Giám sát các trang web ẩn và kết nối Internet

0

Bạn có thể khá chắc chắn rằng máy tính của bạn được kết nối với máy chủ lưu trữ trang web của tôi khi bạn đọc bài viết này, nhưng ngoài các kết nối rõ ràng đến các trang web mở trong trình duyệt web của bạn, máy tính của bạn có thể đang kết nối với toàn bộ máy chủ khác không thể nhìn thấy

Hầu hết thời gian, bạn thực sự sẽ không muốn làm bất cứ điều gì được viết trong bài viết này vì nó đòi hỏi phải xem xét nhiều thứ kỹ thuật, nhưng nếu bạn nghĩ rằng có một chương trình trên máy tính của bạn thì không nên giao tiếp bí mật trên Internet, các phương pháp dưới đây sẽ giúp bạn xác định bất kỳ điều gì bất thường.

Điều đáng chú ý là một máy tính chạy hệ điều hành như Windows với một vài chương trình được cài đặt sẽ tạo ra rất nhiều kết nối với các máy chủ bên ngoài theo mặc định. Ví dụ: trên máy Windows 10 của tôi sau khi khởi động lại và không có chương trình nào chạy, một số kết nối được tạo bởi chính Windows, bao gồm OneDrive, Cortana và thậm chí là tìm kiếm trên máy tính để bàn. Đọc bài viết của tôi về bảo mật Windows 10 để tìm hiểu về các cách bạn có thể ngăn Windows 10 giao tiếp với máy chủ của Microsoft quá thường xuyên.

Có ba cách bạn có thể theo dõi các kết nối mà máy tính của bạn thực hiện với Internet: thông qua dấu nhắc lệnh, sử dụng Resource Monitor hoặc thông qua các chương trình của bên thứ ba. Tôi sẽ đề cập đến dấu nhắc lệnh cuối cùng vì đó là cách giải mã kỹ thuật và khó nhất.

Giám sát tài nguyên

Cách dễ nhất để kiểm tra tất cả các kết nối mà máy tính của bạn đang thực hiện là sử dụng Giám sát tài nguyên. Để mở nó, bạn phải bấm vào Bắt đầu và sau đó nhập vào giám sát tài nguyên. Bạn sẽ thấy một số tab trên đầu trang và cái chúng tôi muốn nhấp vào là Mạng.

giám sát tài nguyên

Trên tab này, bạn sẽ thấy một số phần với các loại dữ liệu khác nhau: Các quy trình với Hoạt động mạng, Hoạt động mạng, Kết nối TCP Cổng nghe.

quy trình giám sát tài nguyên

Tất cả các dữ liệu được liệt kê trong các màn hình này được cập nhật trong thời gian thực. Bạn có thể nhấp vào tiêu đề trong bất kỳ cột nào để sắp xếp dữ liệu theo thứ tự tăng dần hoặc giảm dần. bên trong Các quy trình với Hoạt động mạng phần, danh sách bao gồm tất cả các quy trình có bất kỳ loại hoạt động mạng. Bạn cũng có thể thấy tổng lượng dữ liệu được gửi và nhận theo byte mỗi giây cho mỗi quy trình. Bạn có thể nhận thấy có một hộp kiểm trống bên cạnh mỗi quy trình, có thể được sử dụng làm bộ lọc cho tất cả các phần khác.

Ví dụ, tôi đã chắc chắn những gì nvuxsvc.exe là, vì vậy tôi đã kiểm tra nó và sau đó xem dữ liệu trong các phần khác. Trong Hoạt động mạng, bạn muốn xem xét Địa chỉ trường sẽ cung cấp cho bạn địa chỉ IP hoặc tên DNS của máy chủ từ xa.

giám sát quá trình tài nguyên bộ lọc

Nói chung, thông tin ở đây đã giành được nhất thiết phải giúp bạn biết được điều gì là tốt hay xấu. Bạn phải sử dụng một số trang web của bên thứ ba để giúp bạn xác định quy trình. Đầu tiên, nếu bạn không nhận ra tên quy trình, hãy tiếp tục và Google sử dụng tên đầy đủ, tức là nvuxsvc.exe.

tìm kiếm quá trình

Luôn luôn, nhấp qua ít nhất bốn đến năm liên kết đầu tiên và bạn sẽ ngay lập tức biết được chương trình có an toàn hay không. Trong trường hợp của tôi, nó liên quan đến dịch vụ phát trực tuyến NVIDIA, an toàn, nhưng không phải là thứ tôi cần. Cụ thể, quy trình này là để phát trực tuyến các trò chơi từ PC của bạn sang NVIDIA Shield, thứ mà tôi không có. Thật không may, khi bạn cài đặt trình điều khiển NVIDIA, nó sẽ cài đặt rất nhiều tính năng khác mà bạn không cần.

Vì dịch vụ này chạy trong nền, tôi không bao giờ biết nó tồn tại. Nó không xuất hiện trong bảng điều khiển GeForce và vì vậy tôi giả sử tôi đã cài đặt trình điều khiển. Khi tôi nhận ra mình không cần dịch vụ này, tôi có thể gỡ cài đặt một số phần mềm NVIDIA và thoát khỏi dịch vụ đang liên lạc trên mạng mọi lúc, mặc dù tôi chưa bao giờ sử dụng nó. Vì vậy, một ví dụ về cách đào sâu vào từng quy trình có thể giúp bạn không chỉ xác định được phần mềm độc hại có thể, mà còn loại bỏ các dịch vụ không cần thiết có thể bị tin tặc khai thác.

Thứ hai, bạn nên tra cứu địa chỉ IP hoặc tên DNS được liệt kê trong Địa chỉ cánh đồng. Bạn có thể kiểm tra một công cụ như Tên miền, sẽ cung cấp cho bạn thông tin bạn cần. Ví dụ, trong Hoạt động mạng, tôi nhận thấy rằng quá trình steam.exe đang kết nối với địa chỉ IP 208.78.164.10. Khi tôi cắm nó vào công cụ được đề cập ở trên, tôi rất vui khi biết rằng tên miền được điều khiển bởi Valve, công ty sở hữu Steam.

địa chỉ ip whois

Nếu bạn thấy một địa chỉ IP đang kết nối với máy chủ ở Trung Quốc hoặc Nga hoặc một số vị trí lạ khác, bạn có thể gặp sự cố. Thông thường, quá trình này sẽ dẫn bạn đến các bài viết về cách loại bỏ phần mềm độc hại.

Chương trình của bên thứ ba

Resource Monitor rất tuyệt và cung cấp cho bạn nhiều thông tin, nhưng có những công cụ khác có thể cung cấp cho bạn thêm một chút thông tin. Hai công cụ mà tôi khuyên dùng là TCPViewCổng Curr. Cả hai đều trông khá giống nhau, ngoại trừ việc CurrPort cung cấp cho bạn nhiều dữ liệu hơn. Dưới đây, một ảnh chụp màn hình của TCPView:

tcpview

Các hàng bạn quan tâm nhất là những hàng có Tiểu bang của THÀNH LẬP. Bạn có thể nhấp chuột phải vào bất kỳ hàng nào để kết thúc quá trình hoặc đóng kết nối. Dưới đây, một ảnh chụp màn hình của CurrPorts:

thể thao

Một lần nữa, nhìn vào THÀNH LẬP kết nối khi duyệt qua danh sách. Như bạn có thể thấy từ thanh cuộn ở phía dưới, có nhiều cột hơn cho mỗi quy trình trong CurrPorts. Bạn thực sự có thể nhận được rất nhiều thông tin bằng cách sử dụng các chương trình này.

Dòng lệnh

Cuối cùng là dòng lệnh. Chúng tôi sẽ sử dụng netstat lệnh để cung cấp cho chúng tôi thông tin chi tiết về tất cả các kết nối mạng hiện tại được xuất ra từ tệp TXT. Thông tin về cơ bản là một tập hợp con của những gì bạn nhận được từ Resource Monitor hoặc các chương trình của bên thứ ba, do đó, nó thực sự chỉ hữu ích cho các kỹ thuật viên.

Đây là một ví dụ nhanh. Đầu tiên, mở một dấu nhắc lệnh của Quản trị viên và nhập lệnh sau:

netstat -abfot 5 > c:activity.txt

lệnh netstat

Đợi khoảng một hoặc hai phút và sau đó nhấn CTRL + C trên bàn phím của bạn để dừng chụp. Lệnh netstat ở trên về cơ bản sẽ nắm bắt tất cả dữ liệu kết nối mạng cứ sau năm giây và lưu nó vào tệp văn bản. Các –abfot một phần là một loạt các tham số để chúng ta có thể nhận thêm thông tin trong tệp. Dưới đây là ý nghĩa của từng tham số, trong trường hợp bạn quan tâm.

lệnh netstat giúp

Khi bạn mở tệp, bạn sẽ thấy khá nhiều thông tin giống như chúng tôi đã nhận được từ hai phương pháp khác ở trên: tên quy trình, giao thức, số cổng cục bộ và từ xa, địa chỉ IP / tên DNS từ xa, trạng thái kết nối, ID tiến trình, v.v. .

sản lượng netstat

Một lần nữa, tất cả các dữ liệu này là bước đầu tiên để xác định xem có chuyện gì đó đang xảy ra hay không. Bạn sẽ phải làm rất nhiều việc với Google, nhưng đó là cách tốt nhất để biết ai đó đang rình mò bạn hoặc nếu phần mềm độc hại đang gửi dữ liệu từ máy tính của bạn đến một số máy chủ từ xa. Nếu bạn có bất kỳ câu hỏi, hãy bình luận. Thưởng thức!

Để lại bình luận

Địa chỉ email của bạn sẽ được bảo mật thông tin.