Как узнать какие сайты посещает компьютер? Ситуация под ВАШИМ контролем?
Вы стали замечать, что при соединении к сети ваш компьютер замедляется или скорость соединения резко падает? Вполне вероятно, что сетевое соединение вашей Windows используется каким-либо вредоносным программным обеспечением без вашего ведома. Антивирусная программа ничего не диагностирует? Вполне вероятно, что программа, которая заставляет посещать скрытые сайты ещё не занесена в список “подозрительных”.
Проверьте какие сайты посещает компьютер самостоятельно
Программа Windows, которая напрямую отвечает за сетевые соединения, уже не раз мелькала на полях моего блога. Это утилита netstat, и сейчас с её помощью мы сгенерируем список сайтов, которые ваша Windows посещает. Ваша же задача – проверить, является ли этот список легитимным и все ли сайты из этого списка вам будут знакомы.
Эта сетевая утилита, как и множество других в Windows, никогда не имела графического интерфейса, запускаясь из-под командной консоли. Что уже порой отбрасывает её и подобную ей на задворки пользовательской популярности. Но сейчас вы поймёте насколько неоценима может быть конкретно её помощь в вопросах безопасности.
Не важно, какой версией Windows вы пользуетесь: запускаем консоль от имени администратора:
Я не буду сейчас отсылать вас к справке и сразу хочу предложить приемлемый для поставленной задачи вариант. А параметры проверки какие сайты посещает компьютер будут таковы. Скажем, каждые 15 секунд утилита будет записывать все соединения в текстовый файл с заданным именем, где будет содержаться информация о:
- всех соединениях с интернетом и прослушиваемых портах вашего компьютера (опция -а)
- названии программы или приложения, которые лезут в сеть (опция -b)
- полное имя DNS для каждого из сетевых соединений для полного представления картины о программах, которые хотят “где-то с кем-то” соединиться (опция -f)
Что ещё нужно, чтобы узнать какие сайты посещает компьютер…
- Если кто-то ещё плохо владеет консолью, напомню, что проверку в консоли (как и любой процесс) можно будет прекратить не просто закрытием оной, а простым нажатием сочетания клавиш Ctrl + C.
- если вдруг у вас в столбце Внешний адрес появятся кракозябры, это означает, консоль не понимает кодировку, в которой Windows объявляет имя учётной записи (если оно – имя – написано на кириллице). Просто предварительно настройте консоль в шрифтах:
и потом, перед началом процесса сбора статистики, введите в поле консоли команду:
chcp 1251
Всё. Поехали. Команда на проверку и запись в нашем случае принимает вид:
netstat -abf 15 > сетевая_активность.txt
А вот как выглядит происходящее на мониторе:
окно консоли в чистом виде без всяких пояснений у меня выглядит вот так:
Документ сохранится в папке, указанной в поле командной строки (смотрите на фото). По завершении отправляемся за информацией в папку и “пробиваем” все адреса в документе по отдельности.
Какие сайты посещает ваш компьютер. Что можно отсюда почерпнуть?
На адреса, начинающиеся с 192.168.*.* можно не обращать внимание – это ваш локальный IP (красная зона отчёта). Сиреневая зона содержит номер порта, по которому процесс или служба хочет посетить интернет. И в зелёной зоне вы найдёт адрес и тип соединения целевого компьютера. Последняя колонка говорит о том, что порт сейчас делает (LISTENING – порт прослушивается и готовится к работе, TIME_WAIT – порт закрыт со стороны вашего компьютера, CLOSE_WAIT – соединение закрыто со стороны удалённого компьютера, ESTABLISHED – соединение установлено).
Для проверки IP адресов можно привлечь на свою сторону специальные для этого сервисы, коих расплодилось до бесконечности. Выберите пару и проверьте. Я часто использую:
http://whois-service.ru/lookup/
и
http://www.ipchecking.com/
Они по возможности сообщат информацию о зарегистрированных на этот адрес компаниях или провайдеров интернет услуг, а также сообщат о том, замечен ли со стороны этого адреса подозрительный трафик. Если сервис сообщит о том, что не может отразить информацию по данному IP, не расстраивайтесь: серьёзные конторы нередко скрывают свои данные для таких ресурсов. Несмотря на некую абсурдность, это вполне законно, и это уже служит косвенным доказательством того, что по этому IP адресу “сидит” уважаемый сервер, связанный, скорее всего, с ваши провайдером.
Гораздо больше пользы может вам принести изучение портов соединения по номерам. Вот неплохой (и почти единственный в своём роде) ресурс, где накапливается база по портам. Но всё на английском языке:
www.adminsub.net/tcp-udp-port-finder
Он вкратце выдаёт информацию для чего обычно этот порт используется и какие зловреды на нём замечены.
Что здесь можно добавить?
Эксперимент посоветую вам проводить при двух разных обстоятельствах: 1) с включённым браузером, он-лайн игрой и т.д. и 2) без таковых. Научившись анализировать обычный трафик при обычной для вас схемы подключения, без браузера вы сможете вычленить подозрительный трафик с вашего компьютера.
Закончу статью справкой. На манер встроенной утилиты netstat существуют программы и сторонних разработчиков, на которые я вам советую обратить внимание. Они призваны сделать тоже самое, но делают это в “более пристойном” виде. Если заинтересовало, то вот их названия:
- CurrPorts
- TCPView
Успехов нам всем