Aktivita počítačové sítě. Hlavní známky přítomnosti malwaru ve vašem počítači. Zdrojový kód Netstatp

Podívejme se na vaši otázku inteligentněji. Za prvé, nejste počítač nebo nějaký kyborg a nemůžete být osobně připojeni k internetu. Osobně můžete pro přístup k internetu použít jakékoli dostupné zařízení, ať už je to počítač/notebook nebo chytrý telefon/tablet. V dnešní době jsou i televize připojeny k internetu, a to vůbec neznamená, že lidé, kteří je sledují, jsou „online“.

Za účelem přenosu informací na internet, ve kterém se nacházíte momentálně dostupné, budete muset nainstalovat nebo používat některé programy nebo služby, které zobrazují vaši aktivitu v reálném čase, ale všechny tyto služby můžete ovládat sami a neposkytovat jejich prostřednictvím informace, které nechcete sdílet s lidmi.

Například. Dříve lidé všude používali ICQ k určení svého online stavu. Všimněte si, že si sami nainstalovali klienta programu, protože potřebovali tyto informace sdílet s lidmi. Nepřítomnost nebo deaktivace ICQ klienta tedy vedla k nemožnosti komunikace s danou osobou. V dnešní době už byly vyrobeny desítky v podobě ICQ různé služby, které jsou dostupné na nejoblíbenějších webech a službách. Vypadá to jako chat a nyní jej ani nemusíte instalovat samostatně do počítače - vše bude fungovat prostřednictvím prohlížeče, ať jej spustíte kdekoli.

Rozdíl mezi takovým messengerem a IP je v tom, že pro použití messengerů musíte použít přihlašovací jméno a heslo, které podle pravidel musíte znát pouze vy a nikdo jiný. Tím se ověří vaše online identita. Pokud je detekován vstup konkrétní IP adresu, pak to potvrzuje připojení určitého zařízení, které může používat kdokoli, a nepotvrzuje vaši identitu. Kromě toho je nyní většina IP adres obvykle poskytovateli přidělována v náhodném pořadí a co se stalo v konkrétním okamžiku, můžete určit pouze prostudováním protokolů na serverech vašeho poskytovatele.

Co tedy znamená pojem „Jsem online“? Mám smartphone, který je neustále připojen k internetu. Je vždy se mnou a díky němu mohu přijímat zprávy od lidí na internetu, i když jej sám nepoužívám. S tímto chytrým telefonem s sebou mohu řídit auto, sedět v kavárně, v knihovně nebo v kině. Tak mi řekněte, jsem v tuto chvíli online? Odpověď je jednoduchá – smartphone je online a já dělám jiné věci, ale mám možnost komunikovat s lidmi přes internet, i když zrovna nesedím a nedívám se na obrazovku. Ano, nicméně jsem také neustále k dispozici pro telefonní hovor, pokud si někdo chce povídat, ale své telefonní číslo neřeknu těm, se kterými mluvit nechci. A na internetu mám možnost nesdělovat ostatním své kontaktní údaje, a přitom zůstat přístupný přátelům.

Použijte to, co máte, moudře a nechovejte se, jako byste byli paranoidní a báli se všeho kolem vás. Vždy máte možnost nedat o sobě informace, které sdělit nechcete. Chcete-li to provést, nemusíte to jednoduše tisknout nebo říkat kdekoli a komukoli.

Malware se může projevit nejen v podobě podezřelých procesů nebo spouštěcích souborů, ale také v podobě síťové aktivity. Červi využívají síť k šíření, trojské koně využívají síť ke stahování přídavné komponenty a odesílání informací útočníkovi.

Některé typy trojských koní jsou speciálně navrženy tak, aby poskytovaly dálkové ovládání infikovaný počítač. Aby útočníkovi umožnili přístup k počítači přes síť, otevřou konkrétní port.

co je to port? Jak víte, každý počítač má IP adresu, na kterou lze do tohoto počítače přenášet data. Ale pokud má počítač několik programů, které spolupracují se sítí, jako je poštovní server a webový server, jak můžete určit, která data jsou určena pro který program? K tomu slouží porty. Každý program čekající na data ze sítě je přiřazen určitý počet- číslo portu a data odesílaná do počítače obsahují kromě adresy počítače i číslo portu, aby bylo jasné, který program má tato data přijímat.

Programy s podobným účelem zpravidla používají pro příjem připojení stejné porty. Poštovní server používá port 25 pro příjem odchozí pošty poštovní klienti. Webový server používá port 80 k přijímání připojení z prohlížečů. Pro použití portů však neexistují žádná zásadní omezení, kromě toho, že dva programy nemohou používat stejný port.

Rovněž poštovní server malware používá konkrétní port k přijímání příkazů nebo dat od útočníka a neustále čeká na signály na tomto portu. V takových případech je zvykem říkat, že program poslouchá na portu.

Pomocí příkazu netstat -n můžete určit, které porty na vašem počítači naslouchají. Chcete-li to provést, musíte nejprve spustit příkazový shell. V Pouzdro na Windows Na NT, 2000, XP a 2003 se spouští pomocí cmd.exe a na Windows 98 a Me pomocí command.com. Chcete-li spustit, použijte příkazy Spustit v nabídce Start.

Po provedení v příkazový shell Příkaz netstat -a ve stejném okně zobrazí data o navázaných spojeních a otevřených portech (těch, které naslouchají). Vypadá to jako na obrázku 4.7.

Rýže. 4.7.

Výsledkem příkazu je seznam aktivních připojení, který obsahuje navázaná spojení A otevřené porty. Otevřené porty TCP 2) jsou označeny řádkem LISTENING ve sloupci stavu. Některé porty jsou připojeny k systému služby Windows a zobrazuje se nikoli podle čísla, ale podle názvu - epmap, microsoft-ds, netbios-ssn. Porty nesouvisející s standardní služby, jsou zobrazeny čísly.

Porty UDP jsou označeny řetězcem UDP ve sloupci Název. Nemohou být uvnitř různé státy, takže se pro ně nepoužívá speciální značka LISTENING. Stejně jako TCP porty mohou být zobrazeny podle názvu nebo čísla.

Porty používané malwarem jsou nejčastěji nestandardní, a proto se zobrazují podle jejich čísel. Mohou však existovat trojské koně, které k maskování používají standardní porty pro jiné aplikace, například 80, 21, 443 – porty používané na souborových a webových serverech.

Snadno zjistitelné systému neznámé(a uživatel) existuje málo portů. Musíte také zjistit, které programy tyto porty používají. Příkaz netstat vám to neumožňuje, takže budete muset použít nástroje třetích stran, například nástroj tcpview.exe 3) . Tento nástroj zobrazí více úplné informace o připojeních, včetně informací o procesech naslouchajících na portech. Charakteristický vzhled Okno nástroje je znázorněno na obrázku 4.8.

Rýže. 4.8.

Jak můžete snadno vidět, nástroj TCPView zobrazuje stejná data jako příkaz netstat-a, ale doplňuje je o procesní informace.

Co dělat s výsledky vyhledávání

Na základě výsledků analýzy procesů, spouštěcích parametrů a připojení byl tedy získán seznam procesů (názvů souborů), které jsou z pohledu uživatele podezřelé. Pro nezkušený uživatel Může existovat příliš mnoho neznámých, a tedy podezřelých názvů souborů, takže má smysl zdůraznit ty nejpodezřelejší z nich – ty, které byly nalezeny ve dvou nebo více zdrojích. Například soubory, které jsou přítomny v seznamu procesů a ve spouštěcím seznamu. Ještě podezřelejší jsou procesy detekované při startu a naslouchání na portech.

Nejjednodušší způsob, jak zjistit povahu podezřelých procesů, je použít internet. V globální síť Existují webové stránky, které shromažďují informace o různých procesech. Údaje o všech procesech malware Na takových stránkách nemusí být žádné, ale v každém případě mají informace o velkém množství zdravotně nezávadných procesů, a proto bude možné ze seznamu vyloučit ty procesy, které se týkají operačního systému nebo známých nemalwarových programů. . Jedním z takových stránek je http://www.processlibrary.com

Poté, co byl seznam podezřelých procesů co nejvíce zúžen a pouze ty, o kterých neexistuje vyčerpávající a spolehlivé informace, zůstává poslední krok, najděte tyto soubory na disku a odešlete je k prozkoumání jednomu z antivirové společnosti pro analýzu.

Dostupné na http://www.sysinternals.com Pro výměnu dat mezi počítači lze použít různé protokoly, tj. pravidla pro přenos informací. Koncept portů je spojen s použitím protokolů TCP a UDP. Aniž bychom zacházeli do podrobností, stojí za zmínku, že se ve většině případů používá TCP protokol, ale UDP je také vyžadován pro řadu služeb a je podporován všemi moderními operačními systémy. Dostupné na http://www.sysinternals.com

Předchozí článek sestavil seznam 80 monitorovacích nástrojů Linuxové systémy. Smysluplné bylo také provést výběr nástrojů pro systém Windows. Následuje seznam, který je pouze výchozím bodem a není hodnocen.

1. Správce úloh

Známý Správce úloh systému Windows je nástroj pro zobrazení seznamu běžících procesů a zdrojů, které spotřebovávají. Víte ale, jak využít jeho plný potenciál? Zpravidla slouží ke sledování stavu procesoru a paměti, ale můžete jít mnohem dál. Tato aplikace je předem vytvořena pro každého operační systémyÓ Microsoft.

2. Monitor zdrojů

Skvělý nástroj pro odhad využití CPU, BERAN, sítě a disky ve Windows. Umožňuje vám rychle získat vše potřebné informace o stavu kritických serverů.

3. Monitor výkonu

Hlavní nástroj pro správu čítačů výkonu ve Windows. Sledování výkonu, dříve Verze Windows nám známý jako Monitor systému. Nástroj má několik režimů zobrazení, zobrazuje čítače výkonu v reálném čase a ukládá data do souborů protokolu pro pozdější studium.

4. Monitor spolehlivosti

Reliability Monitor - Monitor stability systému, umožňuje sledovat jakékoli změny ve výkonu počítače, Monitor stability najdete ve Windows 7, ve Windows 8: Ovládací panel > Systém a Zabezpečení > Centrum akcí. Pomocí Reliability Monitor můžete sledovat změny a poruchy na vašem počítači, data se zobrazí pohodlně grafické podobě, což vám umožní sledovat, která aplikace a kdy způsobila chybu nebo zamrzla, sledovat výskyt modrá obrazovka smrt systému Windows, důvod jeho vzhledu (jiný aktualizace systému Windows nebo instalace programu).

5.Microsoft SysInternals

SysInternals je kompletní sada programů pro správu a monitorování počítačů s operačním systémem Windows. Můžete si je zdarma stáhnout na webu společnosti Microsoft. Servisní programy Sysinternals pomáhá spravovat, odstraňovat problémy a diagnostikovat aplikace a operační systémy Systémy Windows.

6. SCOM (součást Microsoft System Center)

System Center je kompletní sada nástrojů pro správu IT infrastruktury, pomocí které můžete spravovat, nasazovat, monitorovat a konfigurovat software software společnosti Microsoft(Windows, IIS, SQLServer, Exchange atd.). Bohužel MSC není zdarma. SCOM se používá pro proaktivní monitorování klíčových objektů IT infrastruktury.

Monitorování serverů Windows pomocí rodiny Nagios

7. Nagios

Nagios je již několik let nejoblíbenějším nástrojem pro monitorování infrastruktury (pro Linux a Windows). Pokud uvažujete o Nagios pro Windows, nainstalujte a nakonfigurujte agenta Windows server. NSClient++ monitoruje systém v reálném čase a poskytuje výstupy vzdálený server monitorování a další.

8. Kaktusy

Obvykle se používá s Nagios, poskytuje uživateli pohodlné webové rozhraní na utilitu RRDTool, určenou pro práci s Round Robin Databases, které slouží k ukládání informací o změnách jedné nebo více veličin za určité časové období. Statistiky na síťových zařízeních jsou prezentovány ve formě stromu, jehož strukturu určuje uživatel, můžete vykreslit využití kanálů, využití diskových oddílů HDD, zobrazit latenci zdrojů atd.

9. Shinken

Flexibilní, škálovatelný monitorovací systém s otevřeným zdrojový kód, založené na jádru Nagios napsaném v Pythonu. Je 5krát rychlejší než Nagios. Shinken je kompatibilní s Nagios, můžete používat jeho pluginy a konfigurace bez úprav nebo dodatečné konfigurace.

10. Poleva

Další populární otevřený systém monitoring, který kontroluje hostitele a služby a hlásí jejich stav administrátorovi. Jako fork Nagios je s ním Icinga kompatibilní a mají mnoho společného.

11. OpsView

OpsView byl původně zdarma. Nyní bohužel musí uživatelé tohoto monitorovacího systému vyhazovat peníze.

Op5 je další open source monitorovací systém. Vykreslování, ukládání a sběr dat.

Alternativy k Nagios

Otevřený software pro sledování a sledování stavu různých služeb počítačová síť, servery a síťová zařízení, slouží k získávání údajů o zatížení CPU, využití sítě, místo na disku a podobně.

14. Munin

Dobrý monitorovací systém, který sbírá data z více serverů současně a vše zobrazuje ve formě grafů, pomocí kterých můžete sledovat všechny minulé události na serveru.

15.Zenoss

Napsáno na jazyk Python pomocí aplikačního serveru Zope jsou data uložena v MySQL. Se Zenossem můžete
monitor síťové služby, systémové prostředky,výkon zařízení,jádro Zenoss analyzuje prostředí. To umožňuje rychlé řešení velký počet konkrétní zařízení.

16. Observium

Monitorovací a sledovací systém síťová zařízení a servery, ačkoli seznam podporovaných zařízení je obrovský a není omezen pouze na síťová zařízení, zařízení musí podporovat SNMP.

17. Centreon

Komplexní monitorovací systém umožňuje řídit celou infrastrukturu a aplikace obsahující systémové informace. Volná alternativa Nagios.

18. Ganglia

Ganglia - škálovatelné distribuovaný systém monitorování, používané ve vysoce výkonných počítačových systémech, jako jsou clustery a gridy. Sleduje statistiky a historii výpočtů v reálném čase pro každý ze sledovaných uzlů.

19. FMS Pandora

Monitorovací systém, dobrá produktivita a škálovatelnost, jeden monitorovací server může monitorovat práci několika tisíc hostitelů.

20. NetXMS

Software pro monitorování otevřeného zdroje počítačové systémy a sítí.

21.OpenNMS

Monitorovací platforma OpenNMS. Na rozdíl od Nagios podporuje SNMP, WMI a JMX.

22. HypericHQ

Součást sady VMware vRealize Operations, která se používá k monitorování OS, middlewaru a aplikací ve fyzických, virtuálních a cloudová prostředí. Zobrazuje dostupnost, výkon, využití, události, protokoly a změny na každé úrovni virtualizačního zásobníku (od hypervizoru vSphere po hostující OS).

23. Bosun

Open source monitorovací a výstražný systém od StackExchange. Bosun má dobře promyšlený design dat a také výkonný jazyk pro jejich zpracování.

24. Sensu

Sensu je open source výstražný systém podobný systému Nagios. K dispozici je jednoduchý dashboard, můžete vidět seznam klientů, kontrol a spuštěných výstrah. Rámec poskytuje mechanismy potřebné ke shromažďování a shromažďování statistik provozu serveru. Na každém serveru běží agent Sensu (klient), který pomocí sady skriptů kontroluje funkčnost služeb, jejich stav a sbírá další informace.

25. SbírejteM

CollectM shromažďuje statistiky o využití systémových prostředků každých 10 sekund. Může sbírat statistiky pro několik hostitelů a odesílat je na server, informace jsou zobrazeny pomocí grafů.

28. Nástroj pro analýzu výkonu protokolů (PAL).

34. Celková síť Monitor

Jedná se o program pro nepřetržité sledování práce místní síť jednotlivé počítače, síť a systémové služby. Total Network Monitor vygeneruje zprávu a upozorní vás na chyby, ke kterým došlo. Můžete zkontrolovat jakýkoli aspekt služby, serveru nebo souborový systém: FTP, POP/SMTP, HTTP, IMAP, Registr, Protokol událostí, Stav služby a další.

35. PRTG

38.Idera

Podporuje více operačních systémů a virtualizačních technologií. Existuje mnoho bezplatných nástrojů, které můžete použít k monitorování systému.

39. PowerAdmin

PowerAdmin je komerční řešení pro sledování.

40. ELM Enterprise Manager

ELM Enterprise Manager – kompletní monitorování od „co se stalo“ po „co se děje“ v reálném čase. Monitorovací nástroje v ELM zahrnují - Event Collector, Performance Monitor, Service Monitor, Monitor procesu, File Monitor, PING Monitor.

41.Vstup do událostí

42. Veeam ONE

Výkonné řešení pro monitorování, vytváření sestav a plánování zdrojů napříč infrastrukturou VMware, Hyper-V a Veeam Backup & Replication monitoruje stav vaší IT infrastruktury a diagnostikuje problémy dříve, než ovlivní vaši uživatelskou zkušenost.

43. CA Unified Infrastructure Management (dříve CA Nimsoft Monitor, Unicenter)

Monitoruje výkon a dostupnost Prostředky Windows server.

44. HP Operations Manager

Tento software pro monitorování infrastruktury provádí proaktivní analýzu hlavních příčin, zkracuje dobu obnovy a snižuje náklady na správu operací. Řešení je ideální pro automatizované monitorování.

45.Dell OpenManage

OpenManage (nyní Dell Enterprise Správa systémů) „produkt vše v jednom“ pro monitorování.

46. ​​Halcyon Windows Server Manažer

Správa a monitorování sítí, aplikací a infrastruktury.

Níže je uveden seznam (nejpopulárnějších) nástrojů pro monitorování sítě

55.NeDi

Nedi je open source nástroj pro monitorování sítě.

54. Vole

Monitorovací systém Dude, i když je zdarma, není podle odborníků v žádném případě horší než komerční produkty, monitoruje jednotlivé servery, sítě a síťové služby.

55. Šířka pásmaD

Open source program.

56. NagVis

Rozšíření pro Nagios, které umožňuje vytvářet mapy infrastruktury a zobrazovat jejich stav. NagVis podporuje velký počet různé widgety, sady ikon.

57. Proc Net Monitor

Bezplatná monitorovací aplikace, umožňuje sledovat vše aktivní procesy a v případě potřeby je rychle zastavit, aby se snížilo zatížení procesoru.

58. PingPlotter

Používá se k diagnostice IP sítí, což vám umožňuje určit, kde dochází ke ztrátám a zpožděním síťové pakety.

Malé, ale užitečné nástroje

60. Monitor aktivity počítače Glint

61.RealTemp

Nástroj pro sledování teploty procesory Intel, nevyžaduje instalaci, hlídá proud, minimální a maximální hodnoty teploty pro každé jádro a začátek škrcení.

62. SpeedFan

Utilita, která vám umožňuje řídit teplotu a otáčky ventilátoru v systému, monitoruje údaje ze senzorů základní deska, grafické karty a pevné disky.

63. OtevřeteHardwareMonitor