Auditer les connexions sous Windows avec TCPView et Netstat

Mundooctets » Fenêtres » Auditer les connexions réseau sous Windows avec TCPView, TCPvcon et Netstat

TCPView affiche les connexions TCP/UDP en temps réel, avec processus et état.
Vous permet de fermer les sockets, d'enregistrer les preuves et d'ajuster l'actualisation et la résolution DNS.
Tcpvcon et netstat couvrent l'utilisation de la console, les filtres et l'exportation CSV.
Il est complété par Nmap, Wireshark et d'autres outils pour un audit complet.

Auditer la connexion réseau avec TCPView

Si vous vous demandez à quels appareils votre ordinateur « parle » en ce moment, vous êtes au bon endroit : les systèmes Fenêtres Ils sont livrés avec des outils pour le visualiser et il existe des utilitaires avancés qui le rendent encore plus facile. TCPView, de Sysinternals (Microsoft), est l’un des moyens les plus rapides d’auditer les connexions en direct. sans se perdre dans la console.

En entreprise comme à la maison, il est essentiel de savoir quels processus se connectent à Internet et avec quelles destinations ils communiquent pour diagnostiquer les problèmes, valider les règles de pare-feu ou détecter les activités suspectes. Outre Netstat, TCPView ajoute une vue en temps réel, une mise en évidence des couleurs et une gestion directe des connexions, ce qui en fait un substitut pratique à l’audit quotidien.

Qu'est-ce que TCPView et pourquoi constitue-t-il un remplacement pratique pour Netstat ?

auditer les connexions avec TCPView

TCPView est un utilitaire gratuit de Microsoft Sysinternals qui affiche, en temps réel, tous les Points de terminaison TCP et UDP du système avec leurs adresses locales/distants et leur état (par exemple, ESTABLISHED, TIME_WAIT). Contrairement à un vidage textuel, son interface permet d'identifier d'un coup d'œil le processus derrière chaque socket.

L’une de ses plus grandes attractions est que, à côté de chaque point de connexion, vous verrez le nom du processus propriétaire et, le cas échéant, le nom du service associéDe cette façon, vous détectez non seulement le port et l'adresse IP, mais également qui l'a ouvert, ce qui est essentiel pour affiner les diagnostics du réseau ou rechercher des logiciels malveillants.

D'un point de vue fonctionnel, TCPView offre une sous-ensemble de netstat présenté de manière plus claire et plus exploitable. Le package de téléchargement comprend également Tcpvcon, une version en ligne de commandes avec des capacités équivalentes pour l'automatisation ou l'enregistrement à partir de scripts.

Par défaut, la vue s'actualise toutes les secondes, mais vous pouvez modifier ce paramètre à partir de Options | Fréquence de mise à jourLe programme met en évidence les changements entre les cycles : Nouveaux points de terminaison en vert, changements d'état en jaune et connexions abandonnées en rouge., afin que l'activité soit évidente sans effort.

Un autre avantage clé est qu'il vous permet d'agir sur ce que vous voyez : vous pouvez Fermer les connexions TCP établies depuis Fichier | Fermer les connexions ou le menu contextuel, ce qui est particulièrement utile pour étouffer dans l’œuf les communications indésirables pendant que vous poursuivez vos recherches.

Si vous avez besoin de conserver des preuves ou de documenter une séance, l'application permet enregistrer la sortie sur le disque en utilisant le menu EnregistrerEt si vous préférez des noms d’hôtes lisibles par l’homme, vous pouvez basculer la résolution DNS à partir de la barre d’outils ou du menu.

En ce qui concerne la compatibilité, TCPView fonctionne sur Windows 8.1 et versions ultérieures sur le client, et Windows Server 2012 et versions ultérieures sur le serveur, il couvre donc largement les scénarios actuels de bureau et de serveur.

Le téléchargement officiel est disponible auprès de Microsoft et vous pouvez également Exécutez l'utilitaire instantanément avec Sysinternals Live. La taille binaire est actuellement d'environ 1,5 Mo, même si elle était plus légère dans les anciennes versions ; dans tous les cas, c'est un outil portable qui ne nécessite pas d'installation.

Transitions et animations dans PowerPoint : différences et utilisation avancée

A titre de référence historique, le projet porte la signature de Mark Russinovich et sa documentation a été récemment mise à jour (par exemple, le 11 avril 2023). Cela garantit un support et une maintenance continus par l'équipe Sysinternals..

Utilisation de base de TCPView sous Windows

surveiller le réseau avec TCPView

Lorsque vous ouvrez TCPView, le programme répertorie tous les points de terminaison TCP/UDP actifs et, si vous l'avez activé, résout les adresses IP en noms de domaine pour plus de lisibilitéVous pouvez activer ou désactiver cette résolution selon que vous avez besoin d'une analyse rapide ou d'une précision numérique.

Notez les colonnes pour le processus, le protocole, les adresses/ports et l'état : Le tri par processus ou par port vous aide à regrouper les activités et à détecter des modèles (par exemple, des connexions massives à des serveurs SMTP ou de commande et de contrôle connus).

L'actualisation chaque seconde marque l'activité en couleurs : si vous voyez beaucoup de vert et de rouge clignotant fréquemment, cela peut indiquer Tentatives de connexion récurrentes, analyses ou reconnexions agressives d'une applicationCe code couleur accélère la prise de décision aux moments critiques.

Besoin de réduire considérablement le trafic ? Sélectionnez une ou plusieurs lignes avec un statut défini et utilisez Fichier | Fermer les connexions ou faites un clic droit pour fermer le socketIl s'agit d'une action temporaire (l'application peut se reconnecter), mais elle est utile pour arrêter l'exfiltration ou le spam pendant que vous ajustez les politiques.

Pour recueillir des preuves ou les partager avec l'équipe, c'est pratique enregistrer un vidage de fenêtre avec le menu Enregistrer. Cette capture permet de corréler facilement les événements avec journaux pare-feu, IDS ou EDR et documentez l'incident.

Si vous souhaitez travailler avec des adresses IP pures, désactivez la résolution de noms. Dans les environnements avec DNS interne, le nom d'hôte peut fournir du contexte, mais Les adresses IP numériques empêchent la confusion due à des résolutions inverses indésirables lors d'un audit médico-légal.

Remarque pratique : bien que TCPView ne nécessite pas d'installation, exécutez-le avec les autorisations appropriées pour voir toute l'activité. L'ouvrir avec des privilèges élevés garantit que vous pouvez observer les processus et les services du système. qui autrement pourrait être hors de votre vue.

Tcpvcon : la version console pour automatiser les audits

Si vous préférez intégrer l'audit dans des scripts ou planifier des journaux périodiques, Tcpvcon propose la même observabilité depuis la ligne de commande avec une utilisation très directeIl est idéal pour collecter des relevés par lots ou générer des fichiers CSV pour une analyse plus approfondie.

Utilisation de base de l'outil :

tcpvcon [-a] [-c] [-n] [nombre_de_proceso_o_PID]

Les modificateurs les plus utiles sont:

- -a: affiche tous les points de terminaison (si vous ne l'utilisez pas, vous verrez principalement les connexions TCP établies). Parfait pour une photo système complète non filtré par état.

- -c: Exporte la sortie au format CSV. Idéal pour ouvrir dans Excel ou alimenter un SIEM avec des données tabulées sur les processus, les ports et les états.

- -n: ne résout pas les noms ; imprime les adresses numériques. Évite les latences DNS et maintient la précision médico-légale dans des environnements critiques.

Exemple de cas d'utilisation rapide : vous connaissez le PID suspect et souhaitez lister son activité sans résoudre les noms ; cela suffirait tcpvcon -a -n 784 pour voir vos connexions actives. La combinaison de filtres vous permet d'explorer en profondeur les détails d'un processus spécifique avec un minimum de friction..

Comment créer un tableau de vision pour vos finances

Netstat pour visualiser les connexions actives : quand l'utiliser et comment le comparer

Netstat est le vétéran du lieu : il est intégré à Windows et, bien utilisé, vous permet d'inspecter les connexions TCP/UDP, les ports d'écoute et les statutsSa sortie est « plus statique » dans le sens où elle nécessite un redémarrage pour être mise à jour, mais elle reste précieuse.

Commandes clés à avoir sous la main :

netstat          # lista conexiones y puertos con nombres
netstat -n       # muestra IPs y puertos en formato numérico
netstat -a       # todas las conexiones y puertos en escucha
netstat -b       # requiere admin; muestra el ejecutable asociado

Le modificateur -b Il est particulièrement intéressant de voir quel binaire se cache derrière une connexion, mais n'oubliez pas d'ouvrir la console en tant qu'administrateur. Sans élévation, certaines informations de processus peuvent ne pas être affichées..

Si vous souhaitez une surveillance en direct avec des couleurs, des filtres visuels et la possibilité de fermer des connexions, TCPView Cela vous fera gagner du temps. Si vous avez besoin de quelque chose de rapide depuis la console ou si vous êtes sur un serveur sans interface graphique, netstat ou Tcpvcon sont une valeur sûre.

Scénarios réels : détection de logiciels malveillants, de spam SMTP et d'erreurs de pare-feu

Une situation courante dans les PME : le FAI bloque le port 25 en raison d'une détection de spam. Au lieu de passer des heures à installer des logiciels antimalware sur des dizaines d'ordinateurs, vous pouvez Lancez TCPView sur chaque PC (une tâche d’une minute) et localisez le coupable en quelques secondes. voir plusieurs connexions SMTP sortantes simultanées.

Sur les ordinateurs compromis par des chevaux de Troie de publipostage, vous verrez plusieurs destinations distantes sur le port 25 ou 587 avec une activité constanteComparé à une machine propre (sans pics étranges), le contraste est flagrant et permet d'isoler rapidement l'équipement concerné.

Un autre scénario : un Mauvaise configuration de redirection de port sur le pare-feu Cela expose le serveur à des risques importants. TCPView peut afficher des connexions fugaces provenant d'adresses IP distantes inconnues avec de faibles volumes de données. Il peut s'agir de bruit Internet, d'analyses ou de tentatives infructueuses., mais il n'est pas conseillé de l'ignorer.

Dans les diagnostics de domaine, il est courant de voir connexions associées au PID 4 (Système) aux contrôleurs de domaineCette activité n’est pas nécessairement malveillante : le système d’exploitation et les services du noyau établissent des communications légitimes. La clé est de corréler les horaires, les ports et les protocoles avec les fonctions du serveur.

Si vous disposez d'un système IDS/IPS, les alertes fournissent un contexte. Par exemple, une alerte concernant SERVEUR-WEBAPP Linksys série E HNAP TheMoon (tentative RCE) Indique des analyses ou des attaques ciblant des routeurs vulnérables. Cela n'implique pas une compromission de votre hôte Windows, mais Oui, cela suggère de revoir l’exposition et de renforcer les périmètres.

Bonnes pratiques lors de la recherche :
- Geler les preuves enregistrement de la sortie TCPView et des journaux du pare-feu/IDS.
- Vérifier les services ouverts avec netstat/Tcpvcon et les comparer avec la configuration attendue.
- Réviser les règles NAT/de redirection de port et fermez ceux qui ne sont pas nécessaires.
- Vérifier les processus et les signatures des exécutables suspects avec leur chemin et leur éditeur.
Ces actions, ainsi que les coupures de connexion temporaires de l'interface, aider à contenir l'incident pendant que vous planifiez des mesures permanentes.

Qu'est-ce que Cloudflare et quelles sont les controverses liées à ses pannes et blocages ?

Des outils complémentaires pour un audit réseau complet

En plus de TCPView et Netstat, il est utile de s'appuyer sur des utilitaires réseau bien connus qui élargissent votre champ d'action. Les utiliser à des fins défensives vous donne une longueur d’avance sur la façon dont travaillent les attaquants. et vous aide à comprendre votre zone d'exposition.

- TCPDump et WinDump:Capteurs de trafic en ligne de commande. Ils permettent Videz les paquets pour analyse et voyez ce qui circule sur le réseauWinDump nécessite WinPcap/Npcap sous Windows. Ils sont puissants, mais leur courbe de lecture est plus technique.

- Nmap: Scanner de port et audit de service. Envoie des paquets prédéfinis vers des plages IP à découvrir les hôtes, ouvrir les ports, les services et parfois le système d'exploitationIl est essentiel de valider ce que vous exposez réellement au réseau.

- Wireshark: analyseur de protocole avec interface graphique. Permet inspecter et décapsuler les paquets TCP/UDP de manière très détaillée, idéal pour diagnostiquer des problèmes de communication fine ou étudier des protocoles.

- Aircrack: suite pour réseaux sans fil orientée vers Auditer la force des clés WEP/WPA/WPA2 et analyser les paquets Wi-Fi. Utile pour évaluer les politiques de sécurité et de mot de passe Wi-Fi de l'entreprise.

- Kali Linux:Distribution orientée tests de pénétration regroupant des dizaines d'outils (dont plusieurs des précédents). Il peut être exécuté en direct à partir de USB ou s'installer, et de nombreux utilitaires offrent une interface graphique en plus d'une console.

Ces solutions ne remplacent pas TCPView, mais le complètent : TCPView Il vous donne le « qui et maintenant » au niveau du processus, Nmap pour l'exposition des services et Wireshark/TCPDump pour la visualisation des paquets. Ensemble, ils constituent un flux de travail robuste pour détecter les anomalies, confirmer les résultats et renforcer les contrôles.

Téléchargement, exécution et compatibilité

Vous pouvez obtenir l'utilitaire sur le site officiel de Microsoft Sysinternals. Le téléchargement actuel pèse environ 1,5 Mo et est fourni sous forme de binaire portableSi vous préférez ne rien télécharger, c'est également possible exécutez-le à la volée via Sysinternals Live directement depuis Internet.

Résumé des exigences d’exécution :

Client: Windows 8.1 ou version ultérieure.
Serveur: Windows Server 2012 ou version ultérieure.

Pour profiter de toutes les fonctionnalités, il est conseillé exécuter en tant qu'administrateur dans les sessions de dépannage, surtout si vous comptez utiliser netstat -bo, vous devez voir les processus système.

Que choisir au quotidien ? Pour une surveillance et un tri rapides, TCPView Il est agile, visuel et exploitable. Pour les scripts, les inventaires et les enregistrements périodiques, TCPVCON et NetStat Couvrir le flux via la console. En cas d'incidents suspects, combine ces vues avec des captures et des scans passer de l'hypothèse à la preuve.

Avec un outil aussi léger et la possibilité de couper des douilles spécifiques, Vous gagnez du temps pour mettre en œuvre des mesures correctives permanentes (politiques de pare-feu, renforcement des services, segmentation, voire réinstallation lorsque cela est plus prudent). C'est précisément cet équilibre entre visibilité et action immédiate qui fait la force de TCPView.

Isaac

Écrivain passionné par le monde des octets et de la technologie en général. J'aime partager mes connaissances à travers l'écriture, et c'est ce que je vais faire dans ce blog, vous montrer toutes les choses les plus intéressantes sur les gadgets, les logiciels, le matériel, les tendances technologiques et plus encore. Mon objectif est de vous aider à naviguer dans le monde numérique de manière simple et divertissante.