Як дізнатися, куди йде трафік

Як дізнатися, куди йде трафік

Рано чи пізно виникає питання, куди діваються гроші в інтернеті. Часто користувачам потрібно інформацію, яка повністю надає покрокову інструкцію по отриманню інформації, - на що використаний трафік при з'єднанні з інтернетом по УЦИ. Ця технологія буде корисна при з'ясуванні причини підвищеної витрати трафіку.

 


Інструкція

1. Треба запустити командний рядок cmd.exe. Для цього виберіть в меню "Пуск" пункт "Виконати".

2. У вікні, яке відкрилося, в рядку з миготливим курсором треба набрати cmd.exe. Натискаємо введення. Відкрилося стандартне віконце інтерпретатора: цей крок можливо пропустити, і перейти відразу до виконання наступного кроку в командному рядку вашого файлового менеджера, приміром FAR. 111111


3. Далі треба набрати мережеву команду netstat.exe /? (можна просто netstat /?). Запустити її можна натиснувши клавішу "Enter". У результаті отримуємо список з підказками, а саме який результат може видавати мережева програма при експлуатації тих або інших ключів. В даному випадку ми цікавитимемося детальнішою інформацією про активність мережевих портів і конкретними іменами додатків.

4. Далі треба перевірити, чи не сканує якийсь зловмисник зараз нашу машину. Вводимо в командному рядку: Netstat - p tcp - n або Netstat - p tcp - n. Тут вимагається звернути вашу увагу на те, щоб не повторювалася дуже часто одна і та ж зовнішня IP- адреса (1-й IP - локальна адреса вашої машини). Крім того, про спробу вторгнення може також свідчити величезна кількість записів такого типу: SYN_SENT, TIME_WAIT з одного IP. За небезпечні можна приймати часті повтори мережевих портів 139, 445 протоколу TCP, і 137, і 445 протоколу UDP, із зовнішнього IP.

5. Далі можемо вважати, що нам везе, зовнішнє вторгнення не помічено, і ми продовжуємо шукати "погане застосування", яке пожирає трафік.

6. Набираємо наступне: Netstat - b (тут потрібні права адміністратора). В результаті цього вивантажиться величезний протокол із статистикою роботи в інтернеті усіх ваших застосувань: Цей сегмент протоколу показує на те, що програма uTorrent.exe (клієнт для скачування і роздачі файлів в мережі BitTorrent) робила роздачу файлів на дві машини в мережі з відкритих локальних портів 1459 і 1461.

7. Ваше право вирішити, чи треба зупинити це застосування. Можливо, є деякий сенс видалити його з автозавантаження. Тут вже засічена активність інших легальних програм, які працюють з мережевими сервісами: Skype, Miranda, причому 2-ою працює через захищений протокол https.


8. Остаточною метою цього аналізу повинне стати визначення незнайомих вам застосувань, які без вашого відома, підключаються до інтернет мережі (невідомо що вони передають). Далі ви вже повинні використати різні способи боротьби з "шкідливими" застосуваннями, починаючи з їх відключення з автозавантаження і закінчуючи перевіркою спеціальними утилітами.

 


Надрукувати