Activitatea în rețea Windows. Este posibil să îmi urmăresc activitatea pe Internet?

Cel mai probabil știți că are un firewall încorporat. De asemenea, este posibil să știți cum să permiteți și să blocați accesul la rețea a programelor individuale pentru a controla traficul de intrare și de ieșire. Dar știai asta Firewall Windows poate fi folosit pentru a înregistra toate conexiunile care trec prin el?

Jurnalele Windows Firewall pot fi utile în rezolvarea unor probleme specifice:

• Programul pe care îl utilizați nu se poate conecta la Internet, deși alte aplicații nu se confruntă cu această problemă. ÎN în acest caz, Pentru a depana problema, ar trebui să verificați dacă firewall-ul sistemului blochează solicitările de conectare ale acestui program.
• Bănuiți că computerul dvs. este folosit pentru a transmite date prin programe malware și doriți să monitorizați traficul de ieșire pentru solicitări de conexiune suspecte.
• Ați creat reguli noi pentru permiterea și blocarea accesului și doriți să vă asigurați că firewall-ul procesează corect instrucțiunile date.

Indiferent de motivul utilizării, activarea înregistrării evenimentelor poate fi sarcina dificila, deoarece necesită multă manipulare cu setările. Vom oferi un algoritm clar de acțiuni despre cum să activați înregistrarea activitatea de rețeaîn firewall-ul Windows.

Acces la setările paravanului de protecție

În primul rând, trebuie să accesați setările avansate Windows Firewall. Deschideți panoul de control (faceți clic Click dreapta mouse-ul din meniul Start, opțiunea „Panou de control”), apoi faceți clic pe linkul „Windows Firewall” dacă modul de vizualizare este pictograme mici/mari sau selectați secțiunea „Sistem și securitate”, apoi „Windows Firewall” dacă vizualizarea este modul este categoria .

În fereastra firewall, selectați opțiunea din stânga meniu de navigatie “Opțiuni suplimentare”.

Veți vedea următorul ecran de setări:

Aceasta este partea tehnică internă a paravanului de protecție Windows. Această interfață vă permite să permiteți sau să blocați accesul programelor la Internet, să configurați traficul de intrare și de ieșire. În plus, aici puteți activa funcția de înregistrare a evenimentelor - deși nu este imediat clar unde se poate face acest lucru.

Accesarea setărilor jurnalului

Mai întâi, selectați opțiunea „Windows Firewall în securitate sporită(Computer local)".

Faceți clic dreapta pe el și selectați opțiunea „Proprietăți”.

Se va deschide o fereastră care poate deruta utilizatorul. Când selectați trei file (Profil de domeniu, Profil privat, Profil public), veți observa că conținutul acestora este identic, dar se referă la trei profiluri diferite, al căror nume este indicat în titlul filei. Fiecare filă de profil conține un buton pentru a configura înregistrarea. Fiecare jurnal va corespunde unui profil diferit, dar ce profil folosești?

Să ne uităm la ce înseamnă fiecare profil:

• Pentru a vă conecta este utilizat un profil de domeniu retea fara fir Wi-Fi atunci când domeniul este setat de un controler de domeniu. Dacă nu ești sigur ce înseamnă asta, nu-l folosi. acest profil.
• Profilul privat este folosit pentru a vă conecta la rețele private, inclusiv acasă sau rețele personale- acesta este profilul pe care îl veți folosi cel mai probabil.
• Profilul general este utilizat pentru a vă conecta la rețele publice, inclusiv lanțuri de restaurante, aeroporturi, biblioteci și alte instituții.

Dacă utilizați un computer în rețeaua de acasă, accesați fila „Profil privat”. Dacă este folosit retea publica, accesați fila „Profil general”. Faceți clic pe butonul „Configurare” din secțiunea „Înregistrare” din fila corectă.

Activarea jurnalului de evenimente

În fereastra care se deschide, puteți configura locația și dimensiune maximă revistă. Puteți seta o locație ușor de reținut pentru jurnal, dar locația reală a fișierului jurnal nu contează cu adevărat. Dacă doriți să începeți înregistrarea evenimentelor, setați atât meniurile drop-down „Înregistrați pachetele pierdute”, cât și „Înregistrați conexiunile de succes” la „Da” și faceți clic pe butonul „OK”. De locuri de muncă cu normă întreagă Această caracteristică poate cauza probleme de performanță, așa că activați-o numai atunci când aveți nevoie într-adevăr să monitorizați conexiunile. Pentru a dezactiva funcția de înregistrare, setați valoarea la „Nu (implicit)” în ambele meniuri derulante.

Studierea jurnalelor

Acum computerul va înregistra activitatea de rețea controlată de firewall. Pentru a vizualiza jurnalele, accesați fereastra „Setări avansate”, selectați opțiunea „Monitorizare” din lista din stânga, apoi în secțiunea „Opțiuni de înregistrare” faceți clic pe linkul „Nume fișier”.

Se va deschide apoi jurnalul de activitate în rețea. Conținutul jurnalului poate fi confuz utilizator neexperimentat. Să ne uităm la conținutul principal al intrărilor de jurnal:

1. Data și ora conexiunii.
2. Ce s-a întâmplat cu conexiunea? Starea „PERMISE” înseamnă că firewall-ul a permis conexiunea, iar starea „DROP” indică faptul că conexiunea a fost blocată de firewall. Dacă întâmpinați probleme de conexiune la rețea program separat, puteți determina cu siguranță că cauza problemei este legată de politica de firewall.
3. Tip de conexiune - TCP sau UDP.
4. În ordine: adresa IP a sursei de conectare (computer), adresa IP de destinație (de exemplu, o pagină web) și utilizată pe computer portul de rețea. Această intrare vă permite să identificați porturile care necesită deschidere pentru ca software-ul să funcționeze. Atenție, de asemenea, la conexiuni suspecte - acestea pot fi făcute malware.
5. Dacă pachetul de date a fost trimis sau primit cu succes.

Informațiile din jurnal vor ajuta la determinarea cauzei problemelor de conexiune. Jurnalele pot înregistra alte activități, cum ar fi portul țintă sau numărul de confirmare TCP. Dacă aveți nevoie de mai multe detalii, consultați linia „#Fields” din partea de sus a jurnalului pentru a identifica semnificația fiecărei valori.

Nu uitați să dezactivați funcția de înregistrare când ați terminat.

Diagnosticare avansată a rețelei

Folosind înregistrarea Windows Firewall, puteți analiza tipurile de date procesate pe computer. În plus, puteți determina cauzele problemelor de rețea legate de firewall-ul sau alte obiecte care întrerup conexiunile. Jurnalul de activitate vă permite să vă familiarizați cu activitatea firewall-ului și să obțineți o imagine clară a ceea ce se întâmplă în rețea.

Ați găsit o greșeală de scriere? Apăsați Ctrl + Enter

Articolul descrie principalele funcții ale comenzilor care vă permit să determinați activitatea de rețea a unui computer.

comanda netstat.

Folosit pentru a determina activitatea de rețea a computerului dvs., de exemplu pentru a afla la ce site web se conectează programul dvs. Din ajutorul standard pentru această comandă, care este afișat dacă tastați în fereastra consolei unei sesiuni MS-DOS

netstat/?

Poti invata multe, dar iti voi spune doar punctele principale, dupa parerea mea. Utilizarea de bază a comenzii.

Cu următoarea cheie:

Netstat -a

această comandă produce o listă compuși activi computerul dvs. cu lumea exterioară, de exemplu, iată rezultatul acestei comenzi:

Proto Adresă locală Adresă străină Stat TCP alex:1085 diablo.surnet.ru:80 ESTABLISHED UDP alex:1084 *:* UDP alex:nbname *:* UDP alex:nbdatagram *:*

Să ne uităm la prima linie:

Proto - protocol.
Adresă locală - adresa locală și portul, numele computerului dvs.
Adresă străină - adresa de la distanțăși port; adresa cu care acest moment computerul stabilește o conexiune.
Stare - starea conexiunii.

Dintre protocoale, cel mai interesant este TCP ca protocol prin care vă conectați la un computer la distanță prin Internet.

ÎN adresa locala, separate prin două puncte de numele computerului dvs., arată portul prin care se fac schimb de date pe computer. Deoarece nu este complet ușor să potriviți un program care funcționează cu Internet și o conexiune la rețea, este recomandat să forțați fiecare program să seteze un port, dacă este posibil (în articolele următoare vă voi spune cum), atunci va fi ușor de determinat ce program se conectează la ce și nu dacă descarcă informații inutile (spam).

comanda ping.

Pentru a determina viteza și intensitatea conexiunii computer la distanță Este folosită comanda ping. Informații suplimentare Puteți afla comanda ping în ajutorul standard.

Apel de program standard: ping „adresă la distanță”. „Adresa de la distanță” poate fi specificată fie într-un mod simbolic, de exemplu, ya.ru, fie prin adresa unui server la distanță, de exemplu, 212.65.99.1

Ecranul acestei comenzi:

Răspuns de la 195.54.9.250: bytes=32 time=56ms TTL=250 Răspuns de la 195.54.9.250: bytes=32 time=55ms TTL=250 Răspuns de la 195.54.9.250: bytes=32 time=25ms

unde sunt numerele de după „adresă la distanță”:

octeți - numărul de octeți transferați
timp - timpul de răspuns al serverului

parametri suplimentari care indică tastele:

Ping „adresă de la distanță” -t

dă ping la un server la distanță infinită.

Ping „adresă de la distanță” -n 10

dați ping unui server la distanță de un număr specificat de ori.

Ping „adresă de la distanță” -w 10000

asteptati un raspuns server la distanta numărul specificat de milisecunde.

Aceste chei pot fi combinate, de exemplu, am următoarea comandă pentru a verifica serverul de la distanță (și funcționarea Internetului):

Ping 195.54.9.250 -n 10 -w 10000

Verificați serverul de la distanță de 10 ori și așteptați un răspuns timp de 10 secunde, dacă în acest timp nu există un singur răspuns și rezultatul este „Solicitare expirată”, atunci cred că acest server momentan indisponibil.

Comanda de testare a propagarii semnalului: tracert

Sintaxa acestei comenzi este foarte simplă:

Tracert „server la distanță”

O listă de servere și timpul de întârziere prin care trece semnalul pentru a ajunge la „serverul de la distanță” vor fi afișate pe ecran, de exemplu, așa cum arată pentru mine.

Urmărirea rutei către diablo.surnet.ru pe maximum 30 de hopuri: 1 4 ms 2 ms 2 ms gw.bran760.icb.chel.su 2 54 ms 53 ms 53 ms Satka-ICB.ll.icb.chel.su 3 62 ms 96 ms 65 ms 195.54.1.153 4 65 ms 65 ms 65 ms 195.54.1.249 5 75 ms 76 ms 85 ms diablo.surnet.ru Trace complete.

Folosind aceste comenzi, puteți determina activitatea de rețea a mașinii dvs., puteți vedea ce program descarcă ce unde și la ce adresă și, de asemenea, puteți verifica timpul de tranzit al unui semnal de la computer la un anumit server. Data viitoare vă voi spune cum să colectați statistici privind conexiunea la rețea folosind aceste comenzi.

În medie, pe un computer pot fi instalate 80-100 de programe. IN " fundal„—fără ca utilizatorul să știe, multe aplicații și procese din sistem rulează. În plus, există programe malware care pot exploata computerul și internetul. Cum afli ce program de pe computer folosește Internetul și în ce măsură? Cum să răspunzi dacă există o creștere a utilizării internetului?

În acest articol voi vorbi despre un program de monitorizare a internetului. GlassWire este un monitor al activității în rețea și un firewall. Se completează foarte bine cu antivirusul instalat pe computer.

Acesta este un instrument excelent pentru monitorizarea Internetului pe computerul dvs. în timp real și vizualizarea statisticilor de utilizare a Internetului pe o perioadă. Puteți vedea activitatea de rețea a programelor pe un grafic vizual, puteți verifica cu ușurință orice program sau proces care rulează pentru viruși și puteți dezactiva accesul unui program la Internet.

Monitorizarea activității în rețea și firewall

Instalarea unui program de monitorizare a Internetului

Descărcați programul GlassWire pentru a monitoriza Internetul și a controla traficul (traficul este cantitatea de utilizare a conexiunii la Internet) puteți vizita site-ul web Setări

Programul de monitorizare a internetului GlassWire Instalarea programului este simplă și simplă - rulați fișierul descărcat și parcurgeți pașii de instalare sugerați.

Activitatea de rețea a programelor

Prima dată când o aplicație este activă în rețea, pe ecran va apărea un mesaj pop-up și veți ști mereu ce programe încep să folosească Internetul.

Marcat Programa Toată activitatea din rețea este vizibilă în timp real. Picurile mari în grafic înseamnă o utilizare sporită a internetului. Aceasta ar putea fi opera unui program rău intenționat sau munca programe regulate. Astfel de locuri sunt cele mai interesante pentru analiza traficului.

Pentru comoditate, există posibilitatea de a alege perioada grafică de la 5 minute până la o lună, pauză și continuarea mișcării diagramei. Orice loc de pe diagramă poate fi vizualizat în detaliu. Pentru a face acest lucru, trebuie doar să faceți clic pe diagramă (dacă se mișcă, se va întrerupe) și va apărea dungă verticală. Sub grafic va fi o listă cu toate programele care utilizează rețeaua în locația selectată.

Monitorizați activitatea în rețea a programelor. Graficul arată statisticile de trafic. Pentru a deschide întreaga listă de programe, faceți clic pe pictograma programului de sub grafic.

Monitorizare detaliată a traficului pe Internet - listă de programe

Puteți selecta orice program și puteți vedea detalii: nume proces, nume fisier executabilși unde se află pe computer, dimensiunea traficului de intrare și de ieșire.

Fereastra detaliata cu informatii despre program si trafic

Verificarea procesului pentru viruși

Orice program care folosește Internetul poate fi verificat pentru viruși direct din lista de programe. Pentru a face acest lucru, deschideți ecranul detaliat al programului testat și faceți clic Verificarea virusului. Antivirusul instalat pe sistem va fi folosit pentru scanare..
Pentru instalare antivirus gratuit puteti folosi site-ul Setări

Verificarea oricărui program care utilizează Internetul cu un antivirus După scanarea cu un antivirus, pe ecran va apărea un mesaj despre rezultatul scanării și se va face o intrare în GlassWire
Programul care folosește Internetul a fost verificat - nu s-au găsit viruși.

Firewall

Firewall GlassWire(sau un firewall este același lucru) arată toată activitatea de rețea a computerului dvs. folosind grafice clare. Este ușor să vedeți potențialele amenințări (cum ar fi o creștere sau o utilizare constantă a Internetului prin intermediul unui proces necunoscut) și să le blocați dacă este necesar. Pentru controlul rețelei GlassWire folosește Windows Firewall.

Marcat Firewall este afișată o listă cu toate procesele. Este ușor să determinați activitatea de utilizare a Internetului a oricărui program - există grafice pe fiecare linie din dreapta. Pentru orice proces, puteți vizualiza detaliile conexiunii, traficului și verificați cu un antivirus (cum este descris mai sus). De exemplu, în imaginea de mai jos, procesul svchost Internetul se încarcă constant.

GlassWire facilitează activarea sau dezactivarea accesului la Internet pentru programe. Pentru a face acest lucru, faceți clic pe pictograma „foc” de la începutul liniei. Dacă focul este aprins, utilizarea Internetului de către program este blocată (în exemplu, am blocat patru programe de top).

Gestionarea aplicațiilor din fila Firewall

Marcat Statistici informații complete despre traficul de intrare și de ieșire al fiecărei aplicații și totalul pentru timpul selectat. Puteți căuta orice perioadă de până la o lună.

Statistici de utilizare a internetului

Videoclip despre cum să lucrați cu monitorul de activitate în rețea și paravanul de protecție GlassWire

activitatea poate servi ca dovadă clară a muncii la calculator program suspect, producând trimiteri neautorizate de scrisori, contactând autorul acesteia și transmitendu-i acestuia informații confidențiale sau pur și simplu încărcându-l pe al tău module suplimentare sau atacarea computerelor vecine. Dar nu trebuie să uităm că o serie de aplicații complet legale tind, de asemenea, să contacteze uneori site-ul web al producătorului, de exemplu, pentru a verifica dacă există actualizări sau versiuni mai noi. Prin urmare, înainte de a opri rețeaua și a retrage Cablu de alimentare, văzând un bec intermitent neobișnuit de strălucitor aprins card de retea, trebuie să puteți determina ce programe și aplicații au cauzat această activitate suspectă.

Puteți studia și analiza activitatea în rețea folosind încorporat sistem de operare instrumente sau folosind aplicații speciale instalate separat. În această sarcină se propune să faceți acest lucru folosind Dispecer Sarcini Windows și încorporat utilități netstat, care afișează statistici instantanee ale conexiunilor la rețea.

1. Deschide fereastra Manager de activități Windows prin apăsarea simultană a tastelor Ctrl, SchimbȘi Escși accesați marcajul Net.

   Deoarece nu sunt inițiate conexiuni la rețea în prezent, graficul ar trebui să fie gol, sau mai degrabă o linie dreaptă la nivelul 0%.

   În partea de jos a ferestrei există o listă cu toate instalatele în sistem adaptoare de rețea. De obicei, el este singur. În coloană Utilizarea rețelei este dată valoarea instantanee a cotei canalului utilizat, iar în Viteza liniei - debitului. Stat afișează starea.

   

   
   

   Dacă nu există niciun adaptor activ pe computer, fereastra Gestionar de sarcini pe marcaj Net va arata asa:

   

   
   

   Această sarcină presupune că cel puțin un adaptor este instalat și funcționează.

2. Inițiază o conexiune la rețea. De exemplu, deschideți browserul și încărcați site-ul web www.viruslist.ru.

   

   
   

   Dacă nu aveți acces la Internet, accesați resursă de rețea specificat de profesor

3. Urmați modificările din grafic Gestionar de sarcini: toate acțiunile tale vor fi afișate pe grafic sub formă de vârfuri de activitate în rețea și valoarea câmpului Utilizarea rețelei va înceta temporar să fie egal cu zero.

   Astfel, dacă închideți totul programe de aplicație, care poate iniția conexiuni de retea, descoperiți că rețeaua continuă să fie folosită oricum, trebuie să căutați motivul

   

   
   
4. Manager de activități Windows arată doar cele mai multe Informații generale. Pentru a obține date mai detaliate, puteți utiliza utilitarul netstat.

   Inchide geamul Manager de activități Windowsși du-te la meniul de sistem Start / Programe / Accesorii / Linie de comandă

5. În fereastra care se deschide, trebuie să tastați comenzi care se termină cu o apăsare de tastă introduce. Această metodă de interacțiune se numește work through Linie de comanda. Utilitarul netstat presupune exact acest mod

   

   
   

   Apelează

   și apăsați introduce

6. Citiți descrierea utilitarului netstat. Asigurați-vă că pentru retragerea în sine informatii complete trebuie să utilizați comutatorul -a

   

   
   
7. Apelează

   și apăsați introduce

8. Rezultatul comenzii este o listă conexiuni active, care include legături stabiliteși porturi deschise.

   

   
   

   Deschideți porturile TCP 2 Pentru a face schimb de date între computere, pot fi utilizate diverse protocoale, adică reguli de transmitere a informațiilor. Conceptul de porturi este asociat cu utilizarea protocoalelor TCP și UDP. Fără a intra în detalii, este de remarcat faptul că în majoritatea cazurilor este folosit Protocolul TCP, dar UDP este necesar și pentru o serie de servicii și este susținut de toate sistemele de operare moderne. sunt indicate prin linia „ASCULTARE” din coloana de stare. La unele porturi sunt conectate servicii de sistem Windowsși este afișat nu după număr, ci după nume - epmap, microsoft-ds, netbios-ssn. Porturi care nu au legătură cu servicii standard, sunt afișate prin numere.

   Porturile UDP sunt indicate de șirul „UDP” în Nume. Ei nu pot fi în diferite state, prin urmare marca specială „ASCULTARE” nu este folosită în legătură cu acestea. La fel ca porturile TCP, acestea pot fi afișate după nume sau număr.

   Porturile utilizate de malware sunt cel mai adesea non-standard și, prin urmare, sunt afișate în funcție de numerele lor. Cu toate acestea, se pot întâlni troieni, folosind porturi standard pentru alte aplicații pentru mascare, de exemplu 80, 21, 443 - porturi utilizate pe serverele de fișiere și web 3 Prin urmare, în caz general usor de descoperit necunoscut de sistem(și utilizatorul) există puține porturi. De asemenea, trebuie să aflați ce programe folosesc aceste porturi. comanda netstat nu vă permite să faceți acest lucru, așa că va trebui să utilizați utilități terțe, de exemplu, utilitarul tcpview.exe (disponibil pe site-ul web