Overvåk tilkoblinger i Windows med TCPView og Netstat

Mundobytes » Windows » Overvåk nettverkstilkoblinger i Windows med TCPView, TCPvcon og Netstat

TCPView viser TCP/UDP-tilkoblinger i sanntid, med prosess og status.
Lar deg lukke sockets, lagre bevis og justere DNS-oppdatering og -oppløsning.
Tcpvcon og netstat dekker konsollbruk, filtre og CSV-eksport.
Den kompletteres av Nmap, Wireshark og andre verktøy for en fullstendig revisjon.

Overvåk nettverkstilkobling med TCPView

Hvis du lurer på hvilke enheter datamaskinen din «snakker» med akkurat nå, har du kommet til rett sted: systemene Windows De leveres med verktøy for å se det, og det finnes avanserte verktøy som gjør det enda enklere. TCPView, fra Sysinternals (Microsoft), er en av de raskeste måtene å revidere live-tilkoblinger. uten å gå seg vill i konsollen.

I bedrifts- eller hjemmemiljøer er det viktig å vite hvilke prosesser som kobler seg til Internett og hvilke destinasjoner de kommuniserer med for å diagnostisere problemer, validere brannmurregler eller oppdage mistenkelig aktivitet. I tillegg til Netstat, TCPView legger til en sanntidsvisning, fargeutheving og direkte tilkoblingsadministrasjon, noe som gjør det til en praktisk erstatning for daglig revisjon.

Hva er TCPView og hvorfor er det en praktisk erstatning for Netstat?

revider tilkoblinger med TCPView

TCPView er et gratis verktøy fra Microsoft Sysinternals som viser alle TCP- og UDP-endepunkter for systemet med deres lokale/eksterne adresser og status (f.eks. ESTABLISHED, TIME_WAIT). I motsetning til en tekstdump, lar grensesnittet deg raskt identifisere hvilken prosess som ligger bak hver sokkel.

En av de største attraksjonene er at du ved siden av hvert tilkoblingspunkt vil se navn på eierprosessen og, der det er aktuelt, navnet på den tilknyttede tjenestenPå denne måten oppdager du ikke bare porten og IP-adressen, men også hvem som åpnet den, noe som er viktig for å begrense nettverksdiagnostikk eller jakte på skadelig programvare.

Fra et funksjonelt synspunkt tilbyr TCPView en delmengde av netstat presentert på en tydeligere og mer handlingsrettet måte. I nedlastingspakken finner du også Tcpvcon, en linjeversjon av kommandoer med tilsvarende muligheter for automatisering eller opptak fra skript.

Som standard oppdateres visningen hvert sekund, men du kan endre dette fra Alternativer | OppdateringsfrekvensProgrammet fremhever endringene mellom syklusene: Nye endepunkter i grønt, statusendringer i gult og brutte forbindelser i rødt., slik at aktiviteten er uanstrengt åpenbar.

En annen viktig fordel er at det lar deg handle ut fra det du ser: du kan Lukk etablerte TCP-tilkoblinger fra Fil | Lukk tilkoblinger eller hurtigmenyen, noe som er spesielt nyttig for å kvele uønsket kommunikasjon i fødselen mens du fortsetter forskningen din.

Hvis du trenger å bevare bevis eller dokumentere en sesjon, tillater applikasjonen det lagre utdataene på disk ved hjelp av Lagre-menyenOg hvis du foretrekker menneskelig lesbare vertsnavn, kan du slå DNS-oppløsning av og på fra verktøylinjen eller menyen.

Når det gjelder kompatibilitet, fungerer TCPView på Windows 8.1 og senere på klienten, og Windows Server 2012 og senere på serveren, så den dekker i stor grad nåværende skrivebords- og serverscenarioer.

Den offisielle nedlastingen er tilgjengelig fra Microsoft, og du kan også Kjør verktøyet umiddelbart med Sysinternals LiveBinærfilstørrelsen er for tiden rundt 1,5 MB, selv om den var mindre i eldre versjoner; uansett er det en bærbart verktøy som ikke krever installasjon.

Slik importerer du WhatsApp-chatter enkelt til Telegram

Som en historisk referanse bærer prosjektet signaturen til Mark Russinovich og dokumentasjonen har nylig blitt oppdatert (f.eks. 11. april 2023). Dette sikrer fortsatt støtte og vedlikehold fra Sysinternals-teamet..

Grunnleggende bruk av TCPView i Windows

overvåke nettverket med TCPView

Når du åpner TCPView, viser programmet alle aktive TCP/UDP-endepunkter, og hvis du har det aktivert, løser IP-adresser til domenenavn for lesbarhetDu kan slå oppløsningen av eller på, avhengig av om du trenger rask analyse eller numerisk presisjon.

Merk kolonnene for prosess, protokoll, adresser/porter og status: Sortering etter prosess eller port hjelper deg med å gruppere aktivitet og oppdage mønstre (for eksempel massive tilkoblinger til SMTP eller kjente kommando- og kontrollservere).

Oppdateringen hvert sekund markerer aktiviteten i farger: hvis du ser mye grønt og rødt blinke ofte, kan det tyde på Gjentakende tilkoblingsforsøk, skanninger eller aggressive gjenoppkoblinger fra et programDenne fargekodingen fremskynder beslutningstaking i kritiske øyeblikk.

Trenger du å redusere trafikken? Velg én eller flere rader med en angitt status og bruk dem Fil | Lukk tilkoblinger eller høyreklikk for å lukke sokkelenDette er en midlertidig handling (appen kan koble seg til på nytt), men den er nyttig for å stoppe eksfiltrering eller spam mens du justerer retningslinjene.

Det er praktisk å samle bevis eller dele dem med teamet lagre en vindusdump med Lagre-menyenDenne registreringen gjør det enkelt å korrelere hendelser med logger brannmur, IDS eller EDR og dokumenter hendelsen.

Hvis målet ditt er å jobbe med rene IP-adresser, deaktiver navneløsning. I miljøer med intern DNS kan vertsnavnet gi kontekst, men Numeriske IP-adresser forhindrer forvirring fra uønskede omvendte løsninger under en rettsmedisinsk undersøkelse.

En praktisk merknad: Selv om TCPView ikke krever installasjon, kjør det med de nødvendige tillatelsene for å se all aktivitet. Å åpne den med forhøyede rettigheter sikrer at du kan observere systemprosesser og tjenester. som ellers ville vært utenfor synsvidden din.

Tcpvcon: konsollversjonen for automatisering av revisjoner

Hvis du foretrekker å integrere revisjon i skript eller planlegge periodiske logger, tilbyr Tcpvcon samme observerbarhet fra kommandolinjen med veldig direkte brukDen er ideell for å samle inn uttalelser i grupper eller generere CSV-er for videre analyse.

Grunnleggende bruk av verktøyet:

tcpvcon [-a] [-c] [-n] [nombre_de_proceso_o_PID]

De mest nyttige modifikatorene er:

- -a: viser alle endepunkter (hvis du ikke bruker dette, vil du stort sett se etablerte TCP-tilkoblinger). Perfekt for et komplett systembilde ufiltrert etter stat.

- -cEksporterer utdataene som CSV. Ideell for åpning i Excel eller for å mate en SIEM med tabulerte data om prosesser, porter og tilstander.

- -n: løser ikke navn; skriver ut numeriske adresser. Unngår DNS-forsinkelser og opprettholder rettsmedisinsk nøyaktighet i kritiske miljøer.

Et raskt eksempel på bruk: du kjenner til den mistenkelige PID-en og ønsker å liste opp aktiviteten uten å løse opp navn; det ville være nok. tcpvcon -a -n 784 for å se dine aktive forbindelser. Ved å kombinere filtre kan du gå dypere inn i detaljene i en bestemt prosess med minimal friksjon..

Slik oppdager og fjerner dupliserte linjer i Notisblokk: Komplett guide

Netstat for visning av aktive tilkoblinger: når du skal bruke det og hvordan du sammenligner det

Netstat er veteranen på området: den er integrert i Windows og, godt brukt, lar deg inspisere TCP/UDP-tilkoblinger, lytteporter og statuserUtdataene er «mer statiske» i den forstand at de krever ny oppstart for å oppdatere, men de er fortsatt verdifulle.

Viktige kommandoer å ha for hånden:

netstat          # lista conexiones y puertos con nombres
netstat -n       # muestra IPs y puertos en formato numérico
netstat -a       # todas las conexiones y puertos en escucha
netstat -b       # requiere admin; muestra el ejecutable asociado

-b-modifikatoren Det er spesielt interessant å se hvilken binærfil som ligger bak en tilkobling, men husk å åpne konsollen som administrator. Uten høyde kan det hende at noe prosessinformasjon ikke vises..

Hvis du ønsker live-overvåking med farger, visuelle filtre og muligheten til å lukke forbindelser, kan du bruke TCPView. Det vil spare deg tidHvis du trenger noe raskt fra konsollen, eller du er på en server uten et grafisk brukergrensesnitt, netstat eller Tcpvcon er et trygt kort.

Virkelige scenarier: oppdage skadelig programvare, SMTP-spam og brannmurfeil

En vanlig situasjon i små og mellomstore bedrifter: Internettleverandøren blokkerer port 25 på grunn av spam-deteksjon. I stedet for å bruke timevis med antimalware på dusinvis av datamaskiner, kan du Start TCPView på hver PC (en oppgave som tar ett minutt) og finn synderen på sekunder. ser flere samtidige utgående SMTP-tilkoblinger.

På datamaskiner som er kompromittert av masseutsendelser av trojanere, vil du se flere eksterne destinasjoner på port 25 eller 587 med konstant aktivitetSammenlignet med en ren maskin (uten merkelige pigger), er kontrasten tydelig og lar deg raskt isolere det berørte utstyret.

Et annet scenario: en Dårlig konfigurasjon av portvideresending på brannmuren Dette gjør serveren for eksponert. TCPView kan vise flyktige tilkoblinger fra ukjente eksterne IP-adresser med lave datavolumer. Dette kan være internettstøy, skanninger eller mislykkede forsøk., men det er ikke tilrådelig å ignorere det.

I domenediagnostikk er det vanlig å se tilkoblinger tilknyttet PID 4 (System) til domenekontrollereDenne aktiviteten er ikke nødvendigvis skadelig: operativsystemet og kjernetjenestene etablerer legitim kommunikasjon. Nøkkelen er å korrelere tidsplaner, porter og protokoller med serverfunksjonene.

Hvis du har IDS/IPS, gir varsler kontekst. For eksempel et varsel om SERVER-WEBAPP Linksys E-serie HNAP TheMoon (RCE-forsøk) Indikerer skanninger eller angrep rettet mot sårbare rutere. Det innebærer ikke et kompromittering av Windows-verten din, men Ja, det foreslår å gjennomgå eksponering og herde perimetre.

God praksis under forskning:
- Frys bevis lagrer TCPView-utdata og brannmur-/IDS-logger.
- Sjekk åpne tjenester med netstat/Tcpvcon og sammenlign dem med den forventede konfigurasjonen.
- Se gjennom NAT-/portvideresendingsregler og lukk de unødvendige.
- Sjekk prosesser og signaturer av mistenkelige kjørbare filer med banen og utgiveren deres.
Disse handlingene, sammen med midlertidige tilkoblingskutt fra grensesnittet, hjelp med å begrense hendelsen mens du planlegger permanente tiltak.

Slik bruker du Game Assist på Edge: Komplett trinnvis veiledning

Komplementære verktøy for en fullstendig nettverksrevisjon

I tillegg til TCPView og Netstat, er det verdt å stole på kjente nettverksverktøy som utvider omfanget ditt. Å bruke dem til defensive formål gir deg et forsprang på hvordan angripere fungerer. og hjelper deg å forstå eksponeringsområdet ditt.

- TCPDump og WinDump: Trafikkfangstprogrammer for kommandolinjer. De tillater Dump pakker for analyse og se hva som flyter gjennom nettverketWinDump krever WinPcap/Npcap på Windows. De er kraftige, men lesekurven deres er mer teknisk.

- NmapPortskanner og tjenesterevisjon. Sender forhåndsdefinerte pakker til IP-områder til oppdag verter, åpne porter, tjenester og noen ganger operativsystemetDet er viktig å validere hva du faktisk eksponerer for nettverket.

- Wireshark: protokollanalysator med grafisk grensesnitt. Tillater inspisere og dekapsulere TCP/UDP-pakker i detalj, ideelt for å diagnostisere problemer med fine kommunikasjon eller studere protokoller.

- SopCast: pakke for trådløse nettverk orientert mot Overvåk WEP/WPA/WPA2-nøkkelstyrken og analyser Wi-Fi-pakkerNyttig for å evaluere bedriftens Wi-Fi-sikkerhet og passordpolicyer.

- Kali LinuxPenetrasjonstestorientert distribusjon som samler dusinvis av verktøy (inkludert flere av de foregående). Den kan kjøres live fra USB eller slå seg ned, og mange verktøy tilbyr et grafisk grensesnitt i tillegg til en konsoll.

Disse løsningene erstatter ikke TCPView, men utfyller det heller: TCPView Det gir deg «hvem og nå» på prosessnivå, Nmap for tjenesteeksponering og Wireshark/TCPDump for pakkevisning. Sammen utgjør de en robust arbeidsflyt for oppdage avvik, bekrefte funn og styrke kontrollene.

Nedlasting, utførelse og kompatibilitet

Du kan laste ned verktøyet fra det offisielle nettstedet til Microsoft Sysinternals. Den nåværende nedlastingen veier omtrent 1,5 MB og leveres som en bærbar binærfilHvis du foretrekker å ikke laste ned noe, er det også mulig kjør det på sparket via Sysinternals Live direkte fra Internett.

Sammendrag av utførelseskrav:

Client: Windows 8.1 eller nyere.
serverenWindows Server 2012 eller nyere.

For å dra nytte av alle mulighetene, anbefales det kjør som administrator i feilsøkingsøkter, spesielt hvis du skal bruke netstat -bo, må du se systemprosessene.

Hva skal man velge til daglig bruk? For rask overvåking og triage, TCPView Den er smidig, visuel og handlingsrettetFor skripting, lagerstyring og periodiske registre, Tcpvcon og netstat dekk flyten med konsoll. I hendelser med reell mistanke, kombinerer disse visningene med opptak og skanninger å gå fra hypotese til bevis.

Med et så lett verktøy og muligheten til å kutte spesifikke hylser, Du får tid til å implementere permanente korrigerende tiltak (brannmurpolicyer, tjenesteherding, segmentering eller til og med reinstallasjon når det er mest forsvarlig). Det er nettopp denne balansen mellom synlighet og umiddelbar handling som utmerker TCPView.

Isaac

Lidenskapelig forfatter om verden av bytes og teknologi generelt. Jeg elsker å dele kunnskapen min gjennom å skrive, og det er det jeg skal gjøre i denne bloggen, vise deg alle de mest interessante tingene om dingser, programvare, maskinvare, teknologiske trender og mer. Målet mitt er å hjelpe deg med å navigere i den digitale verden på en enkel og underholdende måte.