نظارت بر وب سایت و اتصالات اینترنتی پنهان

همانطور که این مقاله را می‌خوانید، می‌توانید کاملاً مطمئن باشید که رایانه شما به سرور میزبان وب‌سایت من متصل است، اما علاوه بر اتصالات آشکار به سایت‌هایی که در مرورگر وب(web browser) شما باز می‌شوند ، ممکن است رایانه شما به سرورهای دیگری متصل باشد. که قابل مشاهده نیستند

بیشتر اوقات، شما واقعاً نمی خواهید کاری انجام دهید که در این مقاله نوشته شده است، زیرا این کار مستلزم بررسی بسیاری از موارد فنی است، اما اگر فکر می کنید برنامه ای در رایانه شما وجود دارد که نباید مخفیانه در آنجا ارتباط برقرار کند. در اینترنت(Internet) ، روش های زیر به شما کمک می کند تا هر چیز غیرعادی را شناسایی کنید.

شایان ذکر است که رایانه ای که سیستم(operating system) عاملی مانند ویندوز(Windows) را با چند برنامه نصب شده اجرا می کند، در نهایت به طور پیش فرض اتصالات زیادی به سرورهای خارجی برقرار می کند. به عنوان مثال، در دستگاه ویندوز 10(Windows 10) من پس از راه‌اندازی مجدد و بدون اجرای هیچ برنامه‌ای، چندین اتصال توسط خود ویندوز(Windows) انجام می‌شود، از جمله OneDrive ، Cortana و حتی جستجوی دسکتاپ. مقاله من در مورد ایمن سازی ویندوز 10(Windows 10) را بخوانید تا با روش هایی آشنا شوید که می توانید از ارتباط زیاد ویندوز 10(Windows 10) با سرورهای مایکروسافت جلوگیری کنید.(Microsoft)

سه راه برای نظارت بر اتصالاتی که رایانه شما به اینترنت(Internet) برقرار می کند وجود دارد : از طریق خط فرمان(command prompt) ، با استفاده از Resource Monitor یا از طریق برنامه های شخص ثالث. من می خواهم خط فرمان را(command prompt) در آخر ذکر کنم زیرا فنی ترین و سخت ترین رمزگشایی است.

مانیتور منابع

ساده ترین راه برای بررسی تمام اتصالاتی که رایانه شما برقرار می کند استفاده از Resource Monitor است. برای باز کردن آن، باید روی Start کلیک کنید و سپس  Resource monitor را(resource monitor) تایپ کنید. چندین برگه را در بالای صفحه می بینید و یکی که می خواهیم روی آن کلیک کنیم Network است .

نظارت بر منابع

در این برگه، چندین بخش را با انواع مختلف داده مشاهده خواهید کرد: فرآیندهای با فعالیت(Processes with Network Activity) شبکه ، فعالیت شبکه(Network Activity) ، اتصالات TCP( TCP Connections) و پورت‌های گوش دادن( Listening Ports) .

فرآیندهای نظارت بر منابع

تمام داده های فهرست شده در این صفحه نمایش ها در زمان واقعی به روز می شوند. برای مرتب کردن داده ها به ترتیب صعودی یا نزولی می توانید روی سرصفحه هر ستونی کلیک کنید. در قسمت Processes with Network Activity  ، لیست شامل تمامی فرآیندهایی است که هر نوع فعالیت شبکه ای(network activity) دارند. همچنین می‌توانید مجموع داده‌های ارسالی و دریافتی را بر حسب بایت در ثانیه برای هر فرآیند مشاهده کنید. متوجه خواهید شد که یک کادر خالی در کنار هر فرآیند وجود دارد که می تواند به عنوان فیلتر برای تمام بخش های دیگر استفاده شود.

به عنوان مثال، من مطمئن نبودم که nvstreamsvc.exe چیست(nvstreamsvc.exe) ، بنابراین آن را بررسی کردم و سپس به داده های بخش های دیگر نگاه کردم. در بخش Network Activity ، می‌خواهید به قسمت Address نگاه کنید  ، که باید یک آدرس IP(IP address) یا نام DNS(DNS name) سرور راه دور را به شما بدهد.

فیلتر نظارت بر منابع فرآیند

به خودی خود، اطلاعات اینجا لزوماً به شما در تشخیص خوب یا بد بودن چیزی کمک نمی کند. شما باید از برخی وب سایت های شخص ثالث برای کمک به شناسایی فرآیند استفاده کنید. اولاً، اگر نام فرآیندی را(process name) نمی‌شناسید ، با استفاده از نام کامل، یعنی nvstreamsvc.exe ، آن را در (nvstreamsvc.exe)گوگل(Google) جستجو کنید .

جستجو برای فرآیند

همیشه روی حداقل چهار تا پنج پیوند اول کلیک کنید و فوراً متوجه می شوید که آیا برنامه ایمن است یا خیر. در مورد من، این مربوط به سرویس پخش NVIDIA(NVIDIA streaming) بود که ایمن است، اما چیزی نیست که من به آن نیاز داشته باشم. به طور خاص، فرآیند پخش بازی ها از رایانه شخصی شما به NVIDIA Shield است که من آن را ندارم. متأسفانه، وقتی درایور NVIDIA(NVIDIA driver) را نصب می‌کنید، بسیاری از ویژگی‌های دیگر را که به آن نیاز ندارید نصب می‌کند.

از آنجایی که این سرویس در پس زمینه اجرا می شود، هرگز نمی دانستم که وجود دارد. در پنل GeForce(GeForce panel) نمایش داده نمی‌شود و بنابراین فکر می‌کنم که درایور را نصب کرده‌ام. زمانی که متوجه شدم به این سرویس نیازی ندارم، توانستم برخی از نرم افزارهای NVIDIA(NVIDIA software) را حذف نصب کنم و از شر سرویسی که همیشه در شبکه در حال ارتباط بود خلاص شوم، حتی اگر من هرگز از آن استفاده نکردم. بنابراین این نمونه ای از این است که چگونه کاوش در هر فرآیند می تواند به شما کمک کند نه تنها بدافزارهای احتمالی را شناسایی کنید، بلکه خدمات غیر ضروری را که احتمالاً توسط هکرها مورد سوء استفاده قرار می گیرند حذف کنید.

در مرحله دوم، باید آدرس IP یا نام DNS(IP address or DNS name) فهرست شده در قسمت آدرس(Address) را جستجو کنید. می توانید ابزاری مانند DomainTools را بررسی کنید که اطلاعات مورد نیاز را در اختیار شما قرار می دهد. به عنوان مثال، در بخش Network Activity ، متوجه شدم که فرآیند steam.exe(steam.exe process) به آدرس IP 208.78.164.10 متصل(IP address 208.78.164.10) می شود. وقتی آن را به ابزار ذکر شده در بالا وصل کردم، خوشحال شدم که متوجه شدم دامنه توسط Valve کنترل می شود ، شرکتی که مالک Steam است.

آدرس آی پی whois

اگر می بینید که یک آدرس IP(IP address) به سروری در چین یا روسیه(China or Russia) یا مکان عجیب دیگری متصل می شود، ممکن است مشکل داشته باشید. جستجوی این فرآیند معمولاً شما را به مقاله هایی در مورد نحوه حذف نرم افزارهای مخرب هدایت می کند.

برنامه های شخص ثالث

Resource Monitor عالی است و اطلاعات زیادی در اختیار شما قرار می دهد، اما ابزارهای دیگری نیز وجود دارند که می توانند کمی اطلاعات بیشتری را در اختیار شما قرار دهند. دو ابزاری که من توصیه می کنم TCPView و CurrPorts هستند. هر دو تقریباً یکسان به نظر می رسند، با این تفاوت که CurrPorts اطلاعات بسیار بیشتری را در اختیار شما قرار می دهد. در اینجا یک اسکرین شات از TCPView آمده است:

tcpview

ردیف هایی که بیشتر به آنها علاقه دارید، ردیف هایی هستند که حالت (State)ESTABLISHED دارند. برای پایان دادن به فرآیند یا بستن اتصال، می توانید روی هر ردیفی کلیک راست کنید. در اینجا یک اسکرین شات از CurrPorts آمده است:

کرپورت ها

باز هم، هنگام مرور لیست، به اتصالات برقرار شده(ESTABLISHED) نگاه کنید . همانطور که از نوار اسکرول در پایین می بینید، ستون های بسیار بیشتری برای هر فرآیند در CurrPorts وجود دارد. با استفاده از این برنامه ها واقعا می توانید اطلاعات زیادی به دست آورید.

خط فرمان

در نهایت خط فرمان(command line) وجود دارد . ما از دستور netstat استفاده می کنیم تا اطلاعات دقیقی در مورد تمام اتصالات شبکه فعلی خروجی به یک فایل TXT(TXT file) به ما بدهد . اطلاعات اساساً زیرمجموعه‌ای از آنچه از Resource Monitor یا برنامه‌های شخص ثالث دریافت می‌کنید است، بنابراین واقعاً فقط برای متخصصان فن مفید است.

در اینجا یک مثال سریع است. ابتدا(First) یک خط فرمان Administrator را باز کرده و دستور زیر را تایپ(Administrator command prompt and type) کنید:

netstat -abfot 5 > c:\activity.txt

دستور netstat

(Wait)حدود یک یا دو دقیقه صبر کنید و سپس CTRL + C را روی صفحه کلید خود فشار دهید تا ضبط متوقف شود. دستور netstat در بالا اساساً تمام داده های اتصال شبکه(network connection) را هر پنج ثانیه یکبار ضبط می کند و آن را در فایل متنی ذخیره می(text file) کند. قسمت – abfot مجموعه ای از پارامترها است تا بتوانیم اطلاعات اضافی را در فایل دریافت کنیم. در اینجا به معنای هر پارامتر است، در صورتی که شما علاقه مند باشید.

کمک دستور netstat

وقتی فایل را باز می کنید، تقریباً همان اطلاعاتی را خواهید دید که از دو روش دیگر در بالا به دست آوردیم: نام پردازش(process name) ، پروتکل، شماره پورت محلی و راه دور، IP Address/DNS name ، وضعیت اتصال(connection state) ، شناسه فرآیند و غیره. .

خروجی netstat

باز هم(Again) ، همه این داده ها اولین گام برای تعیین اینکه آیا چیزی(something fishy) در حال وقوع است یا خیر است. شما باید Google را زیاد انجام دهید ،(Googling) اما این بهترین راه برای دانستن اینکه آیا کسی شما را جاسوسی می‌کند یا بدافزار در حال ارسال داده‌ها از رایانه شما به سرور راه دور است. اگر سوالی دارید، در کامنت بگذارید. لذت بردن!



گلچهر محجوبی

About the author

من یک متخصص کامپیوتر با بیش از 10 سال تجربه هستم و در کمک به افراد در مدیریت کامپیوترهایشان در دفترشان تخصص دارم. من مقالاتی در مورد موضوعاتی مانند نحوه بهینه سازی اتصال اینترنت خود، نحوه راه اندازی رایانه برای بهترین تجربه بازی و موارد دیگر نوشته ام. اگر در مورد هر چیزی که مربوط به کار یا زندگی شخصی خود است به دنبال کمک هستید، من آن شخص برای شما هستم!


Related posts