Мониторинг сетевой активности. Утилита netstat

Мониторинг сетевой активности. Утилита netstat

Речь пойдет о консольной утилите netstat. Рассмотрим абстрактный случай, который поможет понять, как оценить сетевую активность, используя только консоль.

Для начала открываем консоль. Сделать это можно из командной строки вводим cmd: и видим привычную консоль:

Для начала посмотрим, какие возможности есть у данной утилиты. Для этого запустим ее с ключом, предоставляющем справочную информацию:

-a вводит все без исключения соединения и порты
-b выводит соединения с предписанием, каковым исполнимым файлом оно было активизировано (весьма нужная функция)
-e выводит статистику по части высланным и принятым пакетам
-n выводит адреса и порты в обличье десятичных номеров
-o функционирует очевидно с опцией -b, однако заместо названия родительского для соединения процесса выводит только его ID. Такое дает возможность конкретно определять родительский процесс.
-p выводит соединения только лишь ради указанного протокола
-r выводит текущую таблицу маршрутизации -s выводит статистику раздельно для каждого протокола
-v при указании только лишь данного параметра следствие никак не будет различаться от netstat в отсутствии характеристик, однако в комбинации с ключом
-b выводит перечень соединений с указанием не только лишь родительского процесса, а и абсолютно всех элемент, участвующих в установлении соединения. Подобно как это видится проанализируем позднее.

interval повторять сканирование через заданный интервал

Итак начнем анализ сетевых соединений. Для начала попробуем просто netstat без параметров при запущенном IM-клиенте и браузере:

Не слишком понятно, но уже можно разобраться в том, что xmpp.yandex.ru:5222 это соединение установленное клиентом обмена мгновенными сообщениями, так как 5222 это стандартный порт для джаббера.

Попробуем использовать параметры, которые помогут сделать вывод более понятным. Начнем с -b и -n. Их можно указывать сразу вместе:

Как видно, с джаббером мы угадали miranda32.exe это как раз наша программа для мгновенного обмена сообщениями.

А 93.158.134.48 это действительно IP-адрес нашего джаббер сервера yandex.ru. В этом можно убедиться, воспользовавшись любой службой позволяющей установить кому именно принадлежит тот или иной адрес:

Жмем кнопку Whois и получаем детальную информацию о данном IP-адресе:

Так же можно установить, что 74.125.87.189 это google, открытый в iexplore.exe Internet Explorer:

А что же тогда подозрительная, аномальная сетевая активность? Это когда на запрос netstat вы получаете что-то непонятное:

Название процесса сразу вызывает подозрение. Проверка IP-адреса приводит в Китай.

Но мы совсем не помним, чтобы устанавливали что-то из продукции CHINA NETCOM (GROUP) CORPORATION LTD. HEZE BRANCH-... Беглый вопрос к Гуглу сразу же показывает в каком контексте встречается данный IP-адрес:

Производим поиск по имени процесса и находим виновника. Конечно же в системном каталоге. И конечно же пытается скрыться от наших пристальных взоров:

За одно обращаем внимание на то, что у исполняемых файлов нет расширений. Ну и чтобы окончательно расставить точки над i воспользуемся популярным он-лайн сканером:

Файл вредоносен. В этом нет никаких сомнений.

Оказывается, в самой операционной системе есть достаточно утилит, при помощи которых можно вполне сносно бороться с вредоносами. Они помогают, конечно, не всегда, но достаточно часто их хватает для того, чтобы разобраться с попавшими в систему мелкими вредителями.