Оффлайн
- Регистрация
- 25.01.17
- Сообщения
- 763
- Реакции
- 225
- Репутация
- 292
Мониторинг сетевой активности. Утилита "netstat"
Речь пойдет о консольной утилите netstat. Рассмотрим абстрактный случай, который поможет понять, как оценить сетевую активность, используя только консоль.
Для начала открываем консоль. Сделать это можно из командной строки вводим cmd: и видим привычную консоль:
Для начала посмотрим, какие возможности есть у данной утилиты. Для этого запустим ее с ключом, предоставляющем справочную информацию:
-a вводит все без исключения соединения и порты
-b выводит соединения с предписанием, каковым исполнимым файлом оно было активизировано (весьма нужная функция)
-e выводит статистику по части высланным и принятым пакетам
-n выводит адреса и порты в обличье десятичных номеров
-o функционирует очевидно с опцией -b, однако заместо названия родительского для соединения процесса выводит только его ID. Такое дает возможность конкретно определять родительский процесс.
-p выводит соединения только лишь ради указанного протокола
-r выводит текущую таблицу маршрутизации -s выводит статистику раздельно для каждого протокола
-v при указании только лишь данного параметра следствие никак не будет различаться от netstat в отсутствии характеристик, однако в комбинации с ключом
-b выводит перечень соединений с указанием не только лишь родительского процесса, а и абсолютно всех элемент, участвующих в установлении соединения. Подобно как это видится проанализируем позднее.
interval повторять сканирование через заданный интервал
Итак начнем анализ сетевых соединений. Для начала попробуем просто netstat без параметров при запущенном IM-клиенте и браузере:
Не слишком понятно, но уже можно разобраться в том, что xmpp.yandex.ru:5222 это соединение установленное клиентом обмена мгновенными сообщениями, так как 5222 это стандартный порт для джаббера.
Попробуем использовать параметры, которые помогут сделать вывод более понятным. Начнем с -b и -n. Их можно указывать сразу вместе:
Как видно, с джаббером мы угадали miranda32.exe это как раз наша программа для мгновенного обмена сообщениями.
А 93.158.134.48 это действительно IP-адрес нашего джаббер сервера yandex.ru. В этом можно убедиться, воспользовавшись любой службой позволяющей установить кому именно принадлежит тот или иной адрес:
Жмем кнопку Whois и получаем детальную информацию о данном IP-адресе:
Так же можно установить, что 74.125.87.189 это google, открытый в iexplore.exe Internet Explorer:
А что же тогда подозрительная, аномальная сетевая активность? Это когда на запрос netstat вы получаете что-то непонятное:
Название процесса сразу вызывает подозрение. Проверка IP-адреса приводит в Китай.
Но мы совсем не помним, чтобы устанавливали что-то из продукции CHINA NETCOM (GROUP) CORPORATION LTD. HEZE BRANCH-... Беглый вопрос к Гуглу сразу же показывает в каком контексте встречается данный IP-адрес:
Производим поиск по имени процесса и находим виновника. Конечно же в системном каталоге. И конечно же пытается скрыться от наших пристальных взоров:
За одно обращаем внимание на то, что у исполняемых файлов нет расширений. Ну и чтобы окончательно расставить точки над i воспользуемся популярным он-лайн сканером:
Файл вредоносен. В этом нет никаких сомнений.
Оказывается, в самой операционной системе есть достаточно утилит, при помощи которых можно вполне сносно бороться с вредоносами. Они помогают, конечно, не всегда, но достаточно часто их хватает для того, чтобы разобраться с попавшими в систему мелкими вредителями.
You must be registered for see images attach
Речь пойдет о консольной утилите netstat. Рассмотрим абстрактный случай, который поможет понять, как оценить сетевую активность, используя только консоль.
Для начала открываем консоль. Сделать это можно из командной строки вводим cmd: и видим привычную консоль:
Для начала посмотрим, какие возможности есть у данной утилиты. Для этого запустим ее с ключом, предоставляющем справочную информацию:
-a вводит все без исключения соединения и порты
-b выводит соединения с предписанием, каковым исполнимым файлом оно было активизировано (весьма нужная функция)
-e выводит статистику по части высланным и принятым пакетам
-n выводит адреса и порты в обличье десятичных номеров
-o функционирует очевидно с опцией -b, однако заместо названия родительского для соединения процесса выводит только его ID. Такое дает возможность конкретно определять родительский процесс.
-p выводит соединения только лишь ради указанного протокола
-r выводит текущую таблицу маршрутизации -s выводит статистику раздельно для каждого протокола
-v при указании только лишь данного параметра следствие никак не будет различаться от netstat в отсутствии характеристик, однако в комбинации с ключом
-b выводит перечень соединений с указанием не только лишь родительского процесса, а и абсолютно всех элемент, участвующих в установлении соединения. Подобно как это видится проанализируем позднее.
interval повторять сканирование через заданный интервал
Итак начнем анализ сетевых соединений. Для начала попробуем просто netstat без параметров при запущенном IM-клиенте и браузере:
Не слишком понятно, но уже можно разобраться в том, что xmpp.yandex.ru:5222 это соединение установленное клиентом обмена мгновенными сообщениями, так как 5222 это стандартный порт для джаббера.
Попробуем использовать параметры, которые помогут сделать вывод более понятным. Начнем с -b и -n. Их можно указывать сразу вместе:
Как видно, с джаббером мы угадали miranda32.exe это как раз наша программа для мгновенного обмена сообщениями.
А 93.158.134.48 это действительно IP-адрес нашего джаббер сервера yandex.ru. В этом можно убедиться, воспользовавшись любой службой позволяющей установить кому именно принадлежит тот или иной адрес:
Жмем кнопку Whois и получаем детальную информацию о данном IP-адресе:
Так же можно установить, что 74.125.87.189 это google, открытый в iexplore.exe Internet Explorer:
А что же тогда подозрительная, аномальная сетевая активность? Это когда на запрос netstat вы получаете что-то непонятное:
Название процесса сразу вызывает подозрение. Проверка IP-адреса приводит в Китай.
Но мы совсем не помним, чтобы устанавливали что-то из продукции CHINA NETCOM (GROUP) CORPORATION LTD. HEZE BRANCH-... Беглый вопрос к Гуглу сразу же показывает в каком контексте встречается данный IP-адрес:
Производим поиск по имени процесса и находим виновника. Конечно же в системном каталоге. И конечно же пытается скрыться от наших пристальных взоров:
За одно обращаем внимание на то, что у исполняемых файлов нет расширений. Ну и чтобы окончательно расставить точки над i воспользуемся популярным он-лайн сканером:
Файл вредоносен. В этом нет никаких сомнений.
Оказывается, в самой операционной системе есть достаточно утилит, при помощи которых можно вполне сносно бороться с вредоносами. Они помогают, конечно, не всегда, но достаточно часто их хватает для того, чтобы разобраться с попавшими в систему мелкими вредителями.
Последнее редактирование: