То скорее всего знаете о на наличии в ней встроенного брандмауэра. Возможно вы также умеете разрешать и блокировать доступ отдельных программ в сеть, чтобы контролировать входящий и исходящий трафик. Но знаете ли вы, что фаервол Windows может быть использован для регистрации всех проходящих через него соединений?
Журналы Брандмауэра Windows могут быть полезны при решении отдельных проблем:
Независимо от причин использования, включение протоколирования событий может быть сложной задачей, так как требует многих манипуляций с настройками. Приведем четкий алгоритм действий, как активировать регистрацию сетевой активности в фаерволе Windows.
Во-первых, нужно перейти к расширенным настройкам брандмауэра Windows. Откройте панель управления (клик правой кнопкой мыши по меню Пуск, опция “Панель управления”), затем нажмите ссылку “Брандмауэр Windows”, если стоит режим просмотра мелкие/крупные значки, либо выберите раздел “Система и безопасность”, а затем “Брандмауэр Windows”, если стоит режим просмотра категория.
В окне фаервола выберите опцию в левом навигационном меню “Дополнительные параметры”.
Вы увидите следующий экран настроек:
Это внутренняя техническая сторона брандмауэра Windows. Данный интерфейс позволяет разрешать или блокировать доступ программ в Интернет, настраивать входящие и исходящий трафик. Кроме того, именно здесь можно активировать функцию регистрации событий - хотя не сразу понятно, где это можно сделать.
Во-первых, выберите опцию “Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)”.
Кликните правой кнопкой мыши по ней и выберите опцию “Свойства”.
Откроется окно, которое может запутать пользователя. При выборе трех вкладок (Профиль домена, Частный профиль, Общий профиль) можно заметить, что их содержимое идентично, но относится к трем различным профилям, название которых указано в заголовке вкладки. На вкладке каждого профиля содержится кнопка настройки ведения журнала. Каждый журнал будет соответствовать отдельному профилю, но какой профиль используете вы?
Рассмотрим, что означает каждый профиль:
Если вы используете компьютер в домашней сети, перейдите на вкладку “Частный профиль”. Если используется публичная сеть, перейдите на вкладку “Общий профиль”. Нажмите кнопку “Настроить” в секции “Ведение журнала” на корректной вкладке.
В открывшемся окне вы можете настроить расположение и максимальный размер журнала. Можно задать легко запоминающееся место для лога, но на самом деле локация файла журнала не имеет особо значения. Если вы хотите запустить регистрацию событий, в обоих выпадающих меню “Записывать пропущенные пакеты” и “Записывать успешные подключения” установите значение “Да” и нажмите кнопку “ОК”. Постоянная работа функции может привести к проблемам производительности, поэтому активируйте ее только когда действительно нужно выполнить мониторинг подключений. Для отключения функции логирования установите значение “Нет (по умолчанию)” в обоих выпадающих меню.
Теперь компьютер будет фиксировать сетевую активность, контролируемую фаерволом. Для того, чтобы просмотреть логи, перейдите в окно “Дополнительные параметры”, выберите опцию “Наблюдение” в левом списке, а затем в секции “Параметры ведения журнала” кликните ссылку “Имя файла”.
Затем откроется журнал сетевой активности. Содержимое журнала может запутать неопытного пользователя. Рассмотрим основное содержимое записей журнала:
Информация в журнале поможет выяснить причину проблем подключения. Журналы могут регистрировать и другую активность, например, целевой порт или номер подтверждения TCP. Если вам нужны подробности, ознакомьтесь со строкой “#Fields” в верхней части лога, чтобы идентифицировать значение каждого показателя.
Не забудьте отключить функцию ведения журнала после завершения работы.
С помощью использования журнала брандмауэра Windows, вы можете проанализировать типы данных, обрабатываемых на компьютере. Кроме того, можно установить причины проблем с сетью, связанные с работой фаервола или другими объектами, нарушающими соединения. Журнал активности позволяет ознакомиться с работой фаервола и получить четкое представление о происходящем в сети.
Нашли опечатку? Нажмите Ctrl + Enter
Вредоносные программы могут проявляться не только в виде подозрительных процессов или файлов автозапуска, но и в виде сетевой активности. Черви используют сеть для распространения, троянские программы - для загрузки дополнительных компонентов и отсылки информации злоумышленнику.
Некоторые типы троянских программ специально предназначены для обеспечения удаленного управления зараженным компьютером. Для обеспечения доступа к компьютеру по сети со стороны злоумышленника они открывают определенный порт.
Что такое порт? Как известно, каждый компьютер обладает IP-адресом, на который этому компьютеру можно передавать данные. Но если на компьютере имеется несколько программ, работающих с сетью, например, почтовый сервер и веб-сервер, как определить, какие данные какой программе предназначены? Для этого и используются порты. За каждой программой, ожидающей данные из сети закрепляется определенное число - номер порта, а данные, пересылаемые на компьютер, кроме адреса компьютера содержат также и номер порта, чтобы было понятно, какая программа должна получить эти данные.
Как правило, похожие по назначению программы используют одни и те же порты для приема соединений. Почтовый сервер использует порт 25 для приема исходящих писем от почтовых клиентов. Веб-сервер использует порт 80 для приема соединений от браузеров. Впрочем, никаких принципиальных ограничений на использование портов нет, кроме того, что две программы не могут использовать один и тот же порт.
Аналогично почтовому серверу, вредоносные программы для приема команд или данных от злоумышленника используют определенный порт, постоянно ожидая сигналов на этот порт. В таких случаях принято говорить, что программа слушает порт.
Определить, какие порты слушаются на компьютере можно при помощи команды netstat -n. Для ее выполнения сперва нужно запустить командную оболочку. В случае Windows NT, 2000, XP и 2003 она запускается командой cmd.exe, а в Windows 98 и Me - command.com. Для запуска используются команды Выполнить в меню Пуск.
После выполнения в командной оболочке команды netstat -a в том же окне отображаются данные об установленных соединениях и открытых портах (тех, которые слушаются). Выглядит это как на рисунке 4.7.
Рис. 4.7.
Результатом выполнения команды является список активных подключений, в который входят установленные соединения и открытые порты. Открытые TCP-порты 2) обозначаются строкой LISTENING в колонке состояние. Часть портов связана с системными службами Windows и отображается не по номеру, а по названию - epmap, microsoft-ds, netbios-ssn. Порты, не относящиеся к стандартным службам, отображаются по номерам.
UDP-порты обозначаются строкой UDP в колонке Имя. Они не могут находиться в разных состояниях, поэтому специальная пометка LISTENING в их отношении не используется. Как и TCP-порты они могут отображаться по именам или по номерам.
Порты, используемые вредоносными программами, чаще всего являются нестандартными и поэтому отображаются согласно их номерам. Впрочем, могут встречаться троянские программы, использующие для маскировки стандартные для других приложений порты, например 80, 21, 443 - порты, используемые на файловых и веб-серверах.
Просто обнаружить неизвестные системе (и пользователю) порты мало. Нужно еще узнать, какие программы используют эти порты. Команда netstat не позволяет этого сделать, поэтому потребуется воспользоваться сторонними утилитами, например, утилитой tcpview.exe 3) . Эта утилита отображает более полную информацию о подключениях, включая данные о процессах, слушающих порты. Характерный вид окна утилиты представлен на рисунке 4.8.
Рис. 4.8.
Как несложно заметить, утилита TCPView отображает те же данные, что и команда netstat -a, но дополняет их информацией о процессах.
Что делать с результатами поиска
Итак, по результатам анализа процессов, параметров автозагрузки и соединений получен список подозрительных с точки зрения пользователя процессов (имен файлов). Для неопытного пользователя неизвестных, а значит подозрительных имен файлов может оказаться слишком много, поэтому имеет смысл выделить наиболее подозрительные из них - те, которые были обнаружены в двух и более источниках. Например, файлы, которые присутствуют в списке процессов и в списке автозагрузки. Еще более подозрительными являются процессы, обнаруженные в автозагрузке и слушающие порты.
Для выяснения природы подозрительных процессов проще всего использовать Интернет. В глобальной сети имеются сайты, собирающие информацию о различных процессах. Данных по всем процессам вредоносных программ на таких сайтах может и не быть, но во всяком случае на них есть информация о большом количестве неопасных процессов и таким образом можно будет исключить из списка те процессы, которые относятся к операционной системе или известным невредоносным программам. Одним из таких сайтов является http://www.processlibrary.com
После того, как список подозрительных процессов максимально сужен и в нем остались только те, о которых нет исчерпывающей и достоверной информации, остается последний шаг, найти эти файлы на диске и отправить на исследование в одну из антивирусных компаний для анализа.
Доступна на сайте http://www.sysinternals.com Для обмена данными между компьютерами могут использоваться различные протоколы, т. е. правила передачи информации. Понятие портов связано с использованием протоколов TCP и UDP. Не вдаваясь в подробности, стоит отметить, что в большинстве случаев применяется протокол TCP, но UDP также необходим для работы ряда служб и поддерживается всеми современными операционными системами. Доступна на сайте http://www.sysinternals.com
TCPView - это программа, предназначенная для операционной системы Windows, которая выводит на экран списки конечных точек всех установленных в системе соединений по протоколам TCP и UDP с подробными данными, в том числе с указанием локальных и удаленных адресов и состояния TCP-соединений. В операционных системах Windows NT, 2000 и XP программа TCPView также сообщает имя процесса, которому принадлежит конечная точка. Программа TCPView является дополнением программы Netstat, поставляемой вместе с ОС Windows, и предоставляет расширенный набор сведений в более удобной форме. В комплект загрузки программы TCPView входит программа Tcpvcon с теми же функциональными возможностями, предназначенная для работы в режиме командной строки.
Программа TCPView работает в операционных системах Windows NT/2000/XP и Windows 98/Me. Программу TCPView можно использовать также в операционной системе Windows 95 при условии установки пакета обновления Winsock 2 для ОС Windows 95, предоставляемого корпорацией Microsoft.
При запуске программа TCPView формирует список всех активных конечных точек соединений по протоколам TCP и UDP, отображая все IP-адреса в виде доменных имен. Чтобы переключить режим отображения для просмотра адресов в цифровом виде, можно использовать кнопку панели инструментов или пункт меню. В операционных системах Windows XP программа TCPView для каждой конечной точки отображает имя процесса, которому эта точка принадлежит.
По умолчанию программа TCPView обновляет информацию один раз в секунду, но период обновления можно изменить с помощью пункта Refresh Rate (Период обновления) в меню Options (Параметры). Если в период между обновлениями состояние конечной точки изменилось, она выделяется желтым цветом, если конечная точка удалена - красным цветом, новые конечные точки отображаются зеленым цветом.
Чтобы закрыть установленные подключения по протоколам TCP/IP (с отметкой состояния ESTABLISHED (установлено)), можно выбрать пункт Close Connections (Закрыть подключения) в меню File (Файл) или щелкнуть правой кнопкой мыши какое-либо подключение и выбрать в контекстном меню пункт Close Connections .
Данные, отображенные в окне программы TCPView, можно сохранить в виде файла с помощью пункта меню Save (сохранить).
Применение программы Tcpvcon аналогично применению служебной программы netstat, которая встроена в операционную систему Windows.
Применение: tcpvcon [-a] [-c] [-n] [имя процесса или PID]
Хотите знать, как работает программа TCPView? На примере исходного текста программы Netstatp показано, как можно запрограммировать некоторые функции программы TCPView. На примере этой программы показано, как использовать интерфейсы IP Helper (см. описание в документах на узле MSDN), чтобы получить список конечных точек соединений по протоколу TCP/IP. Однако обратите внимание, что программа netstatp не выводит имена процессов в системах NT 4 и Windows 2000, как это делают программы TCPView и TCPVCon.
Данная статья базы знаний Майкрософт посвящена программе TCPView:
TDImon - показывает активность с использованием протоколов TCP и UDP в реальном времени.
Если вам понравилась программа TCPView, то программа TCPView Pro понравится вам еще больше. Программа TCPView Pro, разработанная компанией Winternals Software, обладает рядом функций, благодаря которым она является намного более мощным и полезным средством, чем программа TCPView. Это такие функции: просмотр данных о процессах, которым принадлежат конечные точки открытых соединений (также действует в системе Windows 9x)
Программа TCPView Pro поставляется в составе пакета Winternals Administrator"s Pak.
В статье описываются основные функции команд позволяющих определить сетевую активность компьютера.
Используется для определения сетевой активности вашего компьютера, например, чтобы узнать, с каким сайтом соединяется ваша программа. Из стандартной справки по этой команде, которая показывается, если набрать в консольном окне сеанса MS-DOS
Netstat /?
Можно узнать очень многое, но я расскажу только основные, на мой взгляд, моменты. Основное использование команды.
Cо следующим ключом:
Netstat -a
эта команда выдает список активных соединений вашего компьютера с внешним миром, вот, например, результат этой команды:
Proto Local Address Foreign Address State TCP alex:1085 diablo.surnet.ru:80 ESTABLISHED UDP alex:1084 *:* UDP alex:nbname *:* UDP alex:nbdatagram *:*
Рассмотрим первую строчку:
Proto - протокол.
Local Address - локальный адрес и порт, имя вашего
компьютера.
Foreign Address - удаленный адрес и порт; адрес, с которым на
данный момент устанавливает связь ваш компьютер.
State - состояние
соединения.
Из протоколов наибольший интерес представляет TCP как протокол, по которому вы соединяетесь с удаленным компьютером через интернет.
В локальном адресе, через двоеточие от имени вашего компьютера, показан порт, через который происходит обмен данными на вашем компьютере. Так как сопоставить программу, работающую с интернетом, и сетевое соединение не совсем просто, то рекомендуется принудительно задавать каждой программе порт, если естьтакая возможность (в следующих статьях я расскажу, как), тогда легко можно будет определить, какая программа с чем соединяется и не качает ли она лишнюю информацию (спам).
Для определения скорости соединения и "живости" удаленного компьютера служит команда ping. Дополнительные сведения вы можете узнать из стандартной справки команды ping.
Стандарный вызов программы: ping "удаленный адрес". "Удаленный адрес" можно задать как символьным способом, например, ya.ru, так и адресом удаленного сервера, например, 212.65.99.1
Экран этой команды:
Reply from 195.54.9.250: bytes=32 time=56ms TTL=250 Reply from 195.54.9.250: bytes=32 time=55ms TTL=250 Reply from 195.54.9.250: bytes=32 time=56ms TTL=250
где цифры после from "удаленный адрес":
bytes - количество переданных байт
time - время отклика сервера
дополнительные параметры с указанием ключей:
Ping "удаленный адрес" -t
пингует бесконечно удаленный сервер.
Ping "удаленный адрес" -n 10
пинговать удаленный сервер заданное количество раз.
Ping "удаленный адрес" -w 10000
ждать отклика удаленного сервера заданное количество милисекунд.
Эти ключи можно комбинировать, у меня, например, стоит следующая команда для проверки удаленного сервера (и живости инета):
Ping 195.54.9.250 -n 10 -w 10000
Проверять удаленный сервер 10 раз и ждать отклика 10сек, если в течении этого времени ни одного отклика не будет, и итог будет "Request timed out" то я считаю, что данный сервер в данный момент недоступен.
синтаксис данной команды очень простой:
Tracert "удаленный сервер"
На экран будет выведен список серверов и время задержки, через которые проходит сигнал, чтобы дойти до "удаленного сервера" например, как это выглядит у меня.
Tracing route to diablo.surnet.ru over a maximum of 30 hops: 1 4 ms 2 ms 2 ms gw.bran760.icb.chel.su 2 54 ms 53 ms 53 ms Satka-ICB.ll.icb.chel.su 3 62 ms 96 ms 65 ms 195.54.1.153 4 65 ms 65 ms 65 ms 195.54.1.249 5 75 ms 76 ms 85 ms diablo.surnet.ru Trace complete.
С помощью данных команд вы можете определять сетевую активность вашей машины, видеть, какая программа что куда качает и по какому адресу, а также проверять время прохождения сигнала с вашего компьютера до определенного сервера. В следующий раз я расскажу, как с помощью этих команд собирать статистику сетевого соединения.
Инструкция
Обычно необходимость посмотреть активные соединения связана с подозрением на заражение компьютера шпионскими программами. Правильно настроенный компьютер должен соединяться с сетью только тогда, когда вы открываете какие-то страницы или во время обновления файлов ОС и баз антивирусной программы. Если индикатор сетевого соединения в трее то и дело «оживает» сам собой, и компьютер, независимо от вас, обменивается с интернетом какой-то информацией, необходимо выяснить причины подобной сетевой активности.
Откройте командную строку, для этого выполните: «Пуск» - «Все программы» - «Стандартные» - «Командная строка». В открывшемся окне введите команду netstat –aon и нажмите Enter. Вы увидите список всех сетевых соединений, активные будут отмечены в графе «Состояние» как ESTABLISHED.
Обратите внимание на графу «Внешний адрес» - в ней указаны ip, с которыми соединялся ваш компьютер, и порт соединения. Порт 80, например, характерен для веб-серверов. Но если вы видите какой-то другой порт, это уже повод для тревоги. В этом случае вам необходимо выяснить, какое установленное на вашем компьютере приложение открывает данное соединение.
Посмотрите на последнюю графу, в ней указаны идентификаторы процессов (PID). Запомните идентификатор подозрительного процесса, затем в том же окне наберите команду tasklist. Откроется список запущенных на компьютере процессов. В первой графе будут указаны имена процессов, во второй – их идентификаторы. Найдите идентификатор подозрительного процесса, затем, слева от него, посмотрите имя программы, которой он принадлежит.
Как быть, если имя процесса вам ничего не говорит? Наберите его в поисковике, и вы получите всю информацию о данном процессе. Если информации нет, то очень велика вероятность того, что вы «поймали» новую троянскую программу, сведения о которой еще не попали в интернет и в базы антивирусов.
Обращайте внимание на то, какой порт открывает подозрительный процесс – информация об открытых портах присутствует в графе «Локальный адрес». Проверяйте процессы, находящиеся в состоянии ожидания соединения – LISTENING. Именно так ведут себя бэкдоры – троянские программы, предназначенные для скрытного соединения с зараженным компьютером. Серверная часть такой программы всегда «висит» на каком-то порту и ждет подключения с компьютера хакера.
Для полного контроля за соединениями установите программу BWMeter. Это одна из лучших программ данного класса, она позволит вам видеть, с какими адресами соединяется ваш компьютер, есть возможность записывать информацию в лог.
Источники:
В случае необходимости узнать фактическую скорость интернет-соединения самым правильным будет выполнить проверку на своем компьютере или мобильном устройстве, поскольку информация от провайдера может оказаться недостоверной. В качестве инструмента для определения скорости приема и передачи данных следует использовать специализированные онлайн-ресурсы.
Инструкция
Одним из самых популярных сайтов, предназначенных для этой цели, считается www.speedtest.net. Откройте сайт, но перед проверкой выполните небольшую подготовительную работу. Дело в том, что некоторые службы и приложения могут работать в фоновом режиме, используя интернет-канал. Самые основные из них: антивирусная программа, торрент-клиент, служба автоматического обновления Windows. Отключите все подобные программы и службы, и только после этого приступайте к проверке скорости – так вы получите значение, максимально приближенное к действительности.
Для запуска процедуры определения скорости нажмите кнопку «Начать проверку» и дождитесь, пока вам не будет показан результат. После завершения проверки вы узнает показатель Ping (чем он меньше, тем лучше), скорость загрузки и скорость отдачи. Последние два показателя - и есть ваша реальная скорость интернет-соединения . Чем выше эти значения, тем быстрее будут открываться страницы в браузере, скачиваться программы, фильмы, и тем более комфортным (без пауз) будет просмотр - .
Если вам нужно узнать скорость соединения на вашем мобильном устройстве, например, на iPad, iPhone, HTC, Samsung и др. (iOs и Android), вы можете установить на свой девайс специальное приложение, загрузить которое можно на том же сайте в разделе «Мобильность» или в онлайн-магазинах AppStore и Android Market. После установки такого приложения вы сможете проверить скорость получения и передачи данных на своем или и узнать, отвечает ли заявленная провайдером скорость в сети 2G или 3G фактическим показателям.
Видео по теме
Полезный совет
Помимо сайта Speedtest.net вы можете воспользоваться аналогичными ресурсами: www.internet.yandex.ru, www.speed.yoip.ru, www.speed-tester.info и другими.
Благодаря наличию в трее иконки в виде двух компьютеров пользователь может в общих чертах судить о сетевой активности его машины. В том случае, если даже простаивающий компьютер активно общается с интернетом, возникает необходимость более полного контроля трафика.
Вам понадобится
Инструкция
Правильно настроенный компьютер никогда не будет сам лезть в сеть. Исключением являются лишь запланированные обновления операционной системы и антивирусной программы. Если компьютер постоянно лезет в сеть, можно предположить его неправильную настройку или вирусную активность .
Чтобы посмотреть сетевую активность компьютера, запустите командную строку: «Пуск – Все программы – Стандартные – Командная строка». Введите команду netstat –aon и не забудьте нажать Enter. Перед вами появится таблица из пяти столбцов. В первом будет указан протокол – UDP или TCP. Во втором перечислены все активные подключения, при этом вы можете видеть и открытые на вашей машине порты. Третий столбец показывает внешний адрес, четвертый состояние подключения. В пятом вы можете видеть PID – цифровой идентификатор процесса.
Указанные во второй колонке порты говорят о том, что их открыли какие-то программы, среди которых вполне могут быть и троянские. Для того чтобы понять, какая программа открывает тот или иной порт, в том же окне введите команду tasklist – вы увидите список запущенных процессов. При этом сразу после названия исполнимого файла будет идти идентификатор процесса.
Допустим, вы видите, что у вас открыт порт 1025, его PID – 1480 (у вас он может быть другим). Найдите этот идентификатор в списке процессов и посмотрите, какой программе он принадлежит. Если вы не знаете, что это , наберите ее название в поисковике.
Колонка «Состояние» дает вам возможность видеть состояние соединения. Например, строка LISTENING говорит о том, что программа находится в состоянии ожидания соединения. Именно так ведут себя бэкдоры – троянские программы, серверная часть которых находится на компьютере жертвы. Но в этом состоянии могут находиться и другие программы – например, сервисы Windows. В операционной системе Windows XP некоторые потенциально опасные порты можно закрыть с помощью утилиты wwdc, ее можно скачать в интернете.
Если вам нужен полный анализ трафика, воспользуйтесь программой BWmeter. Она отследит все подключения к вашему компьютеру с указанием ip-адресов, данные можно записывать в лог. Программа полезна как для вычисления шпионских программ, так и для выявления и последующего отключения всевозможных служб, лезущих в сеть без разрешения владельца компьютера.
Задача определения используемых портов, статистики и активных подключений протокола TCP/IP в операционной системе Microsoft Windows может быть решена стандартными средствами самой системы с использованием консольной утилиты netstat.
Инструкция
Введите значение cmd в поле «Открыть» и подтвердите выполнение команды запуска инструмента «Командная строка» нажатием кнопки OK.
Введите значение netstat -ano в тестовое поле интерпретатора команд Windows и подтвердите выполнение команды нажатием функциональной клавиши Enter.
Запомните синтаксис используемой консольной команды:
- a - отображение всех используемых соединений и портов;
- n - отображение не псевдонимов и DNS-имен, а действительных числовых значений портов и IP-адресов соединений;
- o - отображение PID (Process ID) - цифрового идентификатора процесса, использующего данное соединение или порт.
Определите приложение, ответственное за конкретное соединение через выбранный порт и запомните его идентификатор.
Вернитесь в диалог «Выполнить» и еще раз введите значение cmd в поле «Открыть» для определения необходимого процесса.
Подтвердите выполнение команды запуска интерпретатора команд Windows нажатием кнопки OK и введите значение tasklist | find сохраненный_PID в текстовое поле инструмента «Командная строка».
Подтвердите выполнение команды нажатием функциональной клавиши Enter или выполните одновременное нажатие функциональных клавиш Ctrl+Shift+Esc для запуска встроенной утилиты «Диспетчер задач Windows».
Перейдите на вкладку «Процессы» открывшегося диалогового окна диспетчера и раскройте меню «Вид» верхней панели инструментов.
Укажите команду «Выбрать столбцы» и примените флажок на поле PID (Process Identifier).
