Visualizzazione post con etichetta CurrPorts. Mostra tutti i post
Visualizzazione post con etichetta CurrPorts. Mostra tutti i post

giovedì 23 luglio 2015

Windows Quick Tip: Verificare le connessioni di rete in corso tramite prompt dei comandi

Diversi programmi installati sui PC, oltre ai browser, stabiliscono o accettano connessioni remote. I motivi possono essere più o meno leciti come ad esempio per verificare la presenza di aggiornamenti, per salvare le impostazioni su un server remoto, per raccogliere informazioni sulle preferenze dell'utente in modo da migliorare le versioni future del prodotto o, nel caso di spyware, per inviare informazioni rubate relative all'utente.
Esistono vari modi e vari tool per verificare quali siano i programmi che attivano una connessione verso l'esterno, uno di questi è fornito insieme al sistema operativo: netstat.

Eseguire il prompt dei comandi come amministratore e digitare il comando netstat -bona per avere l'elenco dei processi che hanno attivato una connessione remota (o sono in ascolto) e relativo indirizzo esterno a cui sono connessi.
Netstat -bona
FIG 1 - Netstat -bona
Eseguendo il comando netstat /? vengono visualizzati tutti i parametri utilizzabili:
-a             Visualizza tutte le connessioni e le porte di ascolto
-b Visualizza il file eseguibile utilizzato per la creazione di ogni connessione o porta di ascolto. Alcuni file eseguibili conosciuti includono più componenti indipendenti. In tali casi viene visualizzata la sequenza dei componenti utilizzati per la creazione della connessione o porta di ascolto e il nome del file eseguibile viene visualizzato in fondo, tra parentesi quadre ([]). Nella parte superiore è indicato il componente chiamato e così via, fino al raggiungimento di TCP/IP. Se si utilizza questa opzione, l'esecuzione del comando può richiedere molto tempo e riuscirà solo se si dispone di autorizzazioni sufficienti.
-e Visualizza le statistiche Ethernet. Può essere utilizzata insieme all'opzione -s.
-fVisualizza i nomi di dominio completi (FQDN, Fully Qualified Domain Name) per gli indirizzi esterni.
-nVisualizza indirizzi e numeri di porta in forma numerica.
-oVisualizza l'ID del processo proprietario associato a ogni connessione.
-p protoVisualizza le connessioni relative al protocollo specificato da "proto", che può essere TCP, UDP, TCPv6 o UDPv6. Se utilizzato insieme all'opzione -s per le statistiche per protocollo, "proto" può essere: IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP o UDPv6.
-r Visualizza la tabella di routing.
-s Visualizza le statistiche per protocollo. Per impostazione predefinita, vengono visualizzate le statistiche per IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP e UDPv6. Per specificare un sottoinsieme dei valori predefiniti, è possibile utilizzare l'opzione -p.
-t Visualizza lo stato di offload della connessione corrente.
-x Visualizza le connessioni, i listener e gli endpoint condivisi.
-y Visualizza il modello di connessione TCP per tutte le connessioni. Non può essere utilizzata in combinazione con le altre opzioni.
interval Ripete la visualizzazione delle statistiche selezionate, con una pausa di un numero di secondi pari a "interval" dopo ogni visualizzazione. Per interrompere la ripetizione della visualizzazione delle statistiche, premere CTRL+C. Se questa opzione viene omessa, le informazioni di configurazione correnti verranno visualizzate una volta sola.


Le stesse informazioni visualizzate tramite netstat possono essere ottenute in un formato grafico più amichevole tramite l'utilizzo di tool di terze parti come CurrPorts di NirSoft (www.nirsoft.net).
CurrPorts di NirSoft
FIG 2 - CurrPorts di NirSoft
Analizzando i processi e gli indirizzi esterni a cui si collegano possiamo individuare eventuali applicazioni sospette e procedere alla loro eliminazione o a bloccarle tramite il firewall.