Материал из Энциклопедия Хаб.ру

Так как же проверить сетевую активность компьютера? Есть простая утилита от Марка Руссиновича, фирму которого в 2006 году приобрела Майкрософт и теперь все эти многочисленные утилиты от Sysinternals размещаются на microsoft.com и официально рекомендуются к использованию. В части контроля сетевых подключений там есть tcpview, которая превосходно справляется с поставленной задачей и не обладает никакими лишними наворотами.

Чтобы долго не искать на майкрософтовском сайте - маленький архив с утилитой я сохраню тут.

Пользоваться очень просто: распаковываем архив и запускаем Tcpview.exe (при первом запуске она покажет лицензионное соглашение - надо согласиться), на экране увидим примерно такое окошко:

И тут-то мы всё и видим! Первый столбец - приложение (имя запускаемого файла), инициировавшего сетевую активность. Второй столбец - сетевой протокол, дальше идёт имя и порт инициатора (как правило - это ваш компьютер) и адрес/порт получателя. Последний столбец - состояние соединения: LISTENING - приложение открыло порт, ждёт входящего соединения; ESTABLISHED - соединение установлено.

Внимательно смотрим на список и думаем, а нужно ли какому-то конкретному приложению ходить в сеть? Если это браузер - понятное дело, а если это Автокад - то ничего хорошего от этого не ждите. Разово закрыть соединение можно нажав пр. кнопку мыши на нужной строчке, а если это повторяется и удалить "стукача и шпиона" не вариант - надо уже думать над установкой файрвола.

Эта утилита никак не заменяет файрвол, она несёт информативную функцию, но эти данные часто незаменимы и я советую всегда держать её наготове с возможностью быстро запустить и "заглянуть под капот" при необходимости. Решение о нужности какого-то приложения принимать тоже вам, если там висит что-то непонятное и лезет в сеть - лучше сначала закрыть соединение, потом удалить процесс и если ничего страшного не случилось - то и вообще удалить файл с диска (для страховки можно сначала сменить ему расширение на ex_ например).

Если вы домашний пользователь - перед вами когда-то встанет задача настройка подключения к интернету, синхронизация с игровой приставкой XBOX, а если у вас дома несколько единиц компьютерной техники, то в любом случае вам придется настраивать проводную или беспроводную сеть, причем один компьютер должен будет раздавать интернет на все остальные. В том случае, если вы работаете системным администраторов небольшом офисе, вам нужно будет настроить сеть со статическими или динамическими адресами. К сожалению, многие пользователи обычно пытаются настроить локальную сеть, не имея навыков работы с сетевыми технологиями, и поэтому проводят настройку наугад, из-за чего у них возникает множество проблем при последующей работе. Этот цикл статей посвящается разнообразным методам настройки локальной сети, терминологии, а также подключения к Всемирной сети Интернет.

Зачастую, настройка локальной сети в операционных системах Windows Vista, Windows 7, Windows Server 2008/2008 R2 начинается с такой области конфигурирования сетевых свойств, как компонент . При помощи данного средства конфигурирования сетей можно выбирать сетевое размещение, просматривать карту сети, настраивать сетевое обнаружение, общий доступ к файлам и принтерам, а также настраивать и просматривать состояние ваших текущих сетевых подключений. В этой статье вы узнаете об управлении данным компонентом.

Открытие компонента "Центр управления сетями и общим доступом"

Для того чтобы воспользоваться функционалом средства конфигурирования сетей, нужно для начала его открыть. Чтобы открыть окно "Центр управления сетями и общим доступом" , выполните одно из следующих действий:

На следующей иллюстрации показано окно "Центр управления сетями и общим доступом" .

Хотел в этот раз обойтись без вступления но, не удержался. Никогда не интересовало, сколько на вашей операционной системе установлено сетевых подключений, и какими службами, программами на какие адреса. Эту информацию можно получить с помощью некоторых файрволов если, если у вас установлен. Но есть одна бесплатная утилита написанная Марком Руссиновичем, гуру написавшим много полезных утилит для Windows,.

Программу не требуется устанавливать, достаточно скачать архив, распаковать фалы и запустить утилиту. Размер просто миниатюрный как по сегодняшним временам, всего около 200 килобайт, найдите что-то подобное с такими возможностями. В открытом окне получаем список всех процессов, которые открывают сетевые подключения, используемый протокол, состояние и локальные и удаленные адреса которые используются. С установленной периодичностью (по умолчанию 1 секунда), которую можно настроить, идет обновление информации.

Можно выбирать показывать IP адреса, или определять их доменные имена если возможно. Чтоб не тонуть в куче ненужной информации, можно отключать подключения которые не имеют конечной отвечающей точки.

Из контекстного меню можно узнать информацию о выбранном процессе (путь к исполняемому файлу), завершать процесс (поможет прибивать опасные или подозрительные программы), закрывать соединение (скоростное отключение от ненужных сайтов, оставаяя процес в рабочем состоянии) и получать сведенья о текущем сайте, к которому сделано подключение (иногда узнаешь интересные вещи).

Мониторится только TCP, UDP и TCPV6 (оказываеться, сейчас он активно используются) протоколы, по которым сейчас весь сетевой обмен на компьютерах.

Из настроек есть только изменение параметров шрифта, и на этом все ограничивается.

TCPView утилита которая делает свою работу, не имеет феерического интерфейса, но работает как часы, классическая трудовая лошадка. Когда утилита работает её просто не замечаешь, а когда не оказывается под руками, чувствуешь что не хватает чего-то важного. Кто не понимает её назначения, она вам и не понадобится для тех, кто в теме обязательна к использованию.

Прекрасно работает в 32-х и 64-х битных операционных системах. Доступен только один язык, английский, больше никаких вариантов не предлагается.

Страница для бесплатного скачивания TCPView http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx

Последняя версия на момент написания TCPView 2.54

Введение

TCPView - это программа, предназначенная для операционной системы Windows, которая выводит на экран списки конечных точек всех установленных в системе соединений по протоколам TCP и UDP с подробными данными, в том числе с указанием локальных и удаленных адресов и состояния TCP-соединений. В операционных системах Windows NT, 2000 и XP программа TCPView также сообщает имя процесса, которому принадлежит конечная точка. Программа TCPView является дополнением программы Netstat, поставляемой вместе с ОС Windows, и предоставляет расширенный набор сведений в более удобной форме. В комплект загрузки программы TCPView входит программа Tcpvcon с теми же функциональными возможностями, предназначенная для работы в режиме командной строки.

Программа TCPView работает в операционных системах Windows NT/2000/XP и Windows 98/Me. Программу TCPView можно использовать также в операционной системе Windows 95 при условии установки пакета обновления Winsock 2 для ОС Windows 95, предоставляемого корпорацией Microsoft.

Использование программы TCPView

При запуске программа TCPView формирует список всех активных конечных точек соединений по протоколам TCP и UDP, отображая все IP-адреса в виде доменных имен. Чтобы переключить режим отображения для просмотра адресов в цифровом виде, можно использовать кнопку панели инструментов или пункт меню. В операционных системах Windows XP программа TCPView для каждой конечной точки отображает имя процесса, которому эта точка принадлежит.

По умолчанию программа TCPView обновляет информацию один раз в секунду, но период обновления можно изменить с помощью пункта Refresh Rate (Период обновления) в меню Options (Параметры). Если в период между обновлениями состояние конечной точки изменилось, она выделяется желтым цветом, если конечная точка удалена - красным цветом, новые конечные точки отображаются зеленым цветом.

Чтобы закрыть установленные подключения по протоколам TCP/IP (с отметкой состояния ESTABLISHED (установлено)), можно выбрать пункт Close Connections (Закрыть подключения) в меню File (Файл) или щелкнуть правой кнопкой мыши какое-либо подключение и выбрать в контекстном меню пункт Close Connections .

Данные, отображенные в окне программы TCPView, можно сохранить в виде файла с помощью пункта меню Save (сохранить).

Применение программы Tcpvcon

Применение программы Tcpvcon аналогично применению служебной программы netstat, которая встроена в операционную систему Windows.

Применение: tcpvcon [-a] [-c] [-n] [имя процесса или PID]

Исходный текст программы Netstatp

Хотите знать, как работает программа TCPView? На примере исходного текста программы Netstatp показано, как можно запрограммировать некоторые функции программы TCPView. На примере этой программы показано, как использовать интерфейсы IP Helper (см. описание в документах на узле MSDN), чтобы получить список конечных точек соединений по протоколу TCP/IP. Однако обратите внимание, что программа netstatp не выводит имена процессов в системах NT 4 и Windows 2000, как это делают программы TCPView и TCPVCon.

Статья базы знаний Microsoft о программе TCPView

Данная статья базы знаний Майкрософт посвящена программе TCPView:

Взаимосвязанная служебная программа

TDImon - показывает активность с использованием протоколов TCP и UDP в реальном времени.

Если вам понравилась программа TCPView, то программа TCPView Pro понравится вам еще больше. Программа TCPView Pro, разработанная компанией Winternals Software, обладает рядом функций, благодаря которым она является намного более мощным и полезным средством, чем программа TCPView. Это такие функции: просмотр данных о процессах, которым принадлежат конечные точки открытых соединений (также действует в системе Windows 9x)

• просмотр активности процессов с использованием протоколов TCP и UDP в реальном времени
• использование усовершенствованных методов фильтрации для показа только необходимых данных.
• и многое другое...

Программа TCPView Pro поставляется в составе пакета Winternals Administrator"s Pak.

Admin , давайте ее уберем, сделав окно пустым. Для начала в окне Учетные записи пользователей жмем на кнопку Изменение входа пользователей в систему и уберем флажок Использовать страницу приветствия ( рис. 19.6 и рис. 19.7).

Рис. 19.6.

Рис. 19.7.

Но, это только половина дела. Теперь повысим безопасность сети еще на одну условную ступень, сделав оба поля окна приветствия пустыми ( рис. 19.8).

Рис. 19.8.

Выполним команду Панель управления-Администрирование – Локальные политики безопасности- Локальные политики-Параметры безопасности -Интерактивный вход: не отображать последнего имени пользователя . Эту запись необходимо включить ( рис. 19.9).

Рис. 19.9.

Теперь после завершения сеанса пользователь должен угадать не только пароль , но и имя пользователя ( рис. 19.10).

Рис. 19.10.

Выявление сетевых уязвимостей сканированием портов ПК

Злоумышленники используют сканирование портов ПК для того, чтобы воспользоваться ресурсами чужого ПК в Сети. При этом необходимо указать IP адрес ПКи открытый port, к примеру, 195.34.34.30:23 . После этого происходит соединение с удаленным ПК с некоторой вероятностью входа в этот ПК.

• TCP/IP port - это адрес определенного сервиса (программы), запущенного на данном компьютере в Internet. Каждый открытый порт - потенциальная лазейка для взломщиков сетей и ПК. Например, SMTP (отправка почты) - 25 порт, WWW - 80 порт, FTP -21 порт.
• Хакеры сканируют порты для того, чтобы найти дырку (баг) в операционной системе. Пример ошибки, если администратор или пользователь ПК открыл полный доступ к сетевым ресурсам для всех или оставил пустой пароль на вход к компьютер.

Одна из функций администратора сети (сисадмина) - выявить недостатки в функционировании сети и устранить их. Для этого нужно просканировать сеть и закрыть (блокировать) все необязательные (открытые без необходимости) сетевые порты. Ниже, для примера, представлены службы TCP / IP , которые можно отключить:

• finger - получение информации о пользователях
• talk - возможность обмена данными по сети между пользователями
• bootp - предоставление клиентам информации о сети
• systat - получение информации о системе
• netstat - получение информации о сети, такой как текущие соединения
• rusersd - получение информации о пользователях, зарегистрированных в данный момент

Просмотр активных подключений утилитой Netstat

Команда netstat обладает набором ключей для отображения портов, находящихся в активном и/или пассивном состоянии. С ее помощью можно получить список серверных приложений, работающих на данном компьютере. Большинство серверов находится в режиме LISTEN - ожидание запроса на соединение. Состояние CLOSE_WAIT означает, что соединение разорвано. TIME_WAIT - соединение ожидает разрыва. Если соединение находится в состоянии SYN_SENT , то это означает наличие процесса, который пытается, установить соединение с сервером. ESTABLISHED - соединения установлены, т.е. сетевые службы работают (используются).

Итак, команда netstat показывает содержимое различных структур данных, связанных с сетью, в различных форматах в зависимости от указанных опций. Для сокетов (программных интерфейсов) TCP допустимы следующие значения состояния

• CLOSED - Закрыт. Сокет не используется.
• LISTEN - Ожидает входящих соединений.
• SYN_SENT - Активно пытается установить соединение.
• SYN_RECEIVED - Идет начальная синхронизация соединения.
• ESTABLISHED - Соединение установлено.
• CLOSE_WAIT - Удаленная сторона отключилась; ожидание закрытия сокета.
• FIN_WAIT_1 - Сокет закрыт; отключение соединения.
• CLOSING - Сокет закрыт, затем удаленная сторона отключилась; ожидание подтверждения.
• LAST_ACK - Удаленная сторона отключилась, затем сокет закрыт; ожидание подтверждения.
• FIN_WAIT_2 - Сокет закрыт; ожидание отключения удаленной стороны.
• TIME_WAIT - Сокет закрыт, но ожидает пакеты, ещё находящиеся в сети для обработки