Chtěli byste vědět, ke kterým zařízením a službám je váš počítač připojen v reálném čase, aniž byste si komplikovali život příkazy? Windows má lehký a velmi výkonný nástroj, který usnadňujeJmenuje se TCPView a patří do rodiny programů Microsoft Sysinternals.
TCPView, vytvořený týmem Sysinternals (jejich nejnovější příspěvek podepsal Mark Russinovich), zobrazuje aktivní koncové body TCP a UDP ve vašem systému velmi podrobně. Uvidíte lokální a vzdálené adresy, stavy připojení a co je nejužitečnější, který proces vlastní který socket.Součástí stažení je také Tcpvcon, jeho verze pro příkazový řádek se stejnou funkcionalitou.
Co je TCPView a k čemu slouží?
TCPView Jedná se o aplikaci pro Windows, která v reálném čase zobrazuje seznam všech síťových koncových bodů na vašem počítači. Zobrazuje TCP a UDP připojení, rozpoznává názvy domén z IP adres a přiřazuje každé připojení k jeho procesu a službě. (pokud je služba k dispozici). Jeho cílem je nabídnout jasnější a praktičtější přehled než klasický nástroj Netstat, který je sice komplexní, ale není tak pohodlný pro rychlý pohled.
Jinými slovy, jedná se o interaktivní prohlížeč lokálního provozu TCP/IP: díky tříditelným sloupcům a vizuálním filtrům pomáhá identifikovat podezřelá připojení, aplikace spotřebovávající síť nebo služby naslouchající na konkrétních portech. Výhodou oproti Netstatu je jeho grafické rozhraní, neustálá aktualizace a rychlé akce při každém připojení..
Nejnovější verze od Microsoftu uvádí velikost stahování přibližně 1,5 MB a uvádí, že jej lze okamžitě spustit ze Sysinternals Live bez nutnosti instalace. Historicky byl balíček velmi malý (řádově stovky KB), ale dnes je stále malým souborem ke stažení. který je dodáván v ZIP archivu se dvěma spustitelnými soubory: Tcpview.exe (GUI) a Tcpvcon.exe (CLI).
Pro ty, kteří dávají přednost konzoli, je ke stažení zahrnut i Tcpvcon, který replikuje funkcionalitu TCPView z příkazového řádku. Tímto způsobem můžete integrovat kontrolu připojení do skriptů, exportovat do CSV nebo filtrovat podle procesu či PID. bez otevření grafického rozhraní.
Klíčové vlastnosti a jak to funguje
Po otevření TCPView okamžitě zobrazí aktivní koncové body TCP a UDP. Ve výchozím nastavení rozpoznává IP adresy a zobrazuje jejich názvy domén. ale můžete přepínat mezi formátem jména a čísla pomocí tlačítka na panelu nástrojů nebo z nabídkyTento přepínač usnadňuje rychlou identifikaci známých služeb nebo zobrazení IP adres bez překladu, když je potřeba přesnost.
Aplikace ve výchozím nastavení obnovuje seznam každou sekundu. Pokud potřebujete rychlejší nebo pomalejší frekvenci obnovení, přejděte do Možnosti → Frekvence obnovení. Záznamy mění barvu, abyste na první pohled poznali nové položky, výběry nebo změny.zelená pro nová připojení, žlutá při změně jejich stavu a červená při uzavření.
Ve sloupcích uvidíte data jako proces, PID, lokální a vzdálená adresa, port, protokol a stav připojení. Mezi typické stavy patří Naslouchání, Ustavení, Čekání na uzavření nebo Čekání na dobu., velmi užitečné pro diagnostiku naslouchacích služeb nebo trvalých připojení.
Další praktická výhoda: TCPView umožňuje pracovat s připojeními, aniž byste museli opustit nástroj. Pokud je TCP připojení ve stavu ESTABLISHED (NAVEZENO), Můžete jej zavřít ze Soubor → Zavřít připojení nebo kliknutím pravým tlačítkem myši → Zavřít připojeníPoužívejte to opatrně, protože tím ukončíte komunikaci proprietární aplikace.
Pokud si chcete uchovat snímek zobrazeného okna, použijte Soubor → Uložit k uložení okna do souboru. Je to užitečné pro audity, zprávy nebo srovnání před/po aplikaci změn..
Rozhraní a čtení stavů
Rozhraní je uspořádáno do tříditelných sloupců, což usnadňuje seskupování podle procesu nebo portu kliknutím na záhlaví. Řazení podle stavu vám například umožňuje oddělit Poslouchá od Zavedeného a zaměřit se na to, co je relevantní.Můžete také seřadit podle sloupce Vzdálené a seskupit tak připojení ke stejnému cíli.
Barevné stavy vás informují o tom, kdy je horko: zelená (nové), žlutá (změna) a červená (uzavřeno). Tento barevný kód promění seznam v jakousi vizuální časovou osu. bez nutnosti analýzy historických záznamů, což je obzvláště užitečné v krátkých intervalech aktivity.
Když se v sekci Listening (Naslouchání) zobrazí služba, víte, že na klienty čeká otevřený port. S Established potvrzujete, že třícestné navázání spojení bylo dokončeno a je probíhá aktivní provoz.CloseWait a TimeWait odrážejí fáze zavírání a načasování, které vám pomohou pochopit, zda aplikace správně zavírá své sockety.
Kromě názvu procesu TCPView obvykle zobrazuje i název přidružené služby, pokud je to relevantní. Tento detail je klíčový při kontrole systémových služeb nebo komponent, které běží jako služba. a ne jako interaktivní aplikaci.
Rychlé akce: zavřít, uložit, prozkoumat
Ukončení připojení z TCPView je okamžité, ale je dobré vědět, kdy to udělat. Je ideální pro ukončení podezřelé relace nebo odblokování zaseknutého portu. bez restartu služby, vždy s vyhodnocením dopadu na klientskou aplikaci.
Uložení výstupu do souboru vytvoří referenční bod pro audit a benchmarking. Před použitím opravy nebo změnou pravidel firewallu můžete pořídit snímek obrazovky. a poté snímání zopakujte, abyste demonstrovali efekt.
Okno Vlastnosti procesu poskytuje kontext: cestu ke spustitelnému souboru, spouštěcí argumenty atd. Pokud tyto informace porovnáte s PID a podpisem souboru, můžete rychle oddělit důvěryhodný software od potenciálně škodlivých binárních souborů..
Pokud máte jakékoli obavy ohledně překladu DNS, přepnutí na režim bez překladu adres urychlí aktualizaci a zabrání latenci. Možnost bez rozlišení funguje také s automatickým exportem a korelacemi. při práci s externími nástroji.
Tcpvcon: Verze pro příkazový řádek
Pro automatizaci nebo práci s vzdálenou konzolí nabízí Tcpvcon stejné zobrazení v textovém formátu. Jeho syntaxe je velmi podobná Netstatu, s jasnými možnostmi pro výpis všech parametrů, vyhnutí se rozlišení a exportu..
Můžete to přivolat takto: tcpvcon . Pokud přidáte název procesu nebo PID, filtrujete výstup podle toho, co vás skutečně zajímá. v té době.
| Parametr | popis |
|---|---|
| -a | Zobrazuje všechny koncové body; ve výchozím nastavení pouze TCP připojení ve stavu ESTABLISHED. |
| -c | Tisk výstupu ve formátu CSV, ideální pro tabulky nebo SIEM ingestování. |
| -n | Nepřekládá adresy; zobrazuje číselné IP adresy a porty bez překladu DNS. |
kombinováním -c Pomocí procesního filtru generujete chirurgické zprávy, které můžete v průběhu času verzovat nebo porovnávat. A pokud vypnete rozlišení pomocí -n, urychlíte provádění a vyhnete se závislostem na DNS, velmi užitečné v omezených sítích.
Podobnost s Netstatem minimalizuje nutnost učení, pokud jej již používáte. Rozdíl spočívá v bohatším výstupu a snadném procesu asociace↔propojení, což snižuje počet kroků při diagnostice.
Kompatibilita, stažení a spuštění bez instalace
TCPView funguje na klientech počínaje Windows 8.1 a na serverech počínaje Windows Server 2012. To pokrývá velmi široké spektrum současných prostředí bez nutnosti dalších závislostí..
Doporučený způsob, jak jej získat, je stáhnout si ZIP soubor z Oficiální webové stránky Sysinternals/Microsoftu. Stažený soubor má velikost přibližně 1,5 MB, rozbalí se a spustí se bez instalace.Uvnitř najdete soubory Tcpview.exe (grafické rozhraní) a Tcpvcon.exe (konzole).
Pokud si nemůžete nic stáhnout nebo nainstalovat, máte možnost Sysinternals Live. „Spustit nyní“ načte TCPView přímo ze serverů společnosti Microsoft, ideální pro rychlé audity nebo prostředí s přísnými pravidly.
Jelikož se jedná o technický nástroj, rozhraní je v angličtině, ačkoli je velmi intuitivní a přímočaré. Spotřeba zdrojů je vzhledem k tomu, co nabízí, minimální., takže ho můžete nechat otevřený, zatímco pracujete na jiných úkolech.
TCPView a jeho doprovodný program TCPVCON si vydobyly místo v sadě nástrojů administrátorů a analytiků: Umožňují vám okamžitě vidět neviditelné, jednat s úsudkem a zanechat záznamDíky přehlednému rozhraní, automatické aktualizaci, informativním barvám, selektivnímu uzavírání připojení a snadnému exportu pokrývají vše od diagnostiky „co se připojuje?“ až po pokročilé bezpečnostní a automatizační aplikace.
