监控隐藏的网站和 Internet 连接

当您阅读本文时,您可以确定您的计算机已连接到托管我的网站的服务器,但除了与您的Web 浏览器(web browser)中打开的站点的明显连接外,您的计算机可能正在连接到整个主机的其他服务器那些不可见的。

大多数时候,你真的不想做这篇文章中写的任何事情,因为它需要查看很多技术资料,但是如果你认为你的计算机上有一个程序不应该在那里进行秘密通信在Internet 上(Internet),以下方法将帮助您识别任何异常情况。

值得注意的是,运行Windows操作系统(operating system)并安装了一些程序的计算机最终会默认与外部服务器建立大量连接。例如,在我的Windows 10机器上,重启后并且没有运行任何程序,Windows本身会建立几个连接,包括OneDriveCortana甚至桌面搜索。阅读我关于保护Windows 10的文章,了解如何防止Windows 10过于频繁地与Microsoft服务器通信。(Microsoft)

您可以通过三种方式监控计算机与Internet的连接:通过命令提示符(command prompt)、使用资源监视器(Resource Monitor)或通过第三方程序。我将在最后提到命令提示符(command prompt),因为它是最技术性的和最难破译的。

资源监视器

检查计算机正在建立的所有连接的最简单方法是使用资源监视器(Resource Monitor)。要打开它,您必须单击开始(Start),然后输入 资源监视器(resource monitor)。您会在顶部看到几个选项卡,我们要单击的选项卡是Network

资源监视器

在此选项卡上,您将看到具有不同类型数据的几个部分:具有网络活动的进程(Processes with Network Activity)网络活动(Network Activity)TCP 连接( TCP Connections)侦听端口( Listening Ports)

资源监控进程

这些屏幕中列出的所有数据都是实时更新的。您可以单击任何列中的标题以按升序或降序对数据进行排序。在具有网络活动的进程 (Processes with Network Activity )部分,该列表包括具有任何类型网络活动(network activity)的所有进程。您还可以查看每个进程每秒发送和接收的数据总量(以字节为单位)。您会注意到每个进程旁边都有一个空复选框,可用作所有其他部分的过滤器。

例如,我不确定nvstreamsvc.exe是什么,所以我检查了它,然后查看了其他部分的数据。在Network Activity下,您要查看Address 字段,该字段应为您提供IP 地址(IP address)或远程服务器的DNS 名称(DNS name)

过滤进程资源监视器

就其本身而言,这里的信息不一定能帮助你判断某事是好是坏。您必须使用一些第三方网站来帮助您识别流程。首先,如果您不认识进程名称(process name),请继续使用全名搜索它,即(Google)nvstreamsvc.exe

搜索进程

始终,至少单击前四到五个链接,您将立即对程序是否安全有一个很好的了解。就我而言,它与NVIDIA 流媒体(NVIDIA streaming)服务有关,这是安全的,但不是我需要的。具体来说,该过程用于将游戏从您的 PC 流式传输到我没有的NVIDIA Shield 。不幸的是,当您安装NVIDIA 驱动程序(NVIDIA driver)时,它会安装许多您不需要的其他功能。

由于该服务在后台运行,我从不知道它的存在。它没有出现在GeForce 面板(GeForce panel)中,所以我假设我刚刚安装了驱动程序。一旦我意识到我不需要这个服务,我就可以卸载一些NVIDIA 软件(NVIDIA software)并摆脱这个一直在网络上通信的服务,即使我从来没有使用过它。这是一个例子,说明如何深入研究每个进程不仅可以帮助您识别可能的恶意软件,还可以删除可能被黑客利用的不必要服务。

其次,您应该查找“地址(Address)”字段中列出的IP 地址或 DNS 名称(IP address or DNS name)。您可以查看DomainTools之类的工具,该工具将为您提供所需的信息。例如,在Network Activity下,我注意到steam.exe 进程(steam.exe process)正在连接到IP 地址 208.78.164.10(IP address 208.78.164.10)。当我将其插入上述工具时,我很高兴得知该域由Valve控制,该公司是拥有Steam的公司。

谁是IP地址

如果您看到某个IP 地址(IP address)连接到位于中国或俄罗斯(China or Russia)或其他陌生位置的服务器,则您可能遇到了问题。谷歌搜索该过程通常会引导您找到有关如何删除恶意软件的文章。

第三方程序

资源监视器(Resource Monitor)很棒,可以为您提供大量信息,但还有其他工具可以为您提供更多信息。我推荐的两个工具是TCPViewCurrPorts。两者看起来几乎完全相同,只是CurrPorts为您提供了更多数据。下面是 TCPView 的截图:

tcpview

您最感兴趣的行是状态(State)ESTABLISHED的行。您可以右键单击任何行以结束进程或关闭连接。这是 CurrPorts 的屏幕截图:

电流

再次,在浏览列表时查看ESTABLISHED连接。(ESTABLISHED)从底部的滚动条可以看出,CurrPorts中的每个进程都有更多的列。使用这些程序,您确实可以获得很多信息。

命令行

最后是命令行(command line)。我们将使用netstat命令为我们提供有关输出到(netstat)TXT 文件(TXT file)的所有当前网络连接的详细信息。这些信息基本上是您从资源监视器(Resource Monitor)或第三方程序获得的信息的一个子集,因此它实际上只对技术人员有用。

这是一个简单的例子。首先(First),打开管理员命令提示符并输入(Administrator command prompt and type)以下命令:

netstat -abfot 5 > c:\activity.txt

netstat 命令

等待(Wait)大约一两分钟,然后按键盘上的CTRL + C停止捕获。上面的 netstat 命令基本上会每五秒捕获一次所有的网络连接数据,并保存到(network connection)文本文件(text file)中。-abfot部分是一堆(abfot)参数,以便我们可以在文件中获取额外的信息。如果您有兴趣,这是每个参数的含义。

netstat 命令帮助

当您打开文件时,您会看到与上述其他两种方法几乎相同的信息:进程名称(process name)、协议、本地和远程端口号、远程IP Address/DNS name连接状态(connection state)、进程 ID 等.

网络统计输出

同样,所有这些数据都是确定是否(Again)发生可疑事件(something fishy)的第一步。您将不得不做很多谷歌搜索(Googling),但这是了解是否有人在窥探您或恶意软件是否正在将数据从您的计算机发送到某个远程服务器的最佳方式。如果您有任何问题,请随时发表评论。享受!



About the author

我是一名计算机技术人员,拥有超过 10 年的经验和使用 Android 设备的经验。过去五年我也一直在办公室工作,在那里我学会了如何使用 Office 365 和 MacOS。在业余时间,我喜欢花时间在户外听音乐或看电影。



Related posts