Администраторам Windows то и дело приходится проверять порты TCP/IP, выясняя, какие порты сетевых приложений сервера являются активными, чтобы убедиться, что нет нерегламентированного открытия портов, и выяснить, с какими удаленными системами взаимодействует компьютер. Самый простой способ — воспользоваться для получения такой информации встроенным в Windows инструментом Netstat.
Однако у Netstat есть несколько ограничений. Версия, поставляемая с Windows 2000 и более ранними операционными системами, не выдает сведений о процессе, запущенном на конечной точке; версия, поставляемая с Windows Server 2003 и Windows XP, показывает идентификатор (PID) активного процесса, но не отображаемое имя процесса. Эти ограничения мешают понять, какой процесс владеет открытым сетевым портом. Кроме того, при работе с Netstat неудобно следить за изменениями в использовании порта TCP/IP.
TCPView компании Sysinternals — бесплатное приложение с графическим интерфейсом, работающее на версиях Windows начиная с NT 4.0, отображает расширенный набор сведений по сравнению с информацией, выдаваемой Netstat, и предоставляет удобный способ следить за изменениями в использовании порта TCP/IP. Загрузить TCPView и его версию для командной строки, TCPVCon, можно по адресу http://www.sysinternals.com .
Detecting Virus TCPView
Как работать с конечной точкой
Когда выполняется Netstat без аргументов, команда выводит список конечных точек TCP, которые находятся в состоянии установленного соединения, вместе с набором локальных IP-адресов каждого соединения и IP-адресом удаленного компьютера для этого соединения. Поскольку TCP представляет собой протокол, ориентированный на соединение, TCP-коммуникация требует двустороннего обмена данными для установления соединения на время обмена.
Ключ -a утилиты Netstat отображает все активные конечные точки TCP и UDP, включая конечные точки TCP в других состояниях, таких как LISTENING (ожидание соединения) и TIME_WAIT (закрыто). UDP не ориентирован на соединения, поэтому UDP-сообщения могут быть отправлены на любые удаленные IP-адреса. Таким образом, конечные точки UDP не имеют статусов и к ним неприменимо понятие статического связывания удаленных IP-адресов.
Версия Netstat, поставляемая с Windows 2003 и XP, располагает ключом -o, который выдает информацию об идентификаторах процессов (PID), открывших каждую конечную точку. Но при использовании ключа -o необходим еще один инструмент, такой как Task Manager, для того чтобы связать PID с отображаемым именем.
В XP Service Pack 2 (SP2) представлен еще один ключ Netstat, -b, который также будет использоваться в Windows 2003 SP1. Этот ключ выводит отображаемое имя активного процесса внизу строки вывода конечной точки. Для конечных точек, открытых процессами svchost.exe или rundll.exe, он выводит имена DLL-файлов, которые были в стеке выполняемых задач, открывших конечную точку.
Нужно иметь в виду, что в тексте справки по Netstat файлы DLL называются компонентами. Поскольку Svchost — главный процесс, который загружает службы Windows, реализованные в DLL, а Rundll32 — главный процесс Control Panel для элементов DLL из Control Panel, информация о DLL может помочь определить, какая служба или приложение Control Panel открыли конечную точку. К сожалению, ошибка в способе, которым Netstat исследует стек данных, настолько замедляет вывод результатов, что ключ -b почти бесполезен.
Как узнать какие программы соединены с интернетом — TCPView
TCPView
Окно TCPView, показанное на экране 1, выдает основную информацию по конечной точке, как и Netstat. Но следует обратить внимание на столбец Process, который содержит пиктограмму, имя и PID процесса, владеющего каждой конечной точкой.
| Экран 1. Окно TCPView |
В тех случаях, когда отображаемое имя малосодержательно, TCPView предоставляет дополнительную информацию о процессе. Для того чтобы просмотреть эту информацию, следует дважды щелкнуть конечную точку, задействованную данным процессом, или выделить конечную точку и выбрать в меню процесса пункт Process Properties, в результате чего откроется диалоговое окно свойств, показанное на экране 2. Это диалоговое окно содержит полный путь к файлу образа процесса, команду, которая использовалась для запуска процесса, и те сведения, которые TCPView извлекает из версии образа (если она доступна): описание образа, наименование поставщика и номер версии.
 |
| Экран 2. Дополнительная информация о процессе |
Чтобы преобразовать имя DNS (например, www.winnetmag.com:http) в соответствующий IP-адрес и номер порта, нужно просто нажать Ctrl+R, щелкнуть кнопку преобразования адресов утилиты или выбрать Resolve Addresses в меню Options. TCPView переключится в режим отображения всех адресов в цифровом виде; тем же способом можно перейти обратно в режим имен.
Если понаблюдать за работой TCPView, можно заметить, что строки с конечными точками ненадолго подсвечиваются красным, зеленым или желтым цветом. Это делается для того, чтобы привлечь внимание пользователя к происходящим изменениям. Вновь открытые конечные точки будут подсвечиваться зеленым, конечные точки, которые были закрыты, будут подсвечиваться красным, а конечные точки TCP, у которых изменился статус, будут окрашены желтым. Эти цвета остаются неизменными, пока не произойдет три обновления экрана. Интервал обновления TCPView по умолчанию равен 1 секунде, но пользователь может изменить его или даже совсем приостановить обновление, выбрав в меню пункт View, Update Speed.
Также с помощью данного инструмента можно закрыть установленное приложением TCP-соединение. Для этого следует выделить строку соединения и выбрать File, Close Connections; другой способ — щелкнуть правой кнопкой на записи и выбрать в контекстном меню Close Connections.
TCPVCon
TCPVCon — это вариант TCPView для командной строки. Так же, как и Netstat, будучи выполненным без указания аргументов, TCPVCon просто выводит перечень подключенных конечных точек TCP или показывает перечень всех конечных точек, когда добавляется ключ -a. Но в отличие от Netstat, TCPVCon выводит данные в формате стандартного 80-позиционного окна командной строки (см. экран 3) для облегчения чтения.
Другое отличие TCPVCon от Netstat состоит в том, что TCPVCon всегда выводит полный путь и PID процесса для каждой конечной точки, а не только имя процесса. Если пользователя интересуют конечные точки TCP/IP конкретного процесса, можно указать имя процесса или PID в командной строке TCPVCon, и инструмент отфильтрует конечные точки только этого процесса. С помощью ключа -c можно организовать вывод в формате с разделителем в виде запятой (CSV). Эта функция превращает TCPVCon в простой инструмент аудита, собирающий данные для хранения в базе, к которой потом можно делать запросы.
| Экран 3. Результаты работы TCPVCon |
Инструменты изнутри
При работе с TCPView и TCPVCon на Windows 2003 или XP инструменты используют недокументированные функции (представленные в XP), которые получают информацию о конечных точках TCP/IP, включая PID процесса, открывшего каждую конечную точку. Инструменты также используют документированные функции нумерации процесса, получающие список процессов и позволяющие конвертировать идентификаторы PID в имена процессов. Чтобы получить подробную информацию о процессе, необходимо запускать утилиты от имени учетной записи, имеющей привилегию Debug programs.
В Windows 2000 и NT инструменты задействуют недокументированные интерфейсы для запроса информации о конечных точках. Поскольку эти ранние интерфейсы не поддерживают информацию о PID, утилиты применяют встроенный драйвер устройства, который они устанавливают во время запуска для привязки конечных точек к процессам. Следовательно, для использования инструментов в Windows 2000 и NT учетная запись должна иметь и привилегию Debug programs, и привилегию Load drivers.
В целом TCPView и TCPVCon позволяют успешно преодолеть ограничения Netstat и могут стать отличным дополнением к набору инструментов системного администратора. Способность этих инструментов показывать отображаемые имена процессов и другую информацию о процессах, разрывать соединения и использовать выделение цветом в зависимости от произошедших изменений поможет сэкономить время и получить ясное представление о работе сети.
Источник: www.osp.ru
Как отслеживать сетевую активность с помощью TCPView
В Windows есть штатная утилита netstat для просмотра сетевой активности, но с её помощью невозможно осуществлять полноценный мониторинг. Для этого придётся воспользоваться сторонним продуктом.
Самый простой вариант — TCPView. Эта небольшая программа работает в Windows NT/2000/XP и Windows 98/Me (для работы в Windows 95 нужно установить пакет обновления Winsock 2), распространяется бесплатно и не требует инсталляции. После первого запуска исполняемого файла Tcpview.exe пользователю предложат принять условия лицензионного соглашения.
Работать с TCPView очень просто: в главном окне программы отображается список конечных точек всех установленных в системе соединений по протоколам TCP и UDP, с указанием локальных и удалённых адресов, состояния соединений TCP, а также уникальных номеров процессов и имен исполняемых файлов (информацию о процессах TCPView покажет только в Windows NT/2000/XP). По умолчанию показываются доменные имена, а чтобы посмотреть соответствующие им IP-адреса, необходимо использовать кнопку панели инструментов или пункт меню.
Пользователь может настроить частоту обновления информации, некоторые параметры отображения и сохранить информацию о сетевой активности в текстовый файл. Кроме того, программа позволяет просмотреть подробную информацию об исполняемом файле, завершить процесс, разорвать соединение или посмотреть данные сервиса Whois об удалённом хосте. В комплект поставки также входит утилита командной строки Tcpvcon, которая напоминает по своим возможностям штатную программу netstat.
TCPView может быть полезна, например, для обнаружения подозрительной сетевой активности поселившихся в системе вредоносных программ или для нужд администрирования ОС.
Источник: www.computerra.ru
Программа tcpview как пользоваться
Всем привет сегодня хочу рассказать про утилиту TCPView и Как определить какие порты слушает ваш компьютер. TCPView чем то похожа на утилиту netstat про которую я рассказывал в 4 части, но данная утилита имеет на мой взгляд более наглядную вариацию, того что происходит у вас в системе, какие процессы слушаю те или иные порты, к каким удаленным адресам обращаются, и все это видно в заданный период времени. Еще чем хорошо утилита TCPView полностью бесплатна и не требует установки, и весит всего 400 кб.
Для начала нужно утилиту TCPView скачать, разархивировать и запустить Tcpview.exe. Вам нужно согласиться с лицензионным соглашение, жмем Agree.
Утилита TCPView. Как определить какие порты слушает ваш компьютер. Сетевые утилиты 5 часть-01
Перед вами откроется окно, в котором вы увидите процесс, его PID (ID процесса), протокол по которому он работает, локальные и удаленные порты (их еще обычно называют сокетами), и удаленный адрес. На мой взгляд это самое интересное что есть.
Утилита TCPView. Как определить какие порты слушает ваш компьютер. Сетевые утилиты 5 часть-02
Данные будут быстро обновляться так как по умолчанию стоит 1 секунда обновления, увеличить или поставить на паузу можно в меню View-Update Speed.
Утилита TCPView. Как определить какие порты слушает ваш компьютер. Сетевые утилиты 5 часть-03
Утилита TCPView. Как определить какие порты слушает ваш компьютер. Сетевые утилиты 5 часть-04
Видим, что это действительно эмулятор BlueStacks и видим кнопку End Process.
Утилита TCPView. Как определить какие порты слушает ваш компьютер. Сетевые утилиты 5 часть-05
Удобно поставить например на паузу и отфильтровать столбик по процессам, видим, для примера что яндекс диск использует порты 49337, 49336 и 5222, и если вы хотите его закрыть для пользователей, то можете просто залочить порты.
Утилита TCPView. Как определить какие порты слушает ваш компьютер. Сетевые утилиты 5 часть-06
Так же в папке есть файл Tcpvcon, это тот же TCPView, но в консольном виде
Утилита TCPView. Как определить какие порты слушает ваш компьютер. Сетевые утилиты 5 часть-07
Так же видим, всю туже информацию о используемых портах
Утилита TCPView. Как определить какие порты слушает ваш компьютер. Сетевые утилиты 5 часть-08
Популярные Похожие записи:
- Ошибка ID 356: Failed to register notification to the SQL database with the connection string Data Source
- Скачать утилиту extcv для Windows
- Не подключается USB ключ в SEH UTN Manager
Как скачать Windows 11, за минуту
hh.exe или Скрытый браузер в Windows- Автозагрузка в windows server 2012-2016
2 Responses to Утилита TCPView. Как определить какие порты слушает ваш компьютер. Сетевые утилиты 5 часть
«…и если вы хотите его закрыть для пользователей, то можете просто залочить порты…» А как это сделать?
Иван Семин :
Понять нужные порты и закрыть их на брандмауэре, или другом ПО, или оборудовании, зависит от того, как у вас реализовано все.
Добавить комментарий Отменить ответ
Подписка на youtube канал
Выберите рубрику
Active directory, GPO, CA Android Apple ASUS, Sony VAIO CentOS Cisco, Mikrotik Debian, FreeBSD DNS Exchange, Power Shell HP/3Com Hyper-V IBM IIS и FTP, web и seo Juniper Lenovo, intel, EMC, Dell Microsoft Office Microsoft SQL server, Oracle Microsoft System Center NetApp Network, Телефония News Raid, LSI, Adaptec Supermicro Ubuntu Utilities Veeam Backup https://pyatilistnik.org/tcpview/» target=»_blank»]pyatilistnik.org[/mask_link]