активность может служить ярким свидетельством работы на компьютере подозрительной программы, производящей несанкционированную рассылку писем, связывающейся со своим автором и передающей ему конфиденциальную информацию или просто загружающую свои дополнительные модули или атакующей соседние компьютеры. Но при этом нужно не забывать, что ряд вполне легальных приложений также имеют свойство иногда связываться с сайтом фирмы-производителя, например для проверки наличия обновлений или более новых версий. Поэтому, прежде чем отключать сеть и выдергивать сетевой шнур, увидев необычно яркое мигание лампочки на сетевой карте, необходимо уметь определять какие программы и приложения вызвали эту подозрительную активность .

Изучить и проанализировать сетевую активность можно с помощью встроенных в операционную систему инструментов или же воспользовавшись специальными отдельно устанавливаемыми приложениями. В этом задании это предлагается сделать с помощью Диспетчера задач Windows и встроенной утилиты netstat , которая выводит на экран мгновенную статистику сетевых соединений.

1. Откройте окно Диспетчера задач Windows , нажав одновременно клавиши Ctrl , Shift и Esc , и перейдите к закладке Сеть .

   Поскольку сейчас не инициируется ни одного сетевого соединения, график должен быть пуст, вернее представлять собой прямую на уровне 0 %.

   В нижней части окна расположен перечень всех установленных в системе сетевых адаптеров. Обычно он один. В столбце Использование сети приводится моментальное значение доли используемого канала, а в Скорость линии - пропускная способность. Состояние отображает статус.

   

   
   

   Если на Вашем компьютере нет ни одного активного адаптера, окно Диспетчера задач на закладке Сеть будет выглядеть так:

   

   
   

   В этом задании предполагается, что как минимум один адаптер установлен и работает.

2. Инициируйте какое-нибудь сетевое соединение. Например, откройте браузер и загрузите сайт www.viruslist.ru .

   

   
   

   При отсутствии выхода в Интернет, зайдите на сетевой ресурс, указанный преподавателем

3. Проследите за изменениями на графике Диспетчера задач : все Ваши действия отобразятся на графике в виде пиков сетевой активности, а значение поля Использование сети на время перестанет быть равным нулю.

   Таким образом, если Вы, закрыв все прикладные программы, которые могут инициировать сетевые соединения, обнаруживаете, что сеть все равно использоваться продолжает, нужно искать причину

   

   
   
4. Диспетчер задач Windows показывает только самую общую информацию. Для получения более подробных данных можно воспользоваться утилитой netstat .

   Закройте окно Диспетчера задач Windows и перейдите к системному меню Пуск / Программы / Стандартные / Командная строка

5. В открывшемся окне нужно набирать команды, оканчивающиеся нажатием клавиши Enter . Такой способ взаимодействия называется работой через командную строку. Утилита netstat подразумевает именно такой режим

   

   
   

   Наберите

   и нажмите Enter

6. Прочитайте описание утилиты netstat . Убедитесь, что для вывода самой полной информации нужно использовать ключ -a

   

   
   
7. Наберите

   и нажмите Enter

8. Результатом выполнения команды является список активных подключений, в который входят установленные соединения и открытые порты.

   

   
   

   Открытые TCP-порты 2Для обмена данными между компьютерами могут использоваться различные протоколы, т. е. правила передачи информации. Понятие портов связано с использованием протоколов TCP и UDP . Не вдаваясь в подробности, стоит отметить, что в большинстве случаев применяется протокол TCP , но UDP также необходим для работы ряда служб и поддерживается всеми современными операционными системами. обозначаются строкой " LISTENING " в колонке состояние. Часть портов связана с системными службами Windows и отображается не по номеру, а по названию - epmap , microsoft-ds , netbios-ssn . Порты, не относящиеся к стандартным службам, отображаются по номерам.

   UDP -порты обозначаются строкой " UDP " в колонке Имя . Они не могут находиться в разных состояниях, поэтому специальная пометка " LISTENING " в их отношении не используется. Как и TCP -порты они могут отображаться по именам или по номерам.

   Порты, используемые вредоносными программами, чаще всего являются нестандартными и поэтому отображаются согласно их номерам. Впрочем, могут встречаться троянские программы, использующие для маскировки стандартные для других приложений порты, например 80 , 21 , 443 - порты, используемые на файловых и веб-серверах 3Следовательно, в общем случае просто обнаружить неизвестные системе (и пользователю) порты мало. Нужно еще узнать, какие программы используют эти порты. Команда netstat не позволяет этого сделать, поэтому потребуется воспользоваться сторонними утилитами, например, утилитой tcpview.exe (доступна на сайте

Вредоносные программы могут проявляться не только в виде подозрительных процессов или файлов автозапуска, но и в виде сетевой активности. Черви используют сеть для распространения, троянские программы - для загрузки дополнительных компонентов и отсылки информации злоумышленнику.

Некоторые типы троянских программ специально предназначены для обеспечения удаленного управления зараженным компьютером. Для обеспечения доступа к компьютеру по сети со стороны злоумышленника они открывают определенный порт.

Что такое порт? Как известно, каждый компьютер обладает IP-адресом, на который этому компьютеру можно передавать данные. Но если на компьютере имеется несколько программ, работающих с сетью, например, почтовый сервер и веб-сервер, как определить, какие данные какой программе предназначены? Для этого и используются порты. За каждой программой, ожидающей данные из сети закрепляется определенное число - номер порта, а данные, пересылаемые на компьютер, кроме адреса компьютера содержат также и номер порта, чтобы было понятно, какая программа должна получить эти данные.

Как правило, похожие по назначению программы используют одни и те же порты для приема соединений. Почтовый сервер использует порт 25 для приема исходящих писем от почтовых клиентов. Веб-сервер использует порт 80 для приема соединений от браузеров. Впрочем, никаких принципиальных ограничений на использование портов нет, кроме того, что две программы не могут использовать один и тот же порт.

Аналогично почтовому серверу, вредоносные программы для приема команд или данных от злоумышленника используют определенный порт, постоянно ожидая сигналов на этот порт. В таких случаях принято говорить, что программа слушает порт.

Определить, какие порты слушаются на компьютере можно при помощи команды netstat -n. Для ее выполнения сперва нужно запустить командную оболочку. В случае Windows NT, 2000, XP и 2003 она запускается командой cmd.exe, а в Windows 98 и Me - command.com. Для запуска используются команды Выполнить в меню Пуск.

После выполнения в командной оболочке команды netstat -a в том же окне отображаются данные об установленных соединениях и открытых портах (тех, которые слушаются). Выглядит это как на рисунке 4.7.

Рис. 4.7.

Результатом выполнения команды является список активных подключений, в который входят установленные соединения и открытые порты. Открытые TCP-порты 2) обозначаются строкой LISTENING в колонке состояние. Часть портов связана с системными службами Windows и отображается не по номеру, а по названию - epmap, microsoft-ds, netbios-ssn. Порты, не относящиеся к стандартным службам, отображаются по номерам.

UDP-порты обозначаются строкой UDP в колонке Имя. Они не могут находиться в разных состояниях, поэтому специальная пометка LISTENING в их отношении не используется. Как и TCP-порты они могут отображаться по именам или по номерам.

Порты, используемые вредоносными программами, чаще всего являются нестандартными и поэтому отображаются согласно их номерам. Впрочем, могут встречаться троянские программы, использующие для маскировки стандартные для других приложений порты, например 80, 21, 443 - порты, используемые на файловых и веб-серверах.

Просто обнаружить неизвестные системе (и пользователю) порты мало. Нужно еще узнать, какие программы используют эти порты. Команда netstat не позволяет этого сделать, поэтому потребуется воспользоваться сторонними утилитами, например, утилитой tcpview.exe 3) . Эта утилита отображает более полную информацию о подключениях, включая данные о процессах, слушающих порты. Характерный вид окна утилиты представлен на рисунке 4.8.

Рис. 4.8.

Как несложно заметить, утилита TCPView отображает те же данные, что и команда netstat -a, но дополняет их информацией о процессах.

Что делать с результатами поиска

Итак, по результатам анализа процессов, параметров автозагрузки и соединений получен список подозрительных с точки зрения пользователя процессов (имен файлов). Для неопытного пользователя неизвестных, а значит подозрительных имен файлов может оказаться слишком много, поэтому имеет смысл выделить наиболее подозрительные из них - те, которые были обнаружены в двух и более источниках. Например, файлы, которые присутствуют в списке процессов и в списке автозагрузки. Еще более подозрительными являются процессы, обнаруженные в автозагрузке и слушающие порты.

Для выяснения природы подозрительных процессов проще всего использовать Интернет. В глобальной сети имеются сайты, собирающие информацию о различных процессах. Данных по всем процессам вредоносных программ на таких сайтах может и не быть, но во всяком случае на них есть информация о большом количестве неопасных процессов и таким образом можно будет исключить из списка те процессы, которые относятся к операционной системе или известным невредоносным программам. Одним из таких сайтов является http://www.processlibrary.com

После того, как список подозрительных процессов максимально сужен и в нем остались только те, о которых нет исчерпывающей и достоверной информации, остается последний шаг, найти эти файлы на диске и отправить на исследование в одну из антивирусных компаний для анализа.

Доступна на сайте http://www.sysinternals.com Для обмена данными между компьютерами могут использоваться различные протоколы, т. е. правила передачи информации. Понятие портов связано с использованием протоколов TCP и UDP. Не вдаваясь в подробности, стоит отметить, что в большинстве случаев применяется протокол TCP, но UDP также необходим для работы ряда служб и поддерживается всеми современными операционными системами. Доступна на сайте http://www.sysinternals.com

Данная статья будет, в какой-то мере, посвящена безопасности. У меня недавно возникла мысль, а как проверить, какие приложение используют интернет соединение, куда может утекать трафик, через какие адреса идет соединение и многое другое. Есть пользователи, которые также задаются этим вопросом.

Допустим у вас есть точка доступа, к которой подключены только вы, но вы замечаете, что скорость соединения какая-то низкая, звоните провайдеру, они отмечают, что все нормально или что-то подобное. А вдруг к вашей сети кто-то подключен? Можно попробовать с помощью методов из этой статьи узнать, какие программы, которые требуют Интернет-соединения он использует. А вообще, вы можете использовать эти методы, как душе угодно.

Ну что, давайте анализировать?

Команда netstat для анализа сетевой активности

Этот способ без использования всяких программ, нам лишь понадобится командная строка. В Windows есть специальная утилита netstat, которая занимается анализом сетей, давайте использовать ее.

Желательно, чтобы командная строка была запущена от имени администратора. В Windows 10 можно нажать на меню Пуск правой кнопкой мыши и выбрать соответствующий пункт.

В командной строке вводим команду netstat и видим много интересной информации:

Мы видим соединения, в том числе, их порты, адреса, соединения активные и ожидающиеся. Это конечно круто, но нам этого мало. Нам бы узнать, какая программа использует сеть, для этого вместе с командной netstat можно использовать параметр –b, тогда команда будет выглядеть так:

netstat –b

Теперь в квадратных скобочках будет видна утилита, которая пользуется интернетом.

Это не единственный параметр в этой команде, для отображения полного списка введите команду netstat –h .

Но, как показывает практика, многие утилиты командной строки не дают той информации, которой хотелось бы видеть, да и не так это удобно. В качестве альтернативы мы будем использовать стороннее программное обеспечение – TCPView.

Мониторинг сетевой активности с помощью TCPView

Скачать программу можно отсюда . Ее даже не нужно устанавливать вы просто ее распаковываете и запускаете утилиту. Также она бесплатная, но не поддерживает русский язык, но этого особо и не нужно, из этой статьи вы поймете, как ей пользоваться.

Итак, утилита TCPView занимается мониторингом сетей и показывает в виде списка все подключенные к сети программы, порты, адреса и соединения.

В принципе тут все предельно ясно, но некоторые пункты программы я поясню:

• Столбец Process , ясное дело, показывает название программы или процесса.

• Столбец PID указывает на идентификатор подключенного к сети процесса.

• Столбец Protocol указывает на протокол процесса.

• Столбец Local adress – локальный адрес процесса данного компьютера.
• Столбец Local port – локальный порт.

• Столбец Remote adress указывает на адрес, к которому подключена программа.

• Столбец State – указывает на состояние соединения.

• Там, где указано Sent Packets и Rcvd Packets указывает на отправленное и полученное количество пакетов, тоже самое и со столбцами Bytes .

Еще с помощью программы можно нажать на процесс правой кнопкой мыши и завершить его, либо посмотреть, где он находится.

Названия адреса, как показано на изображении ниже можно преобразовать в локальный адрес, для этого нужно нажать горячие клавиши Ctrl+R .

С другими параметрами тоже произойдет изменение – с протоколами и доменами.

Если вы увидите строки разного цвета, например, зеленого, то это означает запуск нового соединения, если покажется красный цвет, то соединение завершено.

Вот и все основные настройки программы, там еще есть мелки параметры, типа настройки шрифта и сохранения списка соединения.

Если вам понравилась эта программа, то обязательно используйте ее. Опытные пользователи точно найдут для каких целей применить ее.

На компьютере в среднем может быть установлено 80-100 программ. В «фоновом режиме» — незаметно для пользователя, работают многие приложения и процессы в системе. Кроме того, существуют вредоносные программы, которые могут использовать компьютер и интернет. Как узнать какая программа на компьютере использует интернет и в каком объёме? Как отреагировать если есть увеличение использования интернета?

В этой статье я расскажу о программе для контроля интернета GlassWire — это монитор сетевой активности и фаервол. Он очень хорошо дополняет установленный на компьютере антивирус.

Это прекрасный инструмент для контроля интернета на компьютере в реальном времени и для просмотра статистики использования интернета за период. Вы сможете видеть сетевую активность программ на наглядном графике, легко проверить любую работающую программу или процесс на вирусы, отключить доступ программы к интернету.

Монитор сетевой активности и фаервол

Установка программы мониторинга интернета

Скачать программу GlassWire для мониторинга интернета и контроля трафика (трафик — это объём использования интернет соединения) можно на сайте Настройка

Программа для контроля интернета GlassWire Установка программы простая и понятная — запустите скачанный файл и пройдите предлагаемые шаги установки.

Сетевая активность программ

При первой активности приложения в сети — появится всплывающее сообщение на экране и Вы всегда будете знать какие программы начинают использовать интернет.

В закладке График в реальном времени видно всю сетевую активность. Большие всплески на графике означают увеличение использования интернета. Это может быть работа вредоносной программы или работа обычных программ. Такие места наиболее интересны для анализа трафика.

Для удобства есть выбор периода графика от 5 минут до месяца, пауза и продолжение движения графика. Любое место графика можно посмотреть детально. Для этого нужно просто нажать мышкой на графике (если он движется, то включится пауза) и появится вертикальная полоса. Под графиком будет список всех программ использующих сеть в выбранном месте.

Монитор сетевой активности программ. На графике статистика трафика. Для открытия всего списка программ нужно нажать на значок программы под графиком.

Детальный мониторинг интернет трафика — список программ

Можно выбрать любую программу и увидеть детали: название процесса, имя исполняемого файла и где он находится на компьютере, размер входящего и исходящего трафика.

Детальное окно с информацией о программе и трафике

Проверка процесса на вирусы

Любую программу использующую интернет можно проверить на вирусы прямо из списка программ. Для этого нужно открыть детальный экран проверяемой программы и нажать Проверка на вирусы . Для проверки будет использован антивирус установленный в системе .
Для установки бесплатного антивируса можете использовать сайт Настройка

Проверка антивирусом любой программы использующей интернет После сканирования антивирусом на экране появится сообщение о результате проверки и запись в GlassWire
Программа использующая интернет проверена — вирусов не найдено.

Фаервол

Фаервол GlassWire (или брандмауэр — это одно и тоже) с помощью понятных графиков показывает всю сетевую активность Вашего компьютера. Легко увидеть потенциальные угрозы (например, всплеск или постоянное увеличенное использование интернета неизвестным процессом) и блокировать их в случае необходимости. Для контроля сети GlassWire использует брандмауэр Windows.

В закладке Firewall отображается список всех процессов. Легко определить активность использования интернета любой программы — в каждой строке справа есть графики. По любому процессу можно посмотреть детали соединения, трафика и проверить его антивирусом (как описано выше). Например, на картинке ниже, процесс svchost постоянно загружает интернет.

В GlassWire удобно включать или отключать доступ программ в интернет . Для этого нужно нажать на значок «огонь» в начале строки. Если огонь горит — использование программой интернета заблокировано (на примере я заблокировал четыре верхних программы).

Управление приложениями на закладке Firewall

В закладке Статистика полная информация о входящем и исходящем трафике каждого приложения и суммарная за выбранное время. Можно смотреть за любой период до месяца.

Статистика использования интернета

Видео как работать с монитором активности сети и фаерволом GlassWire