Можете бити прилично сигурни да је ваш рачунар повезан са сервером који хостује моју веб локацију док читате овај чланак, али поред очигледних веза са сајтовима отвореним у вашем веб претраживачу, ваш рачунар се можда повезује са читавим низом других сервера који се не виде.

Већину времена заиста нећете хтети да урадите ништа што је написано у овом чланку јер је потребно да погледате много техничких ствари, али ако мислите да на вашем рачунару постоји програм који не би требало да постоји и тајно комуницира на Интернету^(Internet) , методе у наставку ће вам помоћи да идентификујете било шта необично.

Вреди напоменути да ће рачунар који ради под оперативним системом као што је Виндовс^(Windows) са неколико инсталираних програма на крају подразумевано успоставити много веза са спољним серверима. На пример, на мојој Виндовс^(Windows) 10 машини након поновног покретања и без покретања програма, неколико веза успоставља сам Виндовс^(Windows) , укључујући ОнеДриве^(OneDrive) , Цортана^(Cortana) , па чак и претрагу на радној површини. Прочитајте мој чланак о обезбеђивању оперативног система Виндовс 10^{(securing Windows 10)} да бисте сазнали о начинима на које можете спречити да Виндовс 10^{(Windows 10)} пречесто комуницира са Мицрософт серверима.^(Microsoft)

Постоје три начина на које можете да надгледате везе које ваш рачунар успоставља са Интернетом^(Internet) : преко командне линије, помоћу монитора ресурса^{(Resource Monitor)} или преко програма независних произвођача. Командну линију ћу поменути последњу јер је она најтехничка и најтежа за дешифровање.

Ресоурце Монитор

Најлакши начин да проверите све везе које ваш рачунар остварује је да користите Ресоурце Монитор^{(Resource Monitor)} . Да бисте га отворили, морате кликнути на Старт^(Start) , а затим укуцати  монитор ресурса^{(resource monitor)} . Видећете неколико картица на врху, а онај на који желимо да кликнемо је Мрежа^(Network) .

На овој картици видећете неколико одељака са различитим типовима података: Процеси са мрежном активношћу^{(Processes with Network Activity)} , Мрежна активност^{(Network Activity)} , ТЦП везе^{( TCP Connections)} и портови за слушање^{( Listening Ports)} .

Сви подаци наведени на овим екранима се ажурирају у реалном времену. Можете да кликнете на заглавље у било којој колони да бисте сортирали податке у растућем или опадајућем редоследу. У одељку Процеси са мрежном активношћу ^{(Processes with Network Activity )} , листа укључује све процесе који имају било коју врсту мрежне активности. Такође ћете моћи да видите укупну количину послатих и примљених података у бајтовима у секунди за сваки процес. Приметићете да постоји празан оквир за потврду поред сваког процеса, који се може користити као филтер за све остале одељке.

На пример, нисам био сигуран шта је нвстреамсвц.еке^{(nvstreamsvc.exe)} , па сам га проверио и онда погледао податке у другим одељцима. Под Мрежна активност^{(Network Activity)} желите да погледате поље Адреса^(Address)  , које би требало да вам да ИП адресу или ДНС^(DNS) име удаљеног сервера.

Саме по себи, ове информације вам неће нужно помоћи да схватите да ли је нешто добро или лоше. Морате да користите неке веб странице трећих страна да вам помогну да идентификујете процес. Прво, ако не препознајете име процеса, само га прогуглајте^{(nvstreamsvc.exe)} користећи пуно име, тј . нвстреамсвц.еке^(Google) .

Увек кликните на најмање првих четири до пет веза и одмах ћете добити добру представу о томе да ли је програм безбедан или не. У мом случају, то је било повезано са НВИДИА^(NVIDIA) сервисом за стриминг, који је сигуран, али није нешто што ми је требало. Конкретно, процес је за стримовање игара са вашег рачунара на НВИДИА Схиелд^{(NVIDIA Shield)} , који ја немам. Нажалост, када инсталирате НВИДИА^(NVIDIA) драјвер, он инсталира много других функција које вам нису потребне.

Пошто ова услуга ради у позадини, нисам знао да постоји. Није се појавио на ГеФорце^(GeForce) панелу и зато сам претпоставио да сам управо инсталирао драјвер. Када сам схватио да ми ова услуга није потребна, успео сам да деинсталирам неки НВИДИА^(NVIDIA) софтвер и да се отарасим услуге, која је све време комуницирала на мрежи, иако је никада нисам користила. Дакле, то је један пример како копање у сваком процесу може да вам помогне не само да идентификујете могући малвер, већ и да уклоните непотребне услуге које би хакери могли да искористе.

Друго, требало би да потражите ИП адресу или ДНС^(DNS) име наведено у пољу Адреса^(Address) . Можете да погледате алатку као што је ДомаинТоолс^{(DomainTools)} , која ће вам дати информације које су вам потребне. На пример, под Мрежна активност^{(Network Activity)} приметио сам да се процес стеам.еке повезује на ИП адресу 208.78.164.10. Када сам то укључио у горе поменуту алатку, био сам срећан што сам сазнао да домен контролише Валве^(Valve) , компанија која поседује Стеам^(Steam) .

Ако видите да се ИП адреса повезује са сервером у Кини^(China) или Русији^(Russia) или на некој другој чудној локацији, можда имате проблем. Гуглање процеса ће вас обично довести до чланака о томе како да уклоните злонамерни софтвер.

Програми трећих страна

Монитор ресурса^{(Resource Monitor)} је одличан и даје вам много информација, али постоје и други алати који вам могу дати мало више информација. Два алата које препоручујем су ТЦПВиев^(TCPView) и ЦуррПортс^(CurrPorts) . Оба изгледају потпуно исто, осим што вам ЦуррПортс^(CurrPorts) даје много више података. Ево снимка екрана ТЦПВиев-а:

Редови који вас највише занимају су они који имају стање ^(State)ЕСТАБЛИСХЕД^{(ESTABLISHED)} . Можете да кликнете десним тастером миша на било који ред да бисте прекинули процес или затворили везу. Ево снимка екрана ЦуррПортс-а:

Опет, погледајте УСПОСТАВЉЕНЕ^{(ESTABLISHED)} везе када прегледате листу. Као што можете видети из траке за померање на дну, постоји много више колона за сваки процес у ЦуррПортс-^(CurrPorts) у . Помоћу ових програма заиста можете добити много информација.

Командна линија

Коначно, ту је командна линија. Користићемо команду нетстат^(netstat) да нам дамо детаљне информације о свим тренутним мрежним везама које се излазе у ТКСТ^(TXT) датотеку. Информације су у основи подскуп онога што добијате од Ресоурце Монитор^{(Resource Monitor)} -а или програма трећих страна, тако да су заиста корисне само за техничаре.

Ево кратког примера. Прво^(First) отворите командну линију администратора и унесите следећу команду:^{(Administrator)}

netstat -abfot 5 > c:\activity.txt

Сачекајте^(Wait) око минут или два, а затим притисните CTRL + C на тастатури да бисте зауставили снимање. Горња команда нетстат ће у основи ухватити све податке о мрежној вези сваких пет секунди и сачувати их у текстуалној датотеци. Део – абфот^(abfot) је гомила параметара тако да можемо да добијемо додатне информације у датотеци. Ево шта значи сваки параметар, у случају да сте заинтересовани.

Када отворите датотеку, видећете скоро исте информације које смо добили од друга два метода изнад: назив процеса, протокол, локални и удаљени бројеви портова, удаљена IP Address/DNS име, стање везе, ИД процеса итд. .

Опет^(Again) , сви ови подаци су први корак ка утврђивању да ли се нешто сумњиво дешава или не. Мораћете доста да гуглате^(Googling) , али то је најбољи начин да сазнате да ли вас неко њушка или злонамерни софтвер шаље податке са вашег рачунара на неки удаљени сервер. Ако имате било каквих питања, слободно коментаришите. Уживати!

Monitor Hidden Website and Internet Connections

Υou can be pretty sυre that yoυr computer is connected to the server hosting my website as you read this article, but in addіtion to the obvious connections to the sіtes open in your web browsеr, your computer may be connecting to a whole host of other ѕervers that are not visible.

Most of the time, you’re really not going to want to do anything written in this article since it requires looking at a lot of technical stuff, but if you think there is a program on your computer that shouldn’t be there communicating secretly on the Internet, the methods below will help you identify anything unusual.

It’s worth noting that a computer running an operating system like Windows with a few programs installed will end up making a lot of connections to outside servers by default. For example, on my Windows 10 machine after a reboot and with no programs running, several connections are made by Windows itself, including OneDrive, Cortana and even desktop search. Read my article on securing Windows 10 to learn about ways you can prevent Windows 10 from communicating with Microsoft servers too often.

There are three ways you can go about monitoring the connections that your computer makes to the Internet: via the command prompt, using Resource Monitor or via third-party programs. I’m going to mention the command prompt last since that’s the most technical and hardest to decipher.

Resource Monitor

The easiest way to check out all the connections your computer is making is to use Resource Monitor. To open it, you have to click on Start and then type in resource monitor. You’ll see several tabs across the top and the one we want to click on is Network.

On this tab, you’ll see several sections with different types of data: Processes with Network Activity, Network Activity, TCP Connections and Listening Ports.

All the data listed in these screens are updated in real time. You can click on a header in any column to sort the data in ascending or descending order. In the Processes with Network Activity section, the list includes all the processes that have any kind of network activity. You’ll also be able to see the total amount of data sent and received in bytes per second for each process. You’ll notice there is an empty checkbox next to each process, which can be used as a filter for all the other sections.

For example, I wasn’t sure what nvstreamsvc.exe was, so I checked it and then looked at the data in the other sections. Under Network Activity, you want to look at the Address field, which should give you an IP address or the DNS name of the remote server.

In and of itself, the information here won’t necessarily help you figure out whether something is good or bad. You have to use some third-party websites to help you identify the process. Firstly, if you don’t recognize a process name, go ahead and Google it using the full name, i.e. nvstreamsvc.exe.

Always, click through at least the first four to five links and you’ll instantly get a good idea of whether or not the program is safe or not. In my case, it was related to the NVIDIA streaming service, which is safe, but not something I needed. Specifically, the process is for streaming games from your PC to the NVIDIA Shield, which I don’t have. Unfortunately, when you install the NVIDIA driver, it installs a lot of other features you don’t need.

Since this service run in the background, I never knew it existed. It didn’t show up in the GeForce panel and so I assumed I just had the driver installed. Once I realized I didn’t need this service, I was able to uninstall some NVIDIA software and get rid of the service, which was communicating on the network all the time, even though I never used it. So that’s one example of how digging into each process can help you not only identify possible malware, but also remove unnecessary services that could possibly be exploited by hackers.

Secondly, you should look up the IP address or DNS name listed in the Address field. You can check out a tool like DomainTools, which will give you the information you need. For example, under Network Activity, I noticed that the steam.exe process was connecting to IP address 208.78.164.10. When I plugged that into the tool mentioned above, I was happy to learn that the domain is controlled by Valve, which is the company that owns Steam.

If you see an IP address is connecting to a server in China or Russia or some other strange location, you might have a problem. Googling the process will normally lead you to articles on how to remove the malicious software.

Third Party Programs

Resource Monitor is great and gives you a lot of info, but there are other tools that can give you a little bit more information. The two tools that I recommend are TCPView and CurrPorts. Both pretty much look exactly the same, except that CurrPorts gives you a whole lot more data. Here’s a screenshot of TCPView:

The rows you are mostly interested in are the ones that have a State of ESTABLISHED. You can right-click on any row to end the process or close the connection. Here’s a screenshot of CurrPorts:

Again, look at ESTABLISHED connections when browsing through the list. As you can see from the scrollbar at the bottom, there are many more columns for each process in CurrPorts. You can really get a lot of information using these programs.

Command Line

Finally, there is the command line. We will use the netstat command to give us detailed information about all the current network connections outputted to a TXT file. The information is basically a subset of what you get from Resource Monitor or the third-party programs, so it’s really only useful for techies.

Here’s a quick example. First, open an Administrator command prompt and type in the following command:

netstat -abfot 5 > c:\activity.txt

Wait for about a minute or two and then press CTRL + C on your keyboard to stop the capture. The netstat command above will basically capture all network connection data every five seconds and save it to the text file. The –abfot part is a bunch of parameters so that we can get extra information in the file. Here is what each parameter means, in case you are interested.

When you open the file, you’ll see pretty much the same information that we got from the other two methods above: process name, protocol, local and remote port numbers, remote IP Address/DNS name, connection state, process ID, etc.

Again, all of this data is a first step to determining whether something fishy is going on or not. You’ll have to do a lot of Googling, but it’s the best way to know if someone is snooping on you or if malware is sending data from your computer to some remote server. If you have any questions, feel free to comment. Enjoy!

Related posts

• Ко је власник интернета? Објашњена веб архитектура

• Како оверклоковати монитор да бисте добили већу брзину освежавања за игре

• Етикета коментара на Интернету за побољшање вашег друштвеног искуства

• Преглед Фирефок монитора: шта је то и како штити ваше податке за пријаву

• 7 ствари које треба имати на уму када упоредите нове интернет провајдере

• 10 Примери Веб 3.0: Да ли је то будућност Интернета?

• Шта је оптички интернет и да ли треба да пређете са кабла?

• 3 начина да снимите фотографију или видео на Цхромебоок-у

• Како делити Ви-Фи мрежне везе у оперативном систему Виндовс 11

• Како претраживати Фацебоок пријатеље по локацији, послу или школи

• Како пронаћи успомене на Фејсбуку

• Можете ли променити своје Твитцх име? Да, али будите опрезни

• Шта је Дисцорд Стреамер режим и како га подесити

• Да ли је опасно повезивати се са мобилним телефоном ради приступа Интернету?

• Како открити софтвер за праћење рачунара и е-поште или шпијунирање

• 10 савета за решавање проблема ако је ваш интернет повезан, али не ради

• Како додати скривену област унутар шифрованог ВераЦрипт волумена

• Како креирати скривену мрежну дељење у Виндовс-у

• Како калибрисати свој монитор у оперативном систему Виндовс и ОС Кс

• Демистификована технологија равног екрана: ТН, ИПС, ВА, ОЛЕД и још много тога