Παρακολούθηση κρυφών συνδέσεων ιστότοπου και Διαδικτύου

Μπορείτε να είστε βέβαιοι ότι ο υπολογιστής σας είναι συνδεδεμένος με τον διακομιστή που φιλοξενεί τον ιστότοπό μου καθώς διαβάζετε αυτό το άρθρο, αλλά εκτός από τις προφανείς συνδέσεις με τους ιστότοπους που είναι ανοιχτοί στο πρόγραμμα περιήγησής σας στον ιστό, ο υπολογιστής σας μπορεί να συνδέεται με μια ολόκληρη σειρά άλλων διακομιστών που δεν φαίνονται.

Τις περισσότερες φορές, δεν θα θέλετε να κάνετε τίποτα γραμμένο σε αυτό το άρθρο, καθώς απαιτεί την εξέταση πολλών τεχνικών στοιχείων, αλλά αν νομίζετε ότι υπάρχει ένα πρόγραμμα στον υπολογιστή σας που δεν θα έπρεπε να είναι εκεί και να επικοινωνεί κρυφά στο Διαδίκτυο(Internet) , οι παρακάτω μέθοδοι θα σας βοηθήσουν να εντοπίσετε οτιδήποτε ασυνήθιστο.

Αξίζει να σημειωθεί ότι ένας υπολογιστής που εκτελεί λειτουργικό σύστημα όπως τα Windows(Windows) με εγκατεστημένα λίγα προγράμματα θα καταλήξει να πραγματοποιεί πολλές συνδέσεις σε εξωτερικούς διακομιστές από προεπιλογή. Για παράδειγμα, στον υπολογιστή μου με Windows 10 μετά από επανεκκίνηση και χωρίς προγράμματα που εκτελούνται, πραγματοποιούνται πολλές συνδέσεις από τα ίδια τα Windows , συμπεριλαμβανομένου του OneDrive , της Cortana και ακόμη και της αναζήτησης στην επιφάνεια εργασίας. Διαβάστε το άρθρο μου σχετικά με την ασφάλεια των Windows 10(securing Windows 10) για να μάθετε πώς μπορείτε να αποτρέψετε την πολύ συχνή επικοινωνία των Windows 10 με διακομιστές της Microsoft .(Microsoft)

Υπάρχουν τρεις τρόποι με τους οποίους μπορείτε να παρακολουθήσετε τις συνδέσεις που πραγματοποιεί ο υπολογιστής σας στο Διαδίκτυο(Internet) : μέσω της γραμμής εντολών, χρησιμοποιώντας την Παρακολούθηση πόρων(Resource Monitor) ή μέσω προγραμμάτων τρίτων κατασκευαστών. Θα αναφέρω τελευταία τη γραμμή εντολών, καθώς αυτή είναι η πιο τεχνική και πιο δύσκολη στην αποκρυπτογράφηση.

Παρακολούθηση πόρων

Ο ευκολότερος τρόπος για να ελέγξετε όλες τις συνδέσεις που πραγματοποιεί ο υπολογιστής σας είναι να χρησιμοποιήσετε το Resource Monitor . Για να το ανοίξετε, πρέπει να κάνετε κλικ στο Έναρξη(Start) και στη συνέχεια να πληκτρολογήσετε  την παρακολούθηση πόρων(resource monitor) . Θα δείτε πολλές καρτέλες στην κορυφή και αυτή στην οποία θέλουμε να κάνουμε κλικ είναι το Δίκτυο(Network) .

παρακολούθηση πόρων

Σε αυτήν την καρτέλα, θα δείτε πολλές ενότητες με διαφορετικούς τύπους δεδομένων: Διεργασίες με δραστηριότητα(Processes with Network Activity) δικτύου , Δραστηριότητα δικτύου(Network Activity) , Συνδέσεις TCP( TCP Connections) και Θύρες ακρόασης( Listening Ports) .

διαδικασίες παρακολούθησης πόρων

Όλα τα δεδομένα που αναφέρονται σε αυτές τις οθόνες ενημερώνονται σε πραγματικό χρόνο. Μπορείτε να κάνετε κλικ σε μια κεφαλίδα σε οποιαδήποτε στήλη για να ταξινομήσετε τα δεδομένα σε αύξουσα ή φθίνουσα σειρά. Στην ενότητα Διεργασίες με Δραστηριότητα Δικτύου (Processes with Network Activity ) , η λίστα περιλαμβάνει όλες τις διεργασίες που έχουν οποιοδήποτε είδος δραστηριότητας δικτύου. Θα μπορείτε επίσης να δείτε τη συνολική ποσότητα δεδομένων που αποστέλλονται και λαμβάνονται σε byte ανά δευτερόλεπτο για κάθε διαδικασία. Θα παρατηρήσετε ότι υπάρχει ένα κενό πλαίσιο ελέγχου δίπλα σε κάθε διαδικασία, το οποίο μπορεί να χρησιμοποιηθεί ως φίλτρο για όλες τις άλλες ενότητες.

Για παράδειγμα, δεν ήμουν σίγουρος τι ήταν το nvstreamsvc.exe , οπότε το έλεγξα και μετά εξέτασα τα δεδομένα στις άλλες ενότητες. Στην ενότητα Δραστηριότητα δικτύου(Network Activity) , θέλετε να δείτε το πεδίο Διεύθυνση(Address)  , το οποίο θα σας δώσει μια διεύθυνση IP ή το όνομα DNS του απομακρυσμένου διακομιστή.

φίλτρο παρακολούθησης πόρων διαδικασίας

Από μόνες τους, οι πληροφορίες εδώ δεν θα σας βοηθήσουν απαραίτητα να καταλάβετε αν κάτι είναι καλό ή κακό. Πρέπει να χρησιμοποιήσετε ορισμένους ιστότοπους τρίτων για να σας βοηθήσουν να προσδιορίσετε τη διαδικασία. Πρώτον, εάν δεν αναγνωρίζετε ένα όνομα διεργασίας, προχωρήστε και το Google χρησιμοποιώντας το πλήρες όνομα, π.χ. nvstreamsvc.exe .

αναζήτηση για διαδικασία

Πάντα, κάντε κλικ στους πρώτους τέσσερις έως πέντε συνδέσμους και θα έχετε αμέσως μια καλή ιδέα για το εάν το πρόγραμμα είναι ασφαλές ή όχι. Στην περίπτωσή μου, σχετιζόταν με την υπηρεσία ροής NVIDIA , η οποία είναι ασφαλής, αλλά όχι κάτι που χρειαζόμουν. Συγκεκριμένα, η διαδικασία είναι για streaming παιχνιδιών από τον υπολογιστή σας στο NVIDIA Shield , το οποίο δεν έχω. Δυστυχώς, όταν εγκαθιστάτε το πρόγραμμα οδήγησης NVIDIA , εγκαθιστά πολλές άλλες δυνατότητες που δεν χρειάζεστε.

Δεδομένου ότι αυτή η υπηρεσία εκτελείται στο παρασκήνιο, δεν ήξερα ποτέ ότι υπήρχε. Δεν εμφανίστηκε στον πίνακα GeForce και έτσι υπέθεσα ότι μόλις είχα εγκαταστήσει το πρόγραμμα οδήγησης. Μόλις συνειδητοποίησα ότι δεν χρειαζόμουν αυτήν την υπηρεσία, μπόρεσα να απεγκαταστήσω κάποιο λογισμικό NVIDIA και να απαλλαγώ από την υπηρεσία, η οποία επικοινωνούσε συνεχώς στο δίκτυο, παρόλο που δεν τη χρησιμοποίησα ποτέ. Αυτό είναι λοιπόν ένα παράδειγμα του πώς η διερεύνηση κάθε διαδικασίας μπορεί να σας βοηθήσει όχι μόνο να εντοπίσετε πιθανά κακόβουλα προγράμματα, αλλά και να αφαιρέσετε περιττές υπηρεσίες που θα μπορούσαν ενδεχομένως να εκμεταλλευτούν χάκερ.

Δεύτερον, θα πρέπει να αναζητήσετε τη διεύθυνση IP ή το όνομα DNS που αναφέρονται στο πεδίο Διεύθυνση(Address) . Μπορείτε να ελέγξετε ένα εργαλείο όπως το DomainTools(DomainTools) , το οποίο θα σας δώσει τις πληροφορίες που χρειάζεστε. Για παράδειγμα, στην ενότητα Δραστηριότητα δικτύου(Network Activity) , παρατήρησα ότι η διαδικασία steam.exe συνδεόταν με τη διεύθυνση IP 208.78.164.10. Όταν το συνέδεσα στο εργαλείο που αναφέρθηκε παραπάνω, χάρηκα που έμαθα ότι ο τομέας ελέγχεται από τη Valve , η οποία είναι η εταιρεία που κατέχει το Steam .

whois διεύθυνση IP

Αν δείτε ότι μια διεύθυνση IP συνδέεται με έναν διακομιστή στην Κίνα(China) ή τη Ρωσία(Russia) ή σε κάποια άλλη περίεργη τοποθεσία, μπορεί να έχετε πρόβλημα. Η αναζήτηση της διαδικασίας στο Google θα σας οδηγήσει κανονικά σε άρθρα σχετικά με τον τρόπο κατάργησης του κακόβουλου λογισμικού.

Προγράμματα τρίτων

Το Resource Monitor(Resource Monitor) είναι εξαιρετικό και σας δίνει πολλές πληροφορίες, αλλά υπάρχουν και άλλα εργαλεία που μπορούν να σας δώσουν λίγες περισσότερες πληροφορίες. Τα δύο εργαλεία που προτείνω είναι το TCPView(TCPView) και το CurrPorts(CurrPorts) . Και τα δύο φαίνονται σχεδόν ίδια, με τη διαφορά ότι το CurrPorts σας δίνει πολλά περισσότερα δεδομένα. Ακολουθεί ένα στιγμιότυπο οθόνης του TCPView:

tcpview

Οι σειρές που σας ενδιαφέρουν περισσότερο είναι αυτές που(State) έχουν ΕΓΚΑΤΑΣΤΑΣΗ(ESTABLISHED) . Μπορείτε να κάνετε δεξί κλικ σε οποιαδήποτε σειρά για να τερματίσετε τη διαδικασία ή να κλείσετε τη σύνδεση. Ακολουθεί ένα στιγμιότυπο οθόνης του CurrPorts:

currports

Και πάλι, κοιτάξτε τις ΕΓΚΑΤΑΣΤΑΣΕΙΣ(ESTABLISHED) συνδέσεις κατά την περιήγηση στη λίστα. Όπως μπορείτε να δείτε από τη γραμμή κύλισης στο κάτω μέρος, υπάρχουν πολλές περισσότερες στήλες για κάθε διεργασία στο CurrPorts . Μπορείτε πραγματικά να λάβετε πολλές πληροφορίες χρησιμοποιώντας αυτά τα προγράμματα.

Γραμμή εντολών

Τέλος, υπάρχει η γραμμή εντολών. Θα χρησιμοποιήσουμε την εντολή netstat για να μας δώσει λεπτομερείς πληροφορίες σχετικά με όλες τις τρέχουσες συνδέσεις δικτύου που εξάγονται σε ένα αρχείο TXT . Οι πληροφορίες είναι βασικά ένα υποσύνολο αυτού που λαμβάνετε από το Resource Monitor ή τα προγράμματα τρίτων, επομένως είναι πραγματικά χρήσιμες μόνο για τεχνικούς.

Εδώ είναι ένα γρήγορο παράδειγμα. Αρχικά(First) , ανοίξτε μια γραμμή εντολών Administrator και πληκτρολογήστε την ακόλουθη εντολή:(Administrator)

netstat -abfot 5 > c:\activity.txt

εντολή netstat

Περιμένετε(Wait) περίπου ένα ή δύο λεπτά και μετά πατήστε CTRL + C στο πληκτρολόγιό σας για να σταματήσετε τη λήψη. Η παραπάνω εντολή netstat θα καταγράφει βασικά όλα τα δεδομένα σύνδεσης δικτύου κάθε πέντε δευτερόλεπτα και θα τα αποθηκεύει στο αρχείο κειμένου. Το τμήμα – abfot είναι μια δέσμη παραμέτρων ώστε να μπορούμε να λάβουμε επιπλέον πληροφορίες στο αρχείο. Εδώ είναι τι σημαίνει κάθε παράμετρος, σε περίπτωση που σας ενδιαφέρει.

Βοήθεια εντολής netstat

Όταν ανοίξετε το αρχείο, θα δείτε σχεδόν τις ίδιες πληροφορίες που λάβαμε από τις άλλες δύο παραπάνω μεθόδους: όνομα διεργασίας, πρωτόκολλο, αριθμοί τοπικής και απομακρυσμένης θύρας, απομακρυσμένη IP Address/DNS , κατάσταση σύνδεσης, αναγνωριστικό διεργασίας κ.λπ. .

Έξοδος netstat

Και πάλι(Again) , όλα αυτά τα δεδομένα είναι ένα πρώτο βήμα για τον καθορισμό του αν συμβαίνει κάτι αστείο ή όχι. Θα πρέπει να κάνετε πολλά Google(Googling) , αλλά είναι ο καλύτερος τρόπος για να γνωρίζετε εάν κάποιος σας κατασκοπεύει ή εάν κακόβουλο λογισμικό στέλνει δεδομένα από τον υπολογιστή σας σε κάποιον απομακρυσμένο διακομιστή. Εάν έχετε οποιεσδήποτε ερωτήσεις, μη διστάσετε να σχολιάσετε. Απολαμβάνω!



About the author

Είμαι έμπειρος διαχειριστής Windows 10 και Windows 11/10 με κάποια εμπειρία στο Edge. Έχω πλήθος γνώσεων και εμπειρίας να προσφέρω σε αυτόν τον τομέα, γι' αυτό πιστεύω ότι οι δεξιότητές μου θα ήταν πολύτιμο πλεονέκτημα για την εταιρεία σας. Η πολυετής εμπειρία μου τόσο στα Windows 10 όσο και στα Edge μου δίνει τη δυνατότητα να μαθαίνω γρήγορα νέες τεχνολογίες, να επιλύω γρήγορα προβλήματα και να αναλαμβάνω τον έλεγχο όταν πρόκειται για τη λειτουργία της επιχείρησής σας. Επιπλέον, η εμπειρία μου με τα Windows 10 και τον Edge με κάνει να γνωρίζω πολύ καλά όλες τις πτυχές του λειτουργικού συστήματος, κάτι που θα ήταν επωφελές για τη διαχείριση διακομιστών ή τη διαχείριση εφαρμογών λογισμικού.



Related posts