Як відстежити трафік в мережі

Як правило, злодійство даних відбувається двома шляхами: безпосереднім підключенням до віддаленого комп`ютера, в результаті якого хакер отримує можливість переглядати папки комп`ютера і копіювати потрібну йому інформацію, і з використанням троянських програм. Виявити роботу професійно написаної троянської програми дуже складно. Але таких програм не так вже й багато, тому в більшості випадків користувач помічає в роботі комп`ютера деякі дивні речі, що свідчать про його зараження. Наприклад, спроби підключитися до мережі, незрозуміла мережева активність, коли ви не відкриваєте ніяких сторінок, і т.д. і т.п.

У всіх подібних ситуаціях необхідно проконтролювати трафік, для цього ви можете скористатися штатними засобами Windows. Відкрийте командний рядок: «Пуск» - «Всі програми» - «Стандартні» - «Командний рядок». Її можна відкрити і так: «Пуск» - «Виконати», потім введіть команду cmd і натисніть Enter. Відкриється чорне вікно, це і є командний рядок (консоль).

Введіть в командному рядку команду netstat -aon і натисніть Enter. З`явиться список підключень із зазначенням ip-адрес, з якими з`єднується ваш комп`ютер. У графі «Стан» ви можете подивитися статус з`єднання - наприклад, рядок ESTABLISHED говорить про те, що дане з`єднання активно, тобто присутній в даний момент. У графі «Зовнішній адреса» вказано ip-адреса віддаленого комп`ютера. У графі «Локальний адреса» ви знайдете інформацію про відкриті на вашому комп`ютері портах, через які здійснюються з`єднання.

Зверніть увагу на останню графу - PID. У ній вказані ідентифікатори, присвоєні системою поточним процесам. Вони дуже корисні при пошуку додатки, відповідального за питання, що цікавлять вас з`єднання. Наприклад, ви бачите, що через якийсь порт у вас встановлено з`єднання. Запам`ятайте PID-ідентифікатор, потім в тому ж вікні командного рядка наберіть tasklist і натисніть Enter. З`явиться список процесів, в його другій колонці вказані ідентифікатори. Знайшовши вже знайомий ідентифікатор, ви легко визначите, яке додаток встановило дане з`єднання. Якщо назва процесу вам незнайоме, введіть його в пошуковик, ви тут же отримаєте про нього всю необхідну інформацію.

Для контролю трафіку можна використовувати і спеціальні програми - наприклад, BWMeter. Утиліта корисна тим, що може повністю контролювати трафік, вказуючи, з якими адресами з`єднується ваш комп`ютер. Пам`ятайте, що при правильному налаштуванні він не повинен лізти в мережу, коли ви не користуєтеся Інтернетом - навіть в тому випадку, якщо браузер запущений. У ситуації, коли індикатор підключення в треї раз у раз сигналізує про мережеву активність, необхідно відшукати відповідальне за підключення додаток.

Хорошу допомогу в контролі трафіку і виявленні шкідливого софту може надати і програма AnVir Task Manager. Вона показує список запущених процесів з іменами здійсненних файлів, що дозволяє легко і швидко зрозуміти, яка програма запустила той чи інший процес.