Как найти процесс, принимающий входящий трафик? - Безопасность

Croco · 17.03.2008, 15:03

Есть XP SP2 с обновлениями, файрволом и касперским 6. Подключение по прямому IP в инет.
Недавно заметил, что иконка состояния сетевого интерфейса, ну и соответственно окно состояния, показывают активный приём входящих пакетов, хотя у меня ничего не запущено.
При этом Tiny Firewall в модуле Activity Monitor на странице Connections показывает скорость входящего и исходящего потоков у всех запущенных процессов равной нулю.
AnVir Task Manager (который тоже стоит в системе) показывает скорость приёма и передачи для всех процессов = 0.
Запускал утилиту TCPVeiw от Sysinternals - та же самая картина, ни кто не обменивается данными.
ВОПРОС: как найти получателя входящего потока?

Kolbas · 17.03.2008, 17:03

Commview от TamoSoft попробуй.

mozk · 18.03.2008, 04:25

Если в процессах ничего лишнего нету, и сервисов никаких левых не запущнно то ето нормально явление, передаются сервисные данные. Например твоя машина пингует сервер, или наоборот сервер пингует тебя чтоб сессию не закрыть.

SinClaus · 18.03.2008, 17:05

Или кто-то добрый сканит комп на предмет дырок и взлома

Merlin Cori · 18.03.2008, 17:13

Croco, а в логах фаера вообще ничего нет? никаких попыток входящих соединений?

croupier · 19.03.2008, 01:06

Поставь снифер какой-нить и посмотри какие пакеты на интерфейс прилетают. Уже предлагали Commview от TamoSoft или Wireshark.

Croco · 29.03.2008, 21:20

Докладываю о результатах:

Цитата:

Сообщение от mozk

Если в процессах ничего лишнего нету, и сервисов никаких левых не запущнно то ето нормально явление, передаются сервисные данные. Например твоя машина пингует сервер, или наоборот сервер пингует тебя чтоб сессию не закрыть.

На вскидку, ничего левого не было, но я уже начал было искать какие-нибудь rootkit`ы... потому что пинговать то, пусть они пингуют, но не с таким же количеством пакетов. Я же написал, что "активный приём входящих пакетов". Это было примерно 1000 пекетов за 10 секунд. При этом я знаю, как было раньше, и нынешнее состояние - это не нормально.

Цитата:

Сообщение от SinClaus

Или кто-то добрый сканит комп на предмет дырок и взлома.

Так вот и хотелось в этот вопрос внести ясность

Цитата:

Сообщение от Merlin Cori

а в логах фаера вообще ничего нет? никаких попыток входящих соединений?

Вообще тишина. Вот это-то и смущало. Хотя он, что вполне естественно, у меня настроен так, чтобы не абсолютно все события протоколировать, а только опасно-подозрительные или запрещённые. Ну а настроить его на полный протокол я так и не успел, поскольку проблему решил :-)

Цитата:

Сообщение от Kolbas

Commview от TamoSoft попробуй.

Цитата:

Сообщение от croupier

Поставь снифер какой-нить и посмотри какие пакеты на интерфейс прилетают.

Поставил Commview. Посмотрел. Все входящие на этот интерфейс пакеты - транзитные. НО количество принятых пакетов, по информации от Commview, почти в 2 раза меньше, чем за это же время показывает виндусовое окно состояния сетевого интерфейса (то, что открывается на иконке сетевого интерфейса).
Уже хотел ставить Cain & Abel, думал, может он правильнее отсниферит пакеты... В результате всё обошлось малой кровью: я уже писал, что у меня стоит AnVir Task Manager. Так вот в последней версии в нём появилась возможность подсчитывать трафик и скорость сетевых соединений запущенных в системе процессов. При этом на его форуме написано, что с некоторыми сетевыми картами это может приводить к глюкам. Вот именно этот глюк у меня и возник. При этом, кроме генерирования непонятных входящих пакетов, AnVir умудрялся ещё и рушить мой комп в совершенно неожиданные моменты времени (из-за чего я и стал разбираться со всей этой бадягой).

Короче, в AnVir`e отключил мониторинг сети, и всё стало шоколадно (как и было раньше

)

ВСЕМ спасибо участие.

PS в действительности, проблему решил ещё дней 10 назад, да ни как не мог отчитаться...

Roxy · 29.03.2008, 22:30

Цитата:

Сообщение от croupier

Поставь снифер какой-нить и посмотри какие пакеты на интерфейс прилетают. Уже предлагали Commview от TamoSoft или Wireshark.

Извините, а что такое "снифер" ? Где его можно взять и вообще для чего он нужен? Просто уже не в первый раз он на форуме упоминается,но не очень понятно.

mozk · 30.03.2008, 07:45

Грубо говоря сниффер можно сравнить с человечиским ухом)) пример: вот сидит чел на лавочке и слушает, а вокруг люди разговаривают, так вот как только чел услышит что-нибудь нужное, информацию которую один мужик сказал другому - сразу записывает. В переводе на компьютеры: все компы в сети обмениваются данными, данные эти могут предоставлять ценность (как минимум пароли от вашей почты и аськи, как максимум фин.отчеты

) Чтобы эту ценность узнать используют сниффер, он перехватывает информацию и конвертирует ее в читабельный вид. Надеюсь понятно объяснил))
Взять можно на хак форумах да и здесь наверно найдется.
З.Ы. Anvir оказался таки лишним

bertran · 30.03.2008, 13:55

Вот в этой теме у нас на форуме, и тут в википедии, вроде бы все доступно написано

17.03.2008, 15:03	# 1
Croco Newbie Регистрация: 02.02.2005 Сообщения: 30	Как найти процесс, принимающий входящий трафик? Есть XP SP2 с обновлениями, файрволом и касперским 6. Подключение по прямому IP в инет. Недавно заметил, что иконка состояния сетевого интерфейса, ну и соответственно окно состояния, показывают активный приём входящих пакетов, хотя у меня ничего не запущено. При этом Tiny Firewall в модуле Activity Monitor на странице Connections показывает скорость входящего и исходящего потоков у всех запущенных процессов равной нулю. AnVir Task Manager (который тоже стоит в системе) показывает скорость приёма и передачи для всех процессов = 0. Запускал утилиту TCPVeiw от Sysinternals - та же самая картина, ни кто не обменивается данными. ВОПРОС: как найти получателя входящего потока?

18.03.2008, 04:25	# 3
mozk Junior Member Регистрация: 04.01.2006 Сообщения: 87	Если в процессах ничего лишнего нету, и сервисов никаких левых не запущнно то ето нормально явление, передаются сервисные данные. Например твоя машина пингует сервер, или наоборот сервер пингует тебя чтоб сессию не закрыть. __________________ Кто хочет - может, кто пробует - делает, кто любит - живет.

18.03.2008, 17:05	# 4
SinClaus Котозавр Регистрация: 15.04.2003 Адрес: Russia, Tomsk Пол: Male Сообщения: 1 339	Или кто-то добрый сканит комп на предмет дырок и взлома __________________ Паранойю у админов лечить нельзя, надо лишь следить, чтобы развивалась в нужном направлении

18.03.2008, 17:13	# 5
Merlin Cori Moderator Регистрация: 29.04.2002 Адрес: Moscow Пол: Male Сообщения: 2 980	Croco, а в логах фаера вообще ничего нет? никаких попыток входящих соединений? __________________ Есть две бесконечные вещи, Вселенная и глупость. Впрочем, на счет Вселенной, я не уверен Вклад IMHO.WS в медицину и науку Присоединяйтесь!!!!!

30.03.2008, 07:45	# 9
mozk Junior Member Регистрация: 04.01.2006 Сообщения: 87	Грубо говоря сниффер можно сравнить с человечиским ухом)) пример: вот сидит чел на лавочке и слушает, а вокруг люди разговаривают, так вот как только чел услышит что-нибудь нужное, информацию которую один мужик сказал другому - сразу записывает. В переводе на компьютеры: все компы в сети обмениваются данными, данные эти могут предоставлять ценность (как минимум пароли от вашей почты и аськи, как максимум фин.отчеты ) Чтобы эту ценность узнать используют сниффер, он перехватывает информацию и конвертирует ее в читабельный вид. Надеюсь понятно объяснил)) Взять можно на хак форумах да и здесь наверно найдется. З.Ы. Anvir оказался таки лишним __________________ Кто хочет - может, кто пробует - делает, кто любит - живет.

17.03.2008, 17:03	# 2
Kolbas Junior Member Регистрация: 12.08.2005 Сообщения: 68	Commview от TamoSoft попробуй.

19.03.2008, 01:06	# 6
croupier Newbie Регистрация: 19.04.2005 Сообщения: 17	Поставь снифер какой-нить и посмотри какие пакеты на интерфейс прилетают. Уже предлагали Commview от TamoSoft или Wireshark.

30.03.2008, 13:55	# 10
bertran Full Member Регистрация: 28.07.2004 Адрес: Imhowsk! Пол: Male Сообщения: 654	Вот в этой теме у нас на форуме, и тут в википедии, вроде бы все доступно написано __________________ Я знаю - город будет, я знаю - саду цвесть! Последний раз редактировалось bertran; 30.03.2008 в 14:08. Причина: добавлена ссылка на википедию

Опции темы
Версия для печати Отправить на email