Бесплатно Мониторинг сетевой активности. Утилита "netstat"

Тема в разделе "Сборник статей по безопасности и анонимности", создана пользователем Hermanicus, 1 апр 2017.

  1. Мониторинг сетевой активности. Утилита "netstat"

    Речь пойдет о консольной утилите netstat. Рассмотрим абстрактный случай, который поможет понять, как оценить сетевую активность, используя только консоль.

    Для начала открываем консоль. Сделать это можно из командной строки вводим cmd: и видим привычную консоль:

    Для начала посмотрим, какие возможности есть у данной утилиты. Для этого запустим ее с ключом, предоставляющем справочную информацию:

    -a вводит все без исключения соединения и порты
    -b выводит соединения с предписанием, каковым исполнимым файлом оно было активизировано (весьма нужная функция)
    -e выводит статистику по части высланным и принятым пакетам
    -n выводит адреса и порты в обличье десятичных номеров
    -o функционирует очевидно с опцией -b, однако заместо названия родительского для соединения процесса выводит только его ID. Такое дает возможность конкретно определять родительский процесс.
    -p выводит соединения только лишь ради указанного протокола
    -r выводит текущую таблицу маршрутизации -s выводит статистику раздельно для каждого протокола
    -v при указании только лишь данного параметра следствие никак не будет различаться от netstat в отсутствии характеристик, однако в комбинации с ключом
    -b выводит перечень соединений с указанием не только лишь родительского процесса, а и абсолютно всех элемент, участвующих в установлении соединения. Подобно как это видится проанализируем позднее.

    interval повторять сканирование через заданный интервал

    Итак начнем анализ сетевых соединений. Для начала попробуем просто netstat без параметров при запущенном IM-клиенте и браузере:

    Не слишком понятно, но уже можно разобраться в том, что xmpp.yandex.ru:5222 это соединение установленное клиентом обмена мгновенными сообщениями, так как 5222 это стандартный порт для джаббера.

    Попробуем использовать параметры, которые помогут сделать вывод более понятным. Начнем с -b и -n. Их можно указывать сразу вместе:

    Как видно, с джаббером мы угадали miranda32.exe это как раз наша программа для мгновенного обмена сообщениями.

    А 93.158.134.48 это действительно IP-адрес нашего джаббер сервера yandex.ru. В этом можно убедиться, воспользовавшись любой службой позволяющей установить кому именно принадлежит тот или иной адрес:

    Жмем кнопку Whois и получаем детальную информацию о данном IP-адресе:

    Так же можно установить, что 74.125.87.189 это google, открытый в iexplore.exe Internet Explorer:

    А что же тогда подозрительная, аномальная сетевая активность? Это когда на запрос netstat вы получаете что-то непонятное:

    Название процесса сразу вызывает подозрение. Проверка IP-адреса приводит в Китай.

    Но мы совсем не помним, чтобы устанавливали что-то из продукции CHINA NETCOM (GROUP) CORPORATION LTD. HEZE BRANCH-... Беглый вопрос к Гуглу сразу же показывает в каком контексте встречается данный IP-адрес:

    Производим поиск по имени процесса и находим виновника. Конечно же в системном каталоге. И конечно же пытается скрыться от наших пристальных взоров:

    За одно обращаем внимание на то, что у исполняемых файлов нет расширений. Ну и чтобы окончательно расставить точки над i воспользуемся популярным он-лайн сканером:

    Файл вредоносен. В этом нет никаких сомнений.

    Оказывается, в самой операционной системе есть достаточно утилит, при помощи которых можно вполне сносно бороться с вредоносами. Они помогают, конечно, не всегда, но достаточно часто их хватает для того, чтобы разобраться с попавшими в систему мелкими вредителями.
     

Поделиться этой страницей