Просмотр всех соединений windows

Это бывает нужно, например, если вы хотите посмотреть, нет ли «левой» активности от непонятных приложений.

Сначала запустите командную строку командой cmd . В не-инновационных версиях Windows просто делаем Пуск, Выполнить, cmd (или уродливый аналог в Windows 8; а лучше запустить из нормального файл-менеджера с командной строкой).

Затем выполнить в командной строке вот это:

Команда сбросит список активных подключений в файл с именем 1.txt , который создастся в текущей папке.

Возможно, это выполнится быстро, а возможно, при большой загруженности компьютера и множестве активных подключений, ждать придётся долго, несколько минут, и винчестер будет активно «шуршать».

Увидеть, что получилось, можно, открыв файл в любом текстовом редакторе. Если в первых строках файла вместо символов кириллицы — «кракозябры», не унывайте, просто ваша консоль создала текстовый файл в кодировке DOS. Попробуйте открыть его, например, с помощью Notepad++, предварительно выбрав в его меню Кодировки — Кириллица — OEM 866.

Потом спокойно анализируем файл, все подключения как на ладони. Увидели, скажем, такое:

— насторожитесь. Может, это просто неподписанное расширение браузера, а может, лезет Ванька Полонский, в любом случае, обратитесь за разъяснениями на толковый форум.

Кстати, прилагаю список некоторых полезных консольных команд Windows, которые можно выполнить так же, как мы выполнили эту.
set Показать список системных переменных, в их числе будут и имя пользователя или компьютера
nbtstat -a Отображение всех подключений и ожидающих портов
net localgroup group user /add Добавить в группу group пользователя user
net localgroup group user /delete Удалить пользователя из группы
net send pc «текст» Отправить сообщение пользователю компьютера pc
net sessions Список пользователей
net session /delete Закрыть все сетевые сессии
net use t: \\имя_компютера\папка\ Подключить сетевым диском t: папку на удаленном компьютере
net user имя /active:no Заблокировать пользователя
net user имя /active:yes Разблокировать пользователя
net user имя /domain Информация о пользователе домена
net user Имя /add Добавить пользователя
net user Имя /delete Удалить пользователя
reg add Добавить параметр в реестр (нужны дополнительные параметры, как и командам ниже)
reg compare Сравнивать части реестра
reg copy Копировать из одного раздела в другой
reg delete Удалить указанный параметр или раздел
reg export Экспортировать часть реестра
reg import Импортировать часть реестра
reg load Загрузить выбранную часть реестра
reg query Вывести значения заданной ветки реестра
reg restore Восстановить выбранную часть реестра из файла
reg save Сохранить выбранную часть реестра
reg unload Выгрузить выбранную часть реестра
shutdown -s Выключить компьютер
shutdown -r Перезагрузить компьютер
systeminfo Вывести системную информацию о вашей машине
systeminfo /s machine Вывести системную информацию об удаленной машине

И т.д., не забывайте про «волшебный» параметр /? у команд — это справка о команде. Например, командная строка

покажет все варианты синтаксиса этой команды, а затем

детализирует информацию по команде net send .

Конечно, всё это имеет смысл делать с правами администратора.

Как определить, какое приложение занимает конкретный порт — в этой заметке, а здесь — основные команды Windows, открывающие окна системных приложений настройки.

23.10.2014, 10:31; рейтинг: 10158

TCPView v4.0

By Mark Russinovich

Published: March 23, 2021

В Download TCPView (1.4 MB)
Run now from Sysinternals Live.

Introduction

TCPView is a Windows program that will show you detailed listings of all TCP and UDP endpoints on your system, including the local and remote addresses and state of TCP connections. On Windows Server 2008, Vista, and XP, TCPView also reports the name of the process that owns the endpoint. TCPView provides a more informative and conveniently presented subset of the Netstat program that ships with Windows. The TCPView download includes Tcpvcon, a command-line version with the same functionality.

Using TCPView

When you start TCPView it will enumerate all active TCP and UDP endpoints, resolving all IP addresses to their domain name versions. You can use a toolbar button or menu item to toggle the display of resolved names. On Windows XP systems, TCPView shows the name of the process that owns each endpoint.

By default, TCPView updates every second, but you can use the Options|Refresh Rate menu item to change the rate. Endpoints that change state from one update to the next are highlighted in yellow; those that are deleted are shown in red, and new endpoints are shown in green.

You can close established TCP/IP connections (those labeled with a state of ESTABLISHED) by selecting File|Close Connections, or by right-clicking on a connection and choosing Close Connections from the resulting context menu.

You can save TCPView’s output window to a file using the Save menu item.

Using Tcpvcon

Tcpvcon usage is similar to that of the built-in Windows netstat utility:

Usage:

Parameter	Description
-a	Show all endpoints (default is to show established TCP connections).
-c	Print output as CSV.
-n	Don’t resolve addresses.

Microsoft TCPView KB Article

This Microsoft KB article references TCPView:

В Download TCPView (1.4 MB)

Run now from Sysinternals Live.

Runs on:

• Client: Windows 8.1 and higher.
• Server: Windows Server 2012 and higher.

—>

Бесплатные программы на все случаи жизни

TCPView, лучшая программа для показа все сетевых подключений

Хотел в этот раз обойтись без вступления но , не удержался. Никогда не интересовало, сколько на вашей операционной системе установлено сетевых подключений, и какими службами, программами на какие адреса. Эту информацию можно получить с помощью некоторых файрволов если, если у вас установлен. Но есть одна бесплатная утилита написанная Марком Руссиновичем, гуру написавшим много полезных утилит для Windows — TCPView.

Программу не требуется устанавливать, достаточно скачать архив, распаковать фалы и запустить утилиту. Размер просто миниатюрный как по сегодняшним временам, всего около 200 килобайт, найдите что-то подобное с такими возможностями. В открытом окне получаем список всех процессов, которые открывают сетевые подключения, используемый протокол, состояние и локальные и удаленные адреса которые используются. С установленной периодичностью (по умолчанию 1 секунда), которую можно настроить, идет обновление информации.

Можно выбирать показывать IP адреса, или определять их доменные имена если возможно. Чтоб не тонуть в куче ненужной информации, можно отключать подключения которые не имеют конечной отвечающей точки.

Из контекстного меню можно узнать информацию о выбранном процессе (путь к исполняемому файлу), завершать процесс (поможет прибивать опасные или подозрительные программы), закрывать соединение (скоростное отключение от ненужных сайтов, оставаяя процес в рабочем состоянии) и получать сведения о текущем сайте, к которому сделано подключение (иногда узнаешь интересные вещи).

Мониторится только TCP, UDP и TCPV6 (оказывается, сейчас он активно используются) протоколы, по которым сейчас весь сетевой обмен на компьютерах.

Из настроек есть только изменение параметров шрифта, и на этом все ограничивается.

TCPView утилита которая делает свою работу, не имеет феерического интерфейса, но работает как часы, классическая трудовая лошадка. Когда утилита работает её просто не замечаешь, а когда не оказывается под руками, чувствуешь что не хватает чего-то важного. Кто не понимает её назначения, она вам и не понадобится для тех, кто в теме обязательна к использованию.

Прекрасно работает в 32-х и 64-х битных операционных системах. Доступен только один язык, английский, больше никаких вариантов не предлагается.

Последняя версия на момент написания TCPView 2.54

Как отслеживать сетевую активность с помощью журналов Брандмауэра Windows

Если вы пользуетесь системой Windows, то скорее всего знаете о на наличии в ней встроенного брандмауэра. Возможно вы также умеете разрешать и блокировать доступ отдельных программ в сеть, чтобы контролировать входящий и исходящий трафик. Но знаете ли вы, что фаервол Windows может быть использован для регистрации всех проходящих через него соединений?

Журналы Брандмауэра Windows могут быть полезны при решении отдельных проблем:

• Используемая программа не может подключиться к Интернету, несмотря на то, что с другими приложениями эта проблема не наблюдается. В данном случае для устранения неисправности следует проверить, не блокирует ли системный фаервол запросы данной программы на подключение.
• Вы подозреваете, что компьютер используется для передачи данных вредоносной программой и хотите провести мониторинг исходящего трафика на предмет подозрительных запросов подключения.
• Вы создали новые правила разрешения и блокировки доступа и хотите убедиться, что фаервол корректно обрабатывает заданные инструкции.

Независимо от причин использования, включение протоколирования событий может быть сложной задачей, так как требует многих манипуляций с настройками. Приведем четкий алгоритм действий, как активировать регистрацию сетевой активности в фаерволе Windows.

Доступ к настройкам фаервола

Во-первых, нужно перейти к расширенным настройкам брандмауэра Windows. Откройте панель управления (клик правой кнопкой мыши по меню Пуск, опция “Панель управления”), затем нажмите ссылку “Брандмауэр Windows”, если стоит режим просмотра мелкие/крупные значки, либо выберите раздел “Система и безопасность”, а затем “Брандмауэр Windows”, если стоит режим просмотра категория.

В окне фаервола выберите опцию в левом навигационном меню “Дополнительные параметры”.

Вы увидите следующий экран настроек:

Это внутренняя техническая сторона брандмауэра Windows. Данный интерфейс позволяет разрешать или блокировать доступ программ в Интернет, настраивать входящие и исходящий трафик. Кроме того, именно здесь можно активировать функцию регистрации событий — хотя не сразу понятно, где это можно сделать.

Доступ к настройкам журнала

Во-первых, выберите опцию “Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)”.

Кликните правой кнопкой мыши по ней и выберите опцию “Свойства”.

Откроется окно, которое может запутать пользователя. При выборе трех вкладок (Профиль домена, Частный профиль, Общий профиль) можно заметить, что их содержимое идентично, но относится к трем различным профилям, название которых указано в заголовке вкладки. На вкладке каждого профиля содержится кнопка настройки ведения журнала. Каждый журнал будет соответствовать отдельному профилю, но какой профиль используете вы?

Рассмотрим, что означает каждый профиль:

• Профиль домена используется для подключения к беспроводной сети Wi-Fi, когда домен задается контроллером домена. Если вы не уверены, что это значит, лучше не используйте данный профиль.
• Частный профиль используется для подключения к частным сетям, включая домашние или персональные сети — именно данный профиль вы скорее всего будете использовать.
• Общий профиль используется для подключения к общественным сетям, включая сети ресторанов, аэропортов, библиотек и других учреждений.

Если вы используете компьютер в домашней сети, перейдите на вкладку “Частный профиль”. Если используется публичная сеть, перейдите на вкладку “Общий профиль”. Нажмите кнопку “Настроить” в секции “Ведение журнала” на корректной вкладке.

Активация журнала событий

В открывшемся окне вы можете настроить расположение и максимальный размер журнала. Можно задать легко запоминающееся место для лога, но на самом деле локация файла журнала не имеет особо значения. Если вы хотите запустить регистрацию событий, в обоих выпадающих меню “Записывать пропущенные пакеты” и “Записывать успешные подключения” установите значение “Да” и нажмите кнопку “ОК”. Постоянная работа функции может привести к проблемам производительности, поэтому активируйте ее только когда действительно нужно выполнить мониторинг подключений. Для отключения функции логирования установите значение “Нет (по умолчанию)” в обоих выпадающих меню.

Изучение журналов

Теперь компьютер будет фиксировать сетевую активность, контролируемую фаерволом. Для того, чтобы просмотреть логи, перейдите в окно “Дополнительные параметры”, выберите опцию “Наблюдение” в левом списке, а затем в секции “Параметры ведения журнала” кликните ссылку “Имя файла”.

Затем откроется журнал сетевой активности. Содержимое журнала может запутать неопытного пользователя. Рассмотрим основное содержимое записей журнала:

1. Дата и время подключения.
2. Что произошло с подключением. Статус “ALLOW” означает, что фаервол разрешил подключение, а статус “DROP” показывает, что подключение было заблокировано фаерволом. Если вы столкнулись с проблемами подключения к сети отдельной программы, то сможете точно определить, что причина проблемы связана с политикой брандмауэра.
3. Тип подключения — TCP или UDP.
4. По порядку: IP-адрес источника подключения (компьютера), IP-адрес получателя (например, веб-страницы) и используемый на компьютере сетевой порт. Данная запись позволяет выявлять порты, которые требуют открытия для работы ПО. Также следите за подозрительными подключениями — они могут быть совершены вредоносными программами.
5. Был ли успешно отправлен или получен пакет данных.

Информация в журнале поможет выяснить причину проблем подключения. Журналы могут регистрировать и другую активность, например, целевой порт или номер подтверждения TCP. Если вам нужны подробности, ознакомьтесь со строкой “#Fields” в верхней части лога, чтобы идентифицировать значение каждого показателя.

Не забудьте отключить функцию ведения журнала после завершения работы.

Расширенная диагностика сети

С помощью использования журнала брандмауэра Windows, вы можете проанализировать типы данных, обрабатываемых на компьютере. Кроме того, можно установить причины проблем с сетью, связанные с работой фаервола или другими объектами, нарушающими соединения. Журнал активности позволяет ознакомиться с работой фаервола и получить четкое представление о происходящем в сети.