как узнать какие пакеты отправляет программа
Отслеживание отправленных/полученных пакетов в Windows
#1 Italyano
Вот хочу на примере понять. Я к инету подключён. Вижу отправлено 40000 пакетов, принято 55000 пакетов.
Вопрос, куда было отправлено? Что за пакеты? может это троян что-то отсылает вместе со мной и у меня из-за этого скорость падает?
уметь отследить работу сети. и какие есть АППАРАТНЫЕ и программные средства для этого?
#2 Котел
Italyano (Mar 10 2010, 13:26) писал:
Вот хочу на примере понять. Я к инету подключён. Вижу отправлено 40000 пакетов, принято 55000 пакетов.
Вопрос, куда было отправлено? Что за пакеты? может это троян что-то отсылает вместе со мной и у меня из-за этого скорость падает?
уметь отследить работу сети. и какие есть АППАРАТНЫЕ и программные средства для этого?
Italyano (Mar 10 2010, 13:26) писал:
Вот хочу на примере понять. Я к инету подключён. Вижу отправлено 40000 пакетов, принято 55000 пакетов.
Вопрос, куда было отправлено? Что за пакеты? может это троян что-то отсылает вместе со мной и у меня из-за этого скорость падает?
уметь отследить работу сети. и какие есть АППАРАТНЫЕ и программные средства для этого?
Программные средства для подобных изысканий называются «снифферы», но информация, которую они выдают представляют интерес для специалистов и вообще людей, понимающих строение сети. Программ, показывающих в удобной форме информацию вида:
1 пакетик ушел на mail.ru
2 пакетика ушли на bash.org и т.д
попросту нет, хотя некоторые фаерволы (например Agnitum Outpost) показывают активность разного ПО и то, куда это ПО пытается лезть.
Если все еще интересно посмотреть, на что похож твой сетевой трафик, то вот для примера:
CommView
Wireshark
P.S. Данные программы работают в реальном времени и покажут только текущий трафик, а то, куда у тебя уже ушло 40000 пакетов, так и останется непознанным.
#4 GlooM
Italyano (Mar 10 2010, 13:26) писал:
Вот хочу на примере понять. Я к инету подключён. Вижу отправлено 40000 пакетов, принято 55000 пакетов.
Вопрос, куда было отправлено? Что за пакеты? может это троян что-то отсылает вместе со мной и у меня из-за этого скорость падает?
Italyano (Mar 10 2010, 13:26) писал:
Вот хочу на примере понять. Я к инету подключён. Вижу отправлено 40000 пакетов, принято 55000 пакетов.
Вопрос, куда было отправлено? Что за пакеты? может это троян что-то отсылает вместе со мной и у меня из-за этого скорость падает?
#6 never mind
Отслеживание пути прохождения пакетов
Хакеру пригодится информация о месторасположении интересующего его компьютера как по отношению к расположению в Internet, так и физического размещения. Для проведения более эффективной атаки отказа в обслуживании (DoS) хакеру желательно получить права суперпользователя на машинах, расположенных близко к цели атаки. Если хакер хочет взломать компьютер, который он планирует использовать в дальнейшем для проведения новых атак, он предпочитает найти машину с быстрым доступом в Internet.
Утилита traceroute
Утилита traceroute используется для отслеживания маршрута прохождения пакетов по сети до места назначения. Ее работа основана на отправке UDP-пакетов (на удаленные порты в диапазоне от 33435 до 33524) с установленным полем TTL (время жизни) и ожидании ICMP-ответов «time exceeded» («время истекло») на отправленные пакеты. Поле TTL определяет, сколько маршрутизаторов может пройти пакет до того, как он будет отброшен, и на адрес источника будет отправлено соответствующее уведомление. Поэтому, отправляя пакет со значением TTL, равным 1, можно получить адрес первого маршрутизатора на пути следования пакета, со значением 2 — адрес второго маршрутизатора и тд.
Рассмотрим пример выполнения команды traceroute для прослеживания маршрута передачи пакетов от машины хакера до цели атаки:
Хакер получил следующую информацию:
Использование mtr
Программа mtr была создана Мэтом Кимбаллом (Matt Kimball) и представляет собой улучшенную версию traceroute. Вместо UDP-пакетов она отправляет последовательные ICMP эхо-запросы с увеличивающимися значениями поля TTL для обнаружения сетевого оборудования, которое блокирует UDP-пакеты, но не блокирует ICMP-пакеты. Программа выполняет непосредственное зондирование каждого узла между источником и пунктом назначения пакетов, что позволяет оценить качество соединения по наихудшему, наилучшему и среднему (за 1 мин.) времени прохождения пакетов. Рассмотрим результат выполнения программы mtr по отношению к передаче пакетов по приведенному выше маршруту:
Меры противодействия отслеживания маршрута передачи пакетов
Обе программы прослеживания маршрута передачи пакетов зависят от получения обратных ICMP-ответов о превышении времени жизни пакетов (при достижении конечного пункта назначения возвращается ответ Port Unreachable — «порт недостижим»). Хотя у системного администратора нет возможности изменить настройки сетевого оборудования, установленного на пути следования пакетов (в Internet), но с помощью правил фильтрации пакетов, осуществляемой программами ipchains/iptables, можно заблокировать отправку ответных сообщений на собственном оборудовании.
Еще одним методом противодействия является запрет (DENY), а не отклонение (REJECT) UDP-пакетов, получаемых на порты, стандартно использующиеся traceroute (33435 — 33524), а также запрет (DENY) всех ICMP-пакетов ECHO REQUEST (эхо-ответ). Таким образом, будут заблокированы как прием компьютером опрашивающих пакетов, так и возможность отправки эхо-ответов.
Итог можно подвести следующий — не нужно присваивать своим хостам имена, по которым можно было бы понять их предназначение или производителя сетевого оборудования. Примерами неудачных названий могут послужить: router, firewall и Webserver.
Как определить какие программы используют интернет-трафик на компьютере
Все, у кого есть тариф с ограничениями на объем информации и скорость, когда-нибудь сталкивались с проблемой: скорость Интернета падает куда ниже той, что была заявлена. Возникает справедливый вопрос: как посмотреть, на что тратится интернет-трафик? Эта статья ответит на данный вопрос.
Самые крупные «поедатели» трафика
В норме на компьютерах почти нет никаких «поедателей» трафика, кроме браузеров. В них самое большое количество интернет-трафика потребляют медиафайлы. Это видео, аудиофайлы, а также фотографии. Однако могут быть и другие потребители Интернета. Часто ими оказываются вирусы. Вредоносное ПО проникает на устройство и следит через веб-камеру, сливает данные из компьютера. Это безобразие не проходит без использования Интернета, причем в огромных количествах.
Важно! Если замечено подозрительно большое потребление трафика, лучше обратиться к антивирусу.
Трафик «съедает» еще и всплывающая реклама, особенно, если в нее включено видео. Стоит остерегаться еще и обновлений приложений. Они бывают довольно тяжелыми и часто загружаются не по воле пользователя.
Как проверить расход мегабайтов
Проверить расход мегабайтов за 30 дней можно, если зайти в «Пуск» — «Параметры» — «Сеть и интернет» — «Использование данных». Все данные будут расписаны по приложениям. Эту статистику можно разместить на рабочем столе.
Проверять расход можно точно так же, разместив на рабочем столе таблицу от NetWorx — приложения, о котором речь пойдет ниже. Так как проверить, куда уходит трафик на компьютере, можно гораздо проще без специальной программы, этот вариант подойдет, если приложение и дальше будет использоваться в решении проблемы.
Как проверить, какие программы используют Интернет
Способов, как можно посмотреть, что жрет трафик Интернета, не так много, причем они различаются по версиям Windows.
Как проверить, какие программы пользуются Интернетом на Windows 10
Сделать это можно, открыв командную строку от имени администратора и введя в ней netstat. Командная строка открывается через «Пуск», поиск (написав в поисковой строке cmd), с помощью комбинации «Windows + Х». После этого на мониторе отобразится список соединений с базовой информацией.
Проверка другим, более простым способом — это зайти в «Параметры» — «Сеть и интернет» — «Использование данных». Если следом нажать «Сведения о пользовании», появится окно, в котором будет указано, сколько трафика израсходовала каждая программа за последние 30 дней.
Как узнать, какая программа использует Интернет на Windows 7
Для начала нужно открыть диспетчер задач. Чтобы это сделать, можно либо нажать сочетание клавиш «Ctrl + Alt + Del», либо кликнуть правой клавишей мыши по панели задач (длинная полоса внизу экрана со всеми активными ярлыками) и выбрать «Запустить диспетчер задач».
После того как диспетчер задач открылся, нужно выбрать следующие разделы: «Быстродействие» — «Монитор ресурсов» — «Сеть». Дальше появится поле «Процессы с сетевой активностью». Вот там и нужно смотреть, какие программы используют Интернет.
Как узнать, что потребляет Интернет на компьютере с Windows 8
Только в «Виндовс» 8 достаточно всего лишь ткнуть на любую сеть правой кнопкой мыши в разделе «Сеть» и выбрать функцию «Отображать сведения о предполагаемом использовании данных».
Обратите внимание! Следом высветится информация о количестве потраченного трафика, но не будет расписано, сколько его было потрачено отдельными приложениями.
Как проверить, куда уходит интернет-трафик на компьютере
Не всегда перечисленные выше способы позволяют определить все то, что нужно. Для решения таких проблем были созданы следующие программы:
У каждой есть свои особенности, которых нет у конкурентов.
TCPView
TCPView — это бесплатная простая программа, у которой нет русскоязычного интерфейса. Ее даже не нужно устанавливать, достаточно распаковать архив и запустить. В самом приложении присутствует несколько столбцов:
Обратите внимание! С помощью клика правой кнопки мыши можно оборвать соединение (Close connection), завершить процесс (End process), зайти в настройки процесса. Так, если у процесса обрывается соединение, строка окрашивается в красный, если оно восстанавливается — в зеленый.
NetWorx
В программе можно просмотреть, какое количество информации было получено и отправлено за каждый час, день, месяц, а также можно поставить свой собственный промежуток времени. Это приложение также умеет устанавливать квоту на использование трафика в день, т. е. напоминать пользователю, когда интернет-трафика использовано больше определенного процента от числа, которое можно потратить за день.
Пример: если в день установлено ограничение 500 Мбит, а процент, при котором система отправляет предупреждающее оповещение — 80 %, то, когда будет расходоваться 400 Мбит, NetWorx напомнит пользователю об этом.
Comodo Firewall
Прекрасная бесплатная программа с русскоязычным интерфейсом.
После установки эта программа покажет, какое приложение потребляет больше всего трафика в процентном соотношении. Comodo также может блокировать использующий трафик нежелательный ресурс, требовать перезагрузки после изменений, позволяющих фаерволу работать.
Существует еще функция «Сканирование», способная выдать подробный отчет по файлам, находящимся в системе и можно ли им доверять. Нажав на один из них, появится отчет по отправленной и полученной информации подобно TCPView. А вот «Изолированная среда» позволит бывать в «опасных местах» без последствий для устройства, т. е. приложения не смогут потребить слишком много мегабайт.
Как отключить программы, которые используют Интернет
С помощью вышеперечисленных приложений отключить программы — дело нескольких кликов (кроме NetWorx). Чуть посложнее обстоят дела в том случае, если Comodo Firewall и TCPView не установлены. Здесь вновь пути решения проблемы варьируются от установленной системы.
Windows 10
Первым делом нужно зайти в «Пуск» и найти там «Центр обновлений Windows». Нажав на этот раздел правой кнопкой мыши, нужно открыть свойства, где этот центр выключается. Так отменяются обновления, забирающие огромное количество трафика.
Далее следует зайти в «Параметры» — «Сеть и интернет» и выбрать свою сеть, нажав на «Сведения об использовании». Появится список приложений, расходующих трафик, нажимая на который, можно их остановить.
Обратите внимание! В параметрах также нужно обязательно отключить работу всех приложений в фоновом режиме. Если соблюсти все эти три совета, трафик будет тратиться куда меньше.
Windows 7 и 8
Процедура отключения схожа с 10-й версией «Виндовс», первый шаг одинаков. Второй шаг — нужно отключить фоновую интеллектуальную службу передачи.
Проблема с трафиком — очень серьезная, она может ударить рублем, если не устранить ее вовремя. Благо, при правильном подходе без затруднений исправить ситуацию может кто угодно. Главное — расходовать Интернет с умом, полагаясь лишь на себя.
Как узнать куда приложение обращается в Интернет сети?
Добрый день, подскажите пожалуйста, имеется Windows десктоп приложение, которое в момент установки скачивает из Интернета дополнительные библиотеки либо что то другое.
Проблема в том что, приложение необходимо установить в оффлайн сети. Можно ли как то для начала узнать какие он запросы пытается сделать в Интернет сеть (получается проверить это на машине которая имеет Интернет подключение)
Т.е. например по какому то адресу он пытается какой то exe, msi, zip файл и т.п. скачать или что то другое сделать
А второе, что наверное самое маловероятное в реализации, может как то можно в оффлайн сети подменить его запросы на некие локальные источники, заранее скаченные, другими словами, чтобы инсталлятор также думал что он в Интернете и всё успешно.
Простой 1 комментарий
Очень интересно что за софт такой, где нужны такие танцы
1 netbalancer, tmeter, witeshark
2 можно узнать к каким ip он подключался (https) какой порт, и сколько данных отправлено/скачано
Для более глубокого анализа нужен инструмент для DPI, опять же в случае с https хрен что увидите
Банально усилия того не стоят
3 подменить можно, тупо поднимается сервер, настраиваете маршруты и ответы от сервера. если конечно приложение не имеет банальной защиты. Например у apple давно была такая дыра, с помощью которой можно было на левом сервере разблокировать залоченный iphone. За пруфами гугл в помощь
Сейчас редко где такое встретишь. Обычно, такую защиту уже не обойти.
4 и самое главное. что мешает скачать оффлайн установщик? Хотя бы с сапортом связывались?
показывают сетевую активность любого процесса.
Как узнать какие программы соединены с интернетом — TCPView
Доброго времени суток, дорогие читатели, почитатели и всяческие прочие личности.
В рамках анализа безопасности компьютера, меня частенько спрашивают, мол, а как узнать какие программы сейчас пользуются интернетом, какие нет, что вообще занимает драгоценный канал загрузки/раздачи, через какие порты и на какие IP идет соединение и тд и тп.
В общем-то это стремление разумно и понятно, особенно, когда случаются какие-либо проблемы с скоростью, не понятно куда утекает трафик или что вообще происходит с соединением на компьютере в общем и целом.
Сегодня речь пойдет как раз об этом.
Давайте приступим.
Анализируем сетевой и интернет трафик с TCPView и netstat
Вывод получится уже более наглядным, с указанием процесса и прочего:
Комбинируя эти параметры можно достигнуть множества интересных и подробных результатов, которые подойдут для диагностики опытными администраторами..
..но, как Вы понимаете, этот вариант, тем более для простого пользователя, всё же не самый наглядный, удобный и прочее.
Занимается она, как Вы уже, думаю, поняли, как раз тем, что выводит список всех программ соединенных в данный момент с чем-либо в сети и интернете, показывает удаленные и локальные порты, адреса, состояние соединения прочее.
Выглядит оное примерно вот так (кликабельно):
Где столбцы означают следующее:
Нажав правой кнопкой мышки на любую из строчек можно завершить процесс ( Close Proccess ) или завершить соединение ( Close Connection ):
Так же можно вызвать свойства процесса дабы выяснить где он обитает в системе (Process Properties) или завершить его (End Process):
Нажав Ctrl + R можно так же преобразовать названия адресов в их ip-адреса (например, на скриншоте, локальный хост desktop-lt5f3ve при нажатии Ctrl+R преобразуется в локальный адрес 192.168.31.2 ):
Тоже самое произойдет с адресами доменов с которыми установлено соединение (что удобно, наглядно и полезно), проколов (например https превратится 443 ) и прочие разности.
Так же периодически Вы будете наблюдать выделение строк красным или, скажем, зеленым. Это означает открытие или закрытие соответствующего соединения.
Настроек не так много: есть сохранение текущего списка, изменение шрифтов, скорости обновления и всякие прочие мелочи.
На этом, собственно, всё.
Перейдем к послесловию.
Послесловие
Подобный инструмент полезно всегда держать под рукой, ибо никогда не знаешь когда он будет нужен и для каких целей (а их можно придумать достаточно).
Впрочем, при хорошо настроенном фаерволе ничего лишнего в этом списке быть не должно и всё должно работать, что называется, как часы.
Если есть какие-то вопросы, мысли, дополнения и всё такое прочее, то добро пожаловать в комментарии к этой записи.