Come faccio a sapere quale ID programma e processo accede a un determinato indirizzo IP in Windows?

19

È possibile individuare quale programma sta accedendo a un indirizzo IP specifico?

Ho scoperto che il mio computer è inondato e desidero controllare gli indirizzi uno per uno.

Potrebbe essere possibile impostare un audit per questo?

— Dims
fonte

31

Soluzione TCPView

TCPView da SystemInternals visualizzerà "elenchi dettagliati di tutti gli endpoint TCP e UDP sul sistema, inclusi gli indirizzi locali e remoti e lo stato delle connessioni TCP".

TCPView è un programma Windows che mostra elenchi dettagliati di tutti gli endpoint TCP e UDP sul sistema, inclusi gli indirizzi locali e remoti e lo stato delle connessioni TCP. Su Windows Server 2008, Vista e XP, TCPView riporta anche il nome del processo proprietario dell'endpoint. TCPView fornisce un sottoinsieme più informativo e convenientemente presentato del programma Netstat fornito con Windows. Il download di TCPView include Tcpvcon, una versione della riga di comando con la stessa funzionalità.

Assicurati di avere "Risolvi indirizzi" deselezionato per ottenere gli indirizzi IP anziché i nomi di dominio.

Puoi ordinare i risultati per "Indirizzo remoto" per trovare l'indirizzo IP che ti interessa.

Esempio:

Questa schermata mostra Firefox che si collega a stackoverflow.com.

Soluzione CurrPorts

CurrPorts di Nirsoft offre funzionalità molto simili.

CurrPorts è un software di monitoraggio della rete che visualizza l'elenco di tutte le porte TCP / IP e UDP attualmente aperte sul tuo computer locale. Per ogni porta nell'elenco, vengono visualizzate anche le informazioni sul processo che ha aperto la porta, incluso il nome del processo, il percorso completo del processo, le informazioni sulla versione del processo (nome del prodotto, descrizione del file e così via), il tempo in cui il processo è stato creato e l'utente che lo ha creato.

Esempio:

Questa schermata mostra Firefox che si collega a stackoverflow.com.

Cosa succede se desidero registrare i risultati?

TcpLogView anche da Nirsoft fornisce la registrazione delle connessioni TCP.

TcpLogView è una semplice utility che controlla le connessioni TCP aperte sul sistema e aggiunge una nuova riga di registro ogni volta che una connessione TCP viene aperta o chiusa. Per ogni riga del registro, vengono visualizzate le seguenti informazioni: Tempo pari, Tipo evento (Apri, Chiudi, Ascolta), Indirizzo locale, Indirizzo remoto, Nome host remoto, Porta locale, Porta remota, ID processo, Nome processo e le informazioni sul paese dell'IP remoto (richiede di scaricare l'IP nel file del paese separatamente).

inserisci qui la descrizione dell'immagine

disconoscimento

Non sono affiliato con SystemInternals (parte di Microsoft) o Nirsoft in alcun modo, sono solo un utente finale delle loro utilità (gratuite).

— DavidPostill
fonte

Temo che sia impossibile catturare alcuni pacchetti in questo modo, poiché sta scomparendo rapidamente. Ho bisogno di registrazione.

— Dimmer

Immagina di voler catturare a chi sta inviando i pacchetti 88.221.132.207. Come vederlo? Questa applicazione non ha nemmeno funzionalità di ricerca o filtro. Cioè non sarò nemmeno in grado di catturarlo a occhio se sta scomparendo rapidamente.

— Dimmer

1

Quindi probabilmente avrai bisogno di uno sniffer di pacchetti come Wireshark

— DavidPostill

1

Wiresharknon mostra l'ID del processo. Ho bisogno di sapere (1) processo (2) IP; entrambi

— Dimmer

6

@Dims Utilizza TCPLogView anche da Nirsoft. Risposta aggiornata

— DavidPostill

8

In Windows 7/8 * / 10 è possibile utilizzare Monitor risorse -> Scheda Rete.

Il modo più semplice per aprire il monitoraggio delle risorse è:

Apri Task Manager (barra delle applicazioni destra -> Avvia Task Manager)
Fai clic sulla scheda Prestazioni
Fai clic sul pulsante Monitoraggio risorse

Controllo risorse -> Rete

* = non confermato

— Salman A
fonte

2

È possibile ottenere ciò senza scaricare ulteriori strumenti da una shell dei comandi di amministrazione.

Esegui una shell dei comandi di amministrazione:

Premi il pulsante di avvio
Digita "cmd"
Premi Ctrl + Maiusc + Invio

Immettere il comando: netstat -tabn

Gli interruttori significano quanto segue:

-t Visualizza lo stato di offload della connessione corrente.
- vale a dire. STABILITO, ASCOLTO, TIME_WAIT
-a Visualizza tutte le connessioni e le porte di ascolto.
-b Visualizza l'eseguibile coinvolto nella creazione di ogni connessione o porta di ascolto. In alcuni casi eseguibili noti ospitano più componenti indipendenti e in questi casi viene visualizzata la sequenza dei componenti coinvolti nella creazione della porta di connessione o di ascolto. In questo caso, il file eseguibile è in [] in basso, in alto è il componente che ha chiamato, e così via fino al raggiungimento di TCP / IP. Nota che questa opzione può richiedere molto tempo e fallirà a meno che tu non abbia autorizzazioni sufficienti.
-n Visualizza gli indirizzi e i numeri di porta in forma numerica.

Questo, certamente, non è così sofisticato come l'output ottenuto da molte opzioni della GUI, ma è presente e disponibile senza scaricare strumenti aggiuntivi. Funziona anche su Linux con switch leggermente diversi.

— antik
fonte

1

Come diceva antik, puoi usare netstat dal prompt dei comandi dell'amministratore. Suggerirei, invece, di utilizzare oinvece b, in questo modo l'output sarà su una riga per una voce e puoi filtrarlo ulteriormente con find. Non avrai il nome del processo, ma l'id del processo:

Per esempio

netstat -aon | find ":80"

mostra tutte le connessioni usando la porta 80 (localmente o da remoto)

È quindi possibile verificare tale processo in Task Manager o fare un altro filtro nel prompt dei comandi, utilizzando questa volta l'elenco delle attività:

tasklist | find "1100"

o

tasklist /FI "PID eq 1100"

— Razvan Popa
fonte