяться деякі сервіси Windows і бекдори — троянські програми, що дозволяють встановити з’єднання з зараженим комп’ютером. Визначте процес такої програми: якщо назва вам незнайоме і ні про що не говорить, введіть його в рядок пошуковика для отримання докладної інформації.
  6. Статус ESTABLISHED вказує на те, що з’єднання існує в даний момент. За ідентифікатором ви можете визначити процес, що встановив дане з’єднання, а по ip-адресою з’ясувати, з якого комп’ютера здійснено підключення. Для цього скористайтеся сервісом http://url-sub.ru/tools/web/whois/ ( http://url-sub.ru/tools/web/whois/ )
  7. Утиліта netstat присутній і в операційній системі Linux. Робота з нею здійснюється точно таким же чином, як і в Windows. Для виведення списку процесів замість команди tasklist використовуйте команду ps-A.