Esistono vari modi e vari tool per verificare quali siano i programmi che attivano una connessione verso l'esterno, uno di questi è fornito insieme al sistema operativo: netstat.
Eseguire il prompt dei comandi come amministratore e digitare il comando netstat -bona per avere l'elenco dei processi che hanno attivato una connessione remota (o sono in ascolto) e relativo indirizzo esterno a cui sono connessi.
FIG 1 - Netstat -bona |
-a | Visualizza tutte le connessioni e le porte di ascolto |
-b | Visualizza il file eseguibile utilizzato per la creazione di ogni connessione o porta di ascolto. Alcuni file eseguibili conosciuti includono più componenti indipendenti. In tali casi viene visualizzata la sequenza dei componenti utilizzati per la creazione della connessione o porta di ascolto e il nome del file eseguibile viene visualizzato in fondo, tra parentesi quadre ([]). Nella parte superiore è indicato il componente chiamato e così via, fino al raggiungimento di TCP/IP. Se si utilizza questa opzione, l'esecuzione del comando può richiedere molto tempo e riuscirà solo se si dispone di autorizzazioni sufficienti. |
-e | Visualizza le statistiche Ethernet. Può essere utilizzata insieme all'opzione -s. |
-f | Visualizza i nomi di dominio completi (FQDN, Fully Qualified Domain Name) per gli indirizzi esterni. |
-n | Visualizza indirizzi e numeri di porta in forma numerica. |
-o | Visualizza l'ID del processo proprietario associato a ogni connessione. |
-p proto | Visualizza le connessioni relative al protocollo specificato da "proto", che può essere TCP, UDP, TCPv6 o UDPv6. Se utilizzato insieme all'opzione -s per le statistiche per protocollo, "proto" può essere: IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP o UDPv6. |
-r | Visualizza la tabella di routing. |
-s | Visualizza le statistiche per protocollo. Per impostazione predefinita, vengono visualizzate le statistiche per IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP e UDPv6. Per specificare un sottoinsieme dei valori predefiniti, è possibile utilizzare l'opzione -p. |
-t | Visualizza lo stato di offload della connessione corrente. |
-x | Visualizza le connessioni, i listener e gli endpoint condivisi. |
-y | Visualizza il modello di connessione TCP per tutte le connessioni. Non può essere utilizzata in combinazione con le altre opzioni. |
interval | Ripete la visualizzazione delle statistiche selezionate, con una pausa di un numero di secondi pari a "interval" dopo ogni visualizzazione. Per interrompere la ripetizione della visualizzazione delle statistiche, premere CTRL+C. Se questa opzione viene omessa, le informazioni di configurazione correnti verranno visualizzate una volta sola. |
Le stesse informazioni visualizzate tramite netstat possono essere ottenute in un formato grafico più amichevole tramite l'utilizzo di tool di terze parti come CurrPorts di NirSoft (www.nirsoft.net).
FIG 2 - CurrPorts di NirSoft |