Miesięcznik informatyków i menedżerów IT sektora publicznego

2010-10-01, Artur Pęczak

WINDOWS | Kiedy Internet działa wolniej

PROBLEM | Zauważyłem, że Internet działa zdecydowanie wolniej niż kiedyś, a ikona połączenia sieciowego jest ciągle aktywna („świeci”). Czy komputer mógł zostać zainfekowany robakiem?

Rozwiązanie:

To bardzo prawdopodobne. Robaki internetowe rozpowszechniają się, wykorzystując błędy w oprogramowaniu oraz sieć komputerową. Analiza połączeń sieciowych pozwala dość szybko zorientować się, czy jakiś nieuprawniony program nie łączy się z innymi komputerami w Internecie. Być może w ten sam sposób uda się wykryć różnego rodzaju backdoory, konie trojańskie i oprogramowanie szpiegujące.

Do analizy połączeń sieciowych i otwartych portów możemy wykorzystać systemowy netstat lub program TCPView. Ten ostatni dostarcza podobnego zestawu informacji co netstat, robi to jednak zdecydowanie szybciej, a lista wyników jest bardziej czytelna. Dostępna jest również wersja Tcpvcon, działająca z wiersza poleceń.

TCPView wyświetla listę aktywnych połączeń TCP/UDP z informacją o adresie IP lokalnego i zdalnego komputera oraz stanem połączenia TCP. Aplikacja rozwiązuje adresy IP na ich nazwy domenowe (opcja Resolve Addresses). Domyślnie lista połączeń odświeżana jest co 5 sekund. Aby to zmienić, przechodzimy do menu View | Update Speed. TCPView pokazuje także, jaki proces nawiązał dane połączenie.

Aby wykryć robaka, zamykamy wszystkie aplikacje, a następnie śledzimy połączenia, analizując wartości w kolumnach Stan połączenia (State) oraz liczbę wysłanych i odebranych pakietów (Sent Packets, Rcvd Packets). Jeśli jakiś pakiet odbiera lub wysyła dane, zapisujemy jego nazwę, po czym próbujemy za pomocą wyszukiwarki internetowej znaleźć dodatkowe informacje na jego temat.

 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej  

Admin wITek

Admin wITek - Wrzesień 2012

Galeria wITka