Valvo piilotettuja verkkosivustoja ja Internet-yhteyksiä

Voit olla melko varma, että tietokoneesi on yhteydessä palvelimeen, joka isännöi verkkosivustoani, kun luet tätä artikkelia, mutta ilmeisten yhteyksien lisäksi selaimessasi avautuviin sivustoihin tietokoneesi saattaa olla yhteydessä useisiin muihin palvelimiin. joita ei näy.

Suurimman osan ajasta et todellakaan halua tehdä mitään tässä artikkelissa kirjoitettua, koska se vaatii monien teknisten seikkojen tarkastelua, mutta jos luulet, että tietokoneessasi on ohjelma, jonka ei pitäisi olla siellä kommunikoimassa salaa. Internetissä alla(Internet) olevat menetelmät auttavat sinua tunnistamaan kaiken epätavallisen.

On syytä huomata, että tietokone, jossa on käyttöjärjestelmä, kuten Windows ja johon on asennettu muutamia ohjelmia, muodostaa oletusarvoisesti paljon yhteyksiä ulkopuolisiin palvelimiin. Esimerkiksi Windows 10 -koneellani uudelleenkäynnistyksen jälkeen ja ilman ohjelmia käynnissä Windows tekee useita yhteyksiä , mukaan lukien OneDrive , Cortana ja jopa työpöytähaku. Lue artikkelini Windows 10:n turvaamisesta(securing Windows 10) saadaksesi lisätietoja tavoista, joilla voit estää Windows 10 :tä kommunikoimasta Microsoftin(Microsoft) palvelimien kanssa liian usein.

Voit seurata tietokoneesi Internet -yhteyksiä kolmella tavalla : komentokehotteen avulla, Resource Monitorin(Resource Monitor) avulla tai kolmannen osapuolen ohjelmien kautta. Mainitsen komentokehotteen viimeisenä, koska se on teknisin ja vaikein tulkita.

Resurssien valvonta

Helpoin tapa tarkistaa kaikki tietokoneesi tekemät yhteydet on käyttää Resource Monitoria(Resource Monitor) . Avaa se napsauttamalla Käynnistä(Start) ja kirjoittamalla sitten  Resource Monitor . Näet useita välilehtiä yläreunassa, ja yksi, jota haluamme napsauttaa, on Verkko(Network) .

resurssien valvonta

Tällä välilehdellä näet useita erityyppisiä tietoja sisältäviä osioita: Prosessit verkkotoiminnalla(Processes with Network Activity) , Verkkotoiminta(Network Activity) , TCP-yhteydet( TCP Connections) ja Kuunteluportit( Listening Ports) .

resurssien valvontaprosessit

Kaikki näillä näytöillä luetellut tiedot päivitetään reaaliajassa. Voit napsauttaa minkä tahansa sarakkeen otsikkoa lajitellaksesi tiedot nousevaan tai laskevaan järjestykseen. Prosessit , joissa on verkkotoimintaa (Processes with Network Activity ) -osiossa luettelo sisältää kaikki prosessit, joissa on kaikenlaista verkkotoimintaa. Voit myös nähdä lähetettyjen ja vastaanotettujen tietojen kokonaismäärän tavuina sekunnissa kustakin prosessista. Huomaat, että jokaisen prosessin vieressä on tyhjä valintaruutu, jota voidaan käyttää kaikkien muiden osien suodattimena.

En esimerkiksi ollut varma, mikä nvstreamsvc.exe oli, joten tarkistin sen ja katsoin sitten muiden osioiden tietoja. Verkkotoiminta -kohdassa(Network Activity) haluat tarkastella Osoite(Address) -  kenttää, jonka pitäisi antaa sinulle IP-osoite tai etäpalvelimen DNS -nimi.(DNS)

suodatinprosessin resurssien valvonta

Tässä olevat tiedot eivät sinänsä välttämättä auta sinua selvittämään, onko jokin hyvä vai huono. Sinun on käytettävä joitain kolmannen osapuolen verkkosivustoja prosessin tunnistamiseksi. Ensinnäkin, jos et tunnista prosessin nimeä, mene eteenpäin ja Googleta(Google) se koko nimellä, eli nvstreamsvc.exe .

etsi prosessia

Napsauta aina vähintään neljästä viiteen ensimmäistä linkkiä, niin saat heti hyvän käsityksen siitä, onko ohjelma turvallinen vai ei. Minun tapauksessani se liittyi NVIDIA -suoratoistopalveluun, joka on turvallinen, mutta ei jotain mitä tarvitsin. Prosessi koskee erityisesti pelien suoratoistoa tietokoneeltasi NVIDIA Shieldiin(NVIDIA Shield) , jota minulla ei ole. Valitettavasti, kun asennat NVIDIA - ohjaimen, se asentaa paljon muita ominaisuuksia, joita et tarvitse.

Koska tämä palvelu toimii taustalla, en koskaan tiennyt sen olemassaolosta. Se ei näkynyt GeForce - paneelissa, joten oletin, että minulla oli vain ohjain asennettuna. Kun tajusin, etten tarvitse tätä palvelua, pystyin poistamaan NVIDIA - ohjelmiston asennuksen ja pääsemään eroon palvelusta, joka kommunikoi verkossa koko ajan, vaikka en koskaan käyttänyt sitä. Tämä on siis yksi esimerkki siitä, kuinka jokaiseen prosessiin perehtyminen voi auttaa sinua paitsi tunnistamaan mahdolliset haittaohjelmat myös poistamaan tarpeettomat palvelut, joita hakkerit voivat mahdollisesti hyödyntää.

Toiseksi sinun tulee etsiä IP-osoite tai DNS -nimi Osoite(Address) - kentässä. Voit tutustua työkaluun, kuten DomainTools , joka antaa sinulle tarvitsemasi tiedot. Esimerkiksi Verkkotoiminta(Network Activity) -kohdassa huomasin, että steam.exe-prosessi muodostaa yhteyden IP-osoitteeseen 208.78.164.10. Kun liitin sen yllä mainittuun työkaluun, olin iloinen kuullessani, että verkkotunnusta hallitsee Valve , joka on Steamin(Steam) omistava yritys .

whois ip-osoite

Jos näet IP-osoitteen muodostavan yhteyttä palvelimeen Kiinassa(China) tai Venäjällä(Russia) tai muussa oudossa paikassa, sinulla voi olla ongelma. Prosessin googaaminen johtaa yleensä artikkeleihin, joissa käsitellään haittaohjelmien poistamista.

Kolmannen osapuolen ohjelmat

Resource Monitor on loistava ja antaa sinulle paljon tietoa, mutta on muita työkaluja, jotka voivat antaa sinulle hieman enemmän tietoa. Kaksi suosittelemani työkalua ovat TCPView ja CurrPorts . Molemmat näyttävät täsmälleen samalta, paitsi että CurrPorts antaa sinulle paljon enemmän tietoa. Tässä on kuvakaappaus TCPView:sta:

tcpview

Eniten sinua kiinnostavat rivit, joiden tila(State) on ESTABLISHED . Voit lopettaa prosessin tai sulkea yhteyden napsauttamalla mitä tahansa riviä hiiren kakkospainikkeella. Tässä on kuvakaappaus CurrPortsista:

Currports

Katso jälleen kerran MUODOSTETTUJA(ESTABLISHED) yhteyksiä selatessasi luetteloa. Kuten alareunassa olevasta vierityspalkista näkyy, CurrPortsissa(CurrPorts) on paljon enemmän sarakkeita kullekin prosessille . Näiden ohjelmien avulla saat todella paljon tietoa.

Komentorivi

Lopuksi on komentorivi. Käytämme netstat - komentoa antamaan meille yksityiskohtaisia ​​tietoja kaikista nykyisistä verkkoyhteyksistä, jotka tulostetaan TXT - tiedostoon. Tiedot ovat pohjimmiltaan osa siitä, mitä saat Resource Monitorista(Resource Monitor) tai kolmannen osapuolen ohjelmista, joten ne ovat todella hyödyllisiä vain teknikolle.

Tässä on nopea esimerkki. Avaa ensin järjestelmänvalvojan (First)komentokehote(Administrator) ja kirjoita seuraava komento:

netstat -abfot 5 > c:\activity.txt

netstat-komento

Odota(Wait) noin minuutti tai kaksi ja paina sitten näppäimistön CTRL + C pysäyttääksesi sieppauksen. Yllä oleva netstat-komento kaappaa periaatteessa kaikki verkkoyhteystiedot viiden sekunnin välein ja tallentaa ne tekstitiedostoon. – abfot- osa on joukko parametreja, jotta voimme saada lisätietoa tiedostoon. Tässä on mitä kukin parametri tarkoittaa, jos olet kiinnostunut.

netstat-komennon ohje

Kun avaat tiedoston, näet melkein samat tiedot, jotka saimme kahdesta muusta yllä olevasta menetelmästä: prosessin nimi, protokolla, paikalliset ja etäporttien numerot, etä- IP Address/DNS - nimi, yhteyden tila, prosessitunnus jne. .

netstat-lähtö

Jälleen(Again) kaikki nämä tiedot ovat ensimmäinen askel sen määrittämisessä, onko jotain hämärää vai ei. Joudut googlaamaan(Googling) paljon , mutta se on paras tapa tietää, onko joku haukkuva sinua tai lähettääkö haittaohjelma tietoja tietokoneeltasi johonkin etäpalvelimeen. Jos sinulla on kysyttävää, kommentoi. Nauttia!



Aino Ahonen

About the author

Olen tietokoneasiantuntija, jolla on yli 10 vuoden kokemus ohjelmisto- ja selainteollisuudesta. Olen suunnitellut, rakentanut ja hallinnut kokonaisia ​​ohjelmistojen asennuksia sekä kehittänyt ja ylläpitänyt selaimia. Kokemukseni ansiosta pystyn antamaan selkeitä, ytimekkäitä selityksiä monimutkaisista aiheista – olipa kyse sitten Microsoft Officen toiminnasta tai siitä, kuinka saada kaikki irti Mozilla Firefoxista. Tietokonetaitojeni lisäksi olen myös taitava kirjoittaja ja pystyn kommunikoimaan tehokkaasti verkossa ja henkilökohtaisesti.


Related posts