Освен това, инструментът се предлага с версия за команден ред (Tcpvcon) и съвместно работи чудесно с netstat, ветеранът, интегриран в Windows и други... инструменти за системно наблюдениеЧрез комбинирането им можете да преминете от преглед на живо към автоматизация за секунди и, ако е необходимо, да завършите разследването със заснемане или сканиране на пакети.
Какво е TCPView и защо е толкова полезен?
TCPView е безплатна помощна програма от Microsoft Sysinternals. за Windows, който показва в реално време всички TCP и UDP точки на свързване в системата, с техните локални и отдалечени адреси, портове и състояние (напр. ESTABLISHED, TIME_WAIT). Графичният му интерфейс улеснява бързото идентифициране на кой процес притежава всеки сокет и, където е приложимо, името на свързаната услуга.
За разлика от обикновен дъмп на конзолата, Изгледът се актуализира автоматично всяка секунда по подразбиране И можете да промените тази честота от менюто с опции, ако имате нужда от повече яснота или детайлност. Включва и цветова система за подчертаване на промените между актуализациите: нови връзки в зелено, модификации в жълто и затваряния в червено, което ускорява четенето, когато нещата са натоварени.
Важен плюс е, че TCPView включва директни действия върху това, което гледатеМожете да затворите TCP връзките, когато са установени, от менюто или с десен бутон на мишката. Това е бърз начин да прекъснете нежеланите комуникации, докато завършвате валидирането на политиките за сигурност.
Изтегляне, изпълнение и съвместимост
Официалното изтегляне на TCPView е достъпно в Microsoft Sysinternals. Инструментът е преносим, така че не изисква инсталация. Пакетът включва и Tcpvcon, версия от командния ред с еквивалентна функционалност. Двоичният файл в момента е с размер около 1,5 MB и въпреки че беше много по-малък в по-старите версии, концепцията остава тази на минимална, готова за работа помощна програма.
Ако предпочитате да не изтегляте нищо, Можете да го стартирате директно през Sysinternals Live, идеален, когато бързате или работите на компютър, където не искате да оставяте следи от инсталатори. По отношение на съвместимостта, той обхваща съвременни сценарии: Windows 8.1 или по-нова версия на клиента и Windows Server 2012 или по-нова версия на сървъра.
Като исторически куриоз, Проектът се ръководи от Марк Русинович и документацията му е актуализирана наскоро. (напр. април 2023 г.), осигурявайки спокойствие по отношение на поддръжката и подкрепата от екипа на Sysinternals.
Интерфейс и работен процес: Как да четем информацията
Когато отворите помощната програма, Ще видите списък с всички активни TCP и UDP крайни точки.Можете да превключвате дали искате да преобразувате IP адреси в имена на домейни, като използвате бутон в лентата с инструменти или от менюто. Това е полезно, когато се нуждаете от четливост, а можете да се върнете към числови IP адреси, когато се интересувате от криминалистична точност или избягване на DNS латентности.
Главната таблица показва колони за процес, протокол, адреси и портове, както и състояние. Сортирането по процес или порт ви позволява бързо да откривате моделиНапример, ако даден двоичен файл отваря десетки изходящи връзки към порт 25 или 587, това обикновено мирише на спам.
Относно безалкохолната напитка, Честотата по подразбиране е 1 секунда, може да се регулира в ОпцииСистемата за цветно кодиране на сигнала ще ви помогне да откриете трепкаща активност: ако видите много зелени и червени мигания, може да се сблъскате с агресивни повторни връзки, сканирания или неправилно конфигурирани услуги, които не стабилизират сесиите си.
Полезни действия: затваряне на сокети и запазване на доказателства
Една от най-практичните функции е, че Можете да затворите TCP връзки в състояние ESTABLISHED директно от интерфейсаИзберете един или повече редове и използвайте менюто „Файл“ или щракнете с десния бутон на мишката. Това е временно изключване – приложението може да отвори отново сокета – но е ценно за спиране, докато коригирате правилата на защитната стена или спирате процес.
Освен това, Можете да запазите резултата във файл от менютоТози дъмп е безценен, когато трябва да документирате инцидент, да го съпоставите с регистрационни файлове на защитна стена, IDS или EDR и да споделите констатациите си с екипа си. Ако работите със SIEM, помислете за генериране на моментни снимки на различни интервали, за да видите развитието.
Разрешения и добри практики при изпълнение
За пълен преглед, Силно се препоръчва да се използва TCPView с повишени привилегии.С администраторски права ще виждате системните процеси и услуги, които иначе биха могли да бъдат пропуснати. Също така, не забравяйте да деактивирате преобразуването на имена, когато искате да избегнете забавяния на DNS или да предотвратите объркване в среди с вътрешно обратно преобразуване.
Оперативен съвет: Комбинирайте филтри, сортиране и паузи, когато е необходимо да изучите конкретен набор.Паузирането на обновяването за момент ще ви позволи спокойно да прегледате шаблон, да копирате информация или да сравните PID-овете с диспечера на задачите или вашия EDR.
Tcpvcon: конзолната версия за автоматизация
Tcpvcon се доставя с основния изпълним файл, помощна програма за команден ред със същата логика за наблюдаемостИдеален е за скриптове, дистанционно изпълнение, планирани задачи или когато навигирате в сървъри без графичен интерфейс.
Основна употреба от Tcpvcon:
tcpvcon Най-често срещаните параметри:
| Параметър | Función |
|---|---|
| -a | Показване на всички точки на свързване; ако не го използвате, ще виждате предимно установени TCP връзки. |
| -c | Отпечатайте резултата във формат CSV, идеален за отваряне в Excel или въвеждане в SIEM. |
| -n | Не разрешава адреси, отпечатва числови IP адреси и портове. |
Например, ако подозирате специфичен процес, Можете да изброите тяхната дейност, без да разрешавате имената им като изпълните нещо подобно:
tcpvcon -a -n 784С тази комбинация ще видите активните връзки, свързани с PID, който ви интересува, и можете да ги съпоставите с изпълними пътища, сигнатури или репутация на процеси във вашите инструменти.
Netstat: Кога все още има смисъл и как да го сравним
Netstat е класиката, която винаги е налична в Windows. Все още е полезен за проверка на TCP/UDP връзки, слушане на портове и състояния., особено ако се местите между сървъри без графичен потребителски интерфейс или имате нужда от нещо незабавно в конзолата.
Справочни команди:
netstat # lista conexiones y puertos con nombres
netstat -n # muestra IPs y puertos en formato numérico
netstat -a # todas las conexiones y puertos en escucha
netstat -b # muestra el ejecutable asociado (requiere admin)Параметърът -b е особено интересен, за да се види какъв двоичен код стои зад него, но изисква отваряне на конзолата с администраторски праваБез повишаване на правата, част от информацията за процеса може да не е налична. Ако имате нужда от наблюдение на живо с цветове, визуални филтри и директни действия, TCPView често може да ви спести време; ако имате нужда от конзолни скриптове, netstat или Tcpvcon са сигурни залози.
Реални сценарии за одит с TCPView
Типичен случай в малките и средни предприятия: операторът блокира порт 25 поради откриване на изходящ спам. Вместо да сканирате десетки компютри с антивирусен софтуер в продължение на часове, стартирате TCPView на всеки компютър (задача от една минута) и локализирате виновника за секунди, като преглеждате множество едновременни SMTP връзки.
На машина, компрометирана от троянски кон за масово изпращане на имейли, Ще видите постоянни връзки към портове 25 или 587 в много дестинацииВ сравнение с чиста машина, където подобна активност е видимо отсъстваща, контрастът ви помага бързо да изолирате засегнатото оборудване и да приоритизирате неговото почистване или повторно инсталиране.
Друг сценарий: а Лоша конфигурация за пренасочване на портове на защитната стена, която оставя сървъра твърде изложен на рискИзгледът може да показва мимолетни връзки от неизвестни отдалечени IP адреси с малки обеми данни. Това може да е обикновен интернет шум, сканирания или неуспешни опити, но е добра идея да го прегледате и да затворите ненужното излагане.
В домейните на Windows е често срещано да се вижда PID 4 (системна) активност, комуникираща с домейн контролериНе е по своята същност злонамерено: системата и услугите на ядрото самите установяват легитимни връзки. Ключът е да се съпоставят времената, портовете и протоколите с ролята на сървъра, като се провери дали всичко съответства на разположените роли.
Ако имате IDS или IPS, Известията ще ви дадат допълнителен контекстНапример, предупреждение, свързано с HNAP на рутери Linksys, асоциирано с кампании като TheMoon, показва сканиране на периметъра за уязвимости. Това не означава компрометиране на вашия хост с Windows, но предлага преглед на правилата за експозиция и затягане на правилата.
Добри практики по време на изследване
В случай на подозрителна дейност, Замразете доказателствата, като запазите изхода на TCPView и съберете регистрационни файлове на защитната стена, IDS или EDRС наличния материал ще можете да реконструирате случилото се и да обосновете коригиращи действия.
Прегледайте основен контролен списък: Проверете отворените услуги с netstat или Tcpvcon и ги сравнете с очакваното състояние, преглежда правилата за NAT и пренасочване на портове, затваря ненужни елементи и изследва подозрителни процеси и изпълними подписи, като проверява пътища и издатели.
Ако трябва да се държиш секси, Прекъснете връзките от TCPView, за да спрете изтичането на информация или спама докато настройвате фино защитната стена. Не забравяйте, че това може да е временна мярка и процесът ще настоява за повторно свързване, ако все още е активен и има разрешения.
Практически съвети с TCPView
Когато прецизността и скоростта са от първостепенно значение, деактивирайте преобразуването на имена, за да избегнете латентност на DNS и работят с чисти IP адреси. Във вътрешни DNS среди имената осигуряват контекст, но при криминалистичния анализ числовите адреси намаляват неяснотата.
Сортирането по колони е ваш приятел: Сортирането по порт ви помага да преглеждате групите услуги наведнъж, докато сортира по процеси, групира активност от един и същ двоичен файл, полезно за откриване на аномално поведение в приложения, които не трябва да отварят външни сокети.
Обърнете внимание на цветовия код във времето: Многото зелено и червено мигане може да показва повторно свързване или сканиранеАко съвпадне с пикове в защитната стена или системата за откриване на вторжения (IDS), ще имате ясна нишка, която да дърпате.
Кога да запазвате и как да споделяте резултати
При специфични одити и инциденти, Запазването на изходния прозорец от менюто е ключово да споделите констатацията с екипа или да я прикачите към отчет. Ако искате сравними серии, направете няколко снимки, разположени на разстояние от минути, за да видите тенденциите.
За количествен анализ, Помислете за използването на Tcpvcon с параметъра -c и планирайте периодични изпълнения, като ги извеждате в CSV. Този формат е идеален за Excel, PowerShell скриптове или интеграция с вашата SIEM система.
Допълнителни инструменти за пълен одит
TCPView и Tcpvcon покриват много добре „кой“ и „сега“ на ниво процес. За да разширите полето си на видимост, разчитайте на помощни програми за референтни мрежи и основен софтуер за сигурност за да ви помогне да потвърдите констатациите и да засилите контрола.
TCPDump и WinDump: Конзолни устройства за заснемане на трафик, които ви позволяват да изхвърляте пакети и вижте какво всъщност тече през мрежата. В Windows ви е необходим WinPcap или Npcap. Ако трябва да ги инсталирате, Winget улеснява управлението им.
Nmap: порт скенер и одит на услугиИзпраща предварително дефинирани пакети до IP диапазони, за да открива хостове, отворени портове и услуги и дори да профилира операционната система. Това е от съществено значение за валидиране на действителната повърхност на експозиция.
wireshark: анализатор на протоколи с графичен интерфейс което декапсулира и позволява подробна проверка на TCP/UDP разговорите. Полезно за диагностициране на фини комуникационни проблеми или изучаване на специфични протоколи.
Aircrack-ng: Пакет за безжични мрежи, фокусиран върху оценката на силата на WEP/WPA/WPA2 ключовете и анализирайте Wi-Fi трафика. Полезно е за преглед на корпоративните мрежови политики и политики за пароли.
KaliLinux: Дистрибуция, ориентирана към тестове за проникване, която обединява десетки инструменти, включително няколко от горепосочените. Може да се стартира на живо от USB устройство или да се инсталира, с графични интерфейси за много помощни програми.
Съвместимост, поддръжка и поддръжка
За да обобщим изискванията: Работи на Windows 8.1 или по-нова версия на клиента и Windows Server 2012 или по-нова версия на сървъра, покривайки по-голямата част от текущите внедрявания. Възможността за стартиране от Sysinternals Live го прави лесен за използване на управлявани компютри със строги правила.
Фактът, че Инструментът идва от екосистемата на Sysinternals и зад него стои Марк Русинович. Това осигурява увереност. Актуализациите на документацията осигуряват непрекъснатост и адаптация към промените в платформата.
Примери и полезни комбинации
За бърз триаж: Отворете TCPView, деактивирайте преобразуването на имена и сортирайте по порт. за откриване на шумни услуги. Ако видите масивна активност на портовете за изходяща поща, стеснете процеса и затворете сокетите, докато проучвате.
За автоматизиране на инвентаризацията: използвайте Tcpvcon -a -c в планировчик и го изхвърлете в CSV форматОбработете изхода с PowerShell, за да генерирате предупреждения, когато се появят портове или дестинации извън каталога.
За валидиране на експозицията: комбинира Nmap външно с вътрешния изглед TCPViewАко Nmap види отворен порт и TCPView не показва слушащ процес, проверете за NAT, правила на защитната стена или междинни устройства, които може да отговарят.
За задълбочен анализ: Съпоставете необичайни връзки със заснети данни в Wireshark или WinDumpНяколко минути пакети често изясняват всякакви съмнения относно странни протоколи и поведение.
TCPView блести с правилния баланс между незабавна видимост и незабавно действиеНеговият конзолен партньор, Tcpvcon, отваря вратата към скриптове и периодично регистриране, докато netstat все още е решение, когато имате нужда от нещо интегрирано и минималистично. Споделете този урок за това как да използвате TCPView в Windows.