Derudover leveres værktøjet med en kommandolinjeversion (Tcpvcon) og fungerer fantastisk sammen med netstat, veteranen, der er integreret i Windows og andre systemovervågningsværktøjerVed at kombinere dem kan du gå fra livevisning til automatisering på få sekunder, og om nødvendigt fuldføre undersøgelsen med pakkeoptagelser eller scanninger.
Hvad er TCPView, og hvorfor er det så nyttigt?
TCPView er et gratis værktøj fra Microsoft Sysinternals til Windows, der i realtid viser alle TCP- og UDP-forbindelsespunkter på systemet med deres lokale og eksterne adresser, porte og status (f.eks. ESTABLISHED, TIME_WAIT). Dens grafiske brugerflade gør det meget nemt at identificere med et øjeblik, hvilken proces der ejer hver socket, og hvor det er relevant, navnet på den tilhørende tjeneste.
I modsætning til en simpel konsoldump, Visningen opdateres som standard automatisk hvert sekund Og du kan ændre den kadens fra indstillingsmenuen, hvis du har brug for mere klarhed eller detaljering. Den indeholder også et farvesystem til at fremhæve ændringer mellem opdateringer: nye forbindelser med grønt, ændringer med gult og lukninger med rødt, hvilket fremskynder læsningen, når der bliver travlt.
Et vigtigt plus er, at TCPView inkorporerer direkte handlinger på det, du serDu kan lukke TCP-forbindelser i en etableret tilstand fra menuen eller med et højreklik. Dette er en hurtig måde at afbryde uønsket kommunikation, mens du færdiggør valideringen af sikkerhedspolitikker.
Download, udførelse og kompatibilitet
Den officielle download af TCPView er tilgængelig på Microsoft Sysinternals Og værktøjet er bærbart, så det kræver ikke installation. Pakken indeholder også Tcpvcon, en kommandolinjeversion med tilsvarende funktionalitet. Den binære fil er i øjeblikket omkring 1,5 MB stor, og selvom den var meget mindre i ældre versioner, forbliver konceptet et minimalistisk, køreklart værktøj.
Hvis du foretrækker ikke at downloade noget, Du kan køre det direkte via Sysinternals Live, ideelt når du har travlt eller arbejder på en computer, hvor du ikke vil efterlade spor af installationsprogrammer. Med hensyn til kompatibilitet dækker den moderne scenarier: Windows 8.1 eller nyere på klienten og Windows Server 2012 eller nyere på serveren.
Som en historisk kuriositet, Projektet ledes af Mark Russinovich, og dokumentationen er for nylig blevet opdateret. (f.eks. april 2023), hvilket giver ro i sindet vedrørende vedligeholdelse og support fra Sysinternals-teamet.
Grænseflade og arbejdsgang: Sådan læses informationen
Når du åbner værktøjet, Du vil se en liste over alle aktive TCP- og UDP-slutpunkter.Du kan vælge, om du vil omdanne IP-adresser til domænenavne, ved hjælp af en knap på værktøjslinjen eller fra menuen. Dette er nyttigt, når du har brug for læsbarhed, og du kan vende tilbage til numeriske IP-adresser, når du er interesseret i retsmedicinsk nøjagtighed eller undgår DNS-forsinkelser.
Hovedtabellen viser kolonner for proces, protokol, adresser og porte samt status. Sortering efter proces eller port giver dig mulighed for hurtigt at opdage mønstreHvis en binær fil for eksempel åbner snesevis af udgående forbindelser til port 25 eller 587, lugter det normalt af spam.
Angående sodavand, Standardfrekvensen er 1 sekund, og kan justeres i IndstillingerDet farvekodede fremhævelsessystem hjælper dig med at registrere jittery-aktivitet: Hvis du ser mange grønne blink og røde blink, kan du stå over for aggressive genopkoblinger, scanninger eller forkert konfigurerede tjenester, der ikke stabiliserer deres sessioner.
Nyttige handlinger: lukning af sockets og lagring af bevismateriale
En af de mest praktiske funktioner er, at Du kan lukke TCP-forbindelser i ETABLERET tilstand direkte fra brugerfladen.Vælg en eller flere rækker, og brug menuen Filer, eller højreklik. Dette er en midlertidig nedlukning – programmet kan genåbne socket'en – men det er værdifuldt til at holde igen, mens du justerer firewallregler eller stopper en proces.
Derudover Du kan gemme outputtet i en fil fra menuenDenne dump er uvurderlig, når du har brug for at dokumentere en hændelse, korrelere den med firewall-, IDS- eller EDR-logfiler og dele resultater med dit team. Hvis du arbejder med en SIEM, bør du overveje at generere snapshots med forskellige intervaller for at se udviklingen.
Tilladelser og god praksis ved kørsel
For et komplet overblik, Det anbefales kraftigt at køre TCPView med forhøjede rettighederMed administratorrettigheder kan du se systemprocesser og -tjenester, der ellers ville være udeladt. Husk også at deaktivere navnefortolkning, når du vil undgå DNS-forsinkelser eller forhindre forvirring i miljøer med intern omvendt opløsning.
Et operationelt tip: Kombiner filtre, sorteringer og pauser, når du har brug for at studere et specifikt sæt.Hvis du sætter opdateringen på pause et øjeblik, kan du roligt gennemgå et mønster, kopiere information eller krydsreferere PID'er med Jobliste eller din EDR.
Tcpvcon: konsolversionen til automatisering
Tcpvcon leveres med den primære eksekverbare fil, et kommandolinjeværktøj med den samme observerbarhedslogikDen er ideel til scripts, fjernudførelse, planlagte job eller når du navigerer rundt på servere uden en grafisk brugerflade.
Grundlæggende brug fra Tcpvcon:
tcpvcon De mest almindelige parametre:
| Parameter | función |
|---|---|
| -a | Vis alle forbindelsespunkterHvis du ikke bruger den, vil du primært se etablerede TCP-forbindelser. |
| -c | Udskriv outputtet i CSV-format, perfekt til åbning i Excel eller indlæsning i en SIEM. |
| -n | Løser ikke adresser, udskriver numeriske IP-adresser og porte. |
Hvis du for eksempel har mistanke om en specifik proces, Du kan liste deres aktivitet uden at opløse navne ved at køre noget i retning af:
tcpvcon -a -n 784Med denne kombination kan du se de aktive forbindelser, der er knyttet til det PID, du er interesseret i, og korrelere dem med eksekverbare stier, signaturer eller procesomdømme i dine værktøjer.
Netstat: Hvornår det stadig giver mening, og hvordan man sammenligner det
Netstat er den klassiske version af Windows. Det er stadig nyttigt til at inspicere TCP/UDP-forbindelser, lytteporte og tilstande., især hvis du flytter rundt på servere uden en GUI eller har brug for noget øjeblikkeligt i konsollen.
Referencekommandoer:
netstat # lista conexiones y puertos con nombres
netstat -n # muestra IPs y puertos en formato numérico
netstat -a # todas las conexiones y puertos en escucha
netstat -b # muestra el ejecutable asociado (requiere admin)Det er især interessant at se, hvilken binærfil der ligger bag -b-parameteren. men det kræver åbning af konsollen med administratorrettighederUden elevation er nogle procesoplysninger muligvis ikke tilgængelige. Hvis du har brug for liveovervågning med farver, visuelle filtre og direkte handling, kan TCPView ofte spare dig tid; hvis du har brug for konsolscripting, er netstat eller Tcpvcon sikre valg.
Virkelige revisionsscenarier med TCPView
Et typisk tilfælde i SMV'er: operatøren blokerer port 25 på grund af detektion af udgående spam. I stedet for at scanne snesevis af computere med antimalware i timevis, starter du TCPView på hver pc (en opgave, der tager et minut) og finder synderen på få sekunder ved at se flere samtidige SMTP-forbindelser.
På en maskine, der er kompromitteret af en masseudsendelses-trojaner, Du vil se konstante forbindelser til port 25 eller 587 på mange destinationer.Sammenlignet med en ren maskine, hvor sådan aktivitet er iøjnefaldende fraværende, hjælper kontrasten dig med hurtigt at isolere det berørte udstyr og prioritere dets rengøring eller geninstallation.
Et andet scenarie: en Dårlig port forwarding-konfiguration på firewallen, der efterlader en server for eksponeretVisningen kan vise flygtige forbindelser fra ukendte eksterne IP-adresser med lave datamængder. Dette kan være simpel internetstøj, scanninger eller mislykkede forsøg, men det er en god idé at gennemgå det og lukke den unødvendige eksponering.
I Windows-domæner er det almindeligt at se PID 4 (System) aktivitet, der kommunikerer med domænecontrollereDet er ikke iboende skadeligt: systemet og kernetjenesterne etablerer selv legitime forbindelser. Nøglen er at korrelere tidspunkter, porte og protokoller med serverens rolle og kontrollere, at alt matcher de implementerede roller.
Hvis du har IDS eller IPS, Meddelelser giver dig yderligere kontekstFor eksempel indikerer en advarsel relateret til HNAP på Linksys-routere, der er forbundet med kampagner som TheMoon, perimeterscanninger for sårbarheder. Det indebærer ikke en kompromittering af din Windows-vært, men foreslår en gennemgang af eksponeringen og en stramning af reglerne.
God praksis under forskning
I tilfælde af mistænkelig aktivitet, Frys bevismateriale ved at gemme TCPView-output og indsaml firewall-, IDS- eller EDR-logfilerMed materialet ved hånden vil du være i stand til at rekonstruere, hvad der skete, og retfærdiggøre korrigerende handlinger.
Gennemgå en grundlæggende tjekliste: Tjek åbne tjenester med netstat eller Tcpvcon og sammenlign dem med den forventede status, gennemgår NAT- og portvideresendelsesregler, lukker unødvendige elementer og undersøger mistænkelige processer og eksekverbare signaturer ved at kontrollere stier og udgivere.
Hvis du har brug for at opføre dig lækkert, Afbryd forbindelser fra TCPView for at stoppe eksfiltrering eller spam mens du finjusterer firewallen. Husk at dette kan være en midlertidig foranstaltning, og processen vil insistere på genoprettelse af forbindelsen, hvis den stadig er aktiv og har tilladelser.
Praktiske tips med TCPView
Når præcision og hastighed er altafgørende, Deaktiver navneopløsning for at undgå DNS-forsinkelse og arbejde med rene IP-adresser. I interne DNS-miljøer giver navne kontekst, men i retsmedicinsk analyse reducerer numeriske adresser tvetydighed.
Kolonnesortering er din ven: Sortering efter port hjælper dig med at se servicefamilier samlet, mens den sorterer efter procesgrupper, aktivitet fra den samme binære fil, hvilket er nyttigt til at detektere unormal adfærd i applikationer, der ikke bør åbne eksterne sockets.
Vær opmærksom på farvekoden i tide: Meget grønt og rødt blink kan indikere genopkoblinger eller scanningerHvis det falder sammen med stigninger i firewallen eller IDS, har du en klar tråd at trække i.
Hvornår skal man gemme, og hvordan man deler resultater
I specifikke revisioner og hændelser, Det er vigtigt at gemme outputvinduet fra menuen at dele resultatet med teamet eller vedhæfte det til en rapport. Hvis du ønsker sammenlignelige serier, kan du tage flere øjebliksbilleder med minutter mellemrum for at se tendenser.
Til kvantitativ analyse, Overvej at bruge Tcpvcon med -c parameteren og planlæg periodiske udførelser ved at outputte til CSV. Dette format er ideelt til Excel, PowerShell-scripts eller integration med din SIEM.
Supplerende værktøjer til en komplet revision
TCPView og Tcpvcon dækker *hvem* og *nu* på procesniveau rigtig godt. For at udvide dit synsfelt kan du stole på referencenetværksværktøjer og essentiel sikkerhedssoftware for at hjælpe dig med at bekræfte resultater og styrke kontrollen.
TCPDump og WinDump: Konsoltrafikoptagere, der giver dig mulighed for at dumpe pakker og se, hvad der rent faktisk flyder gennem netværket. På Windows skal du bruge WinPcap eller Npcap. Hvis du har brug for at installere dem, gør Winget det nemt at administrere dem.
Nmap: portscanner og servicerevisionSender foruddefinerede pakker til IP-adresseområder for at finde værter, åbne porte og tjenester og endda profilere operativsystemet. Dette er afgørende for at validere den faktiske eksponeringsoverflade.
wireshark: protokolanalysator med grafisk brugerflade som dekapsulerer og tillader detaljeret inspektion af TCP/UDP-samtaler. Nyttig til at diagnosticere subtile kommunikationsproblemer eller studere specifikke protokoller.
Luftsprængning: Trådløs netværkssuite med fokus på evaluering af styrken af WEP/WPA/WPA2-nøgler og analysere Wi-Fi-trafik. Det er nyttigt til at gennemgå virksomhedens netværkssikkerhed og adgangskodepolitikker.
KaliLinux: Penetrationstestorienteret distribution, der samler snesevis af værktøjer, inklusive flere af ovenstående. Den kan køres live fra et USB-drev eller installeres med grafiske grænseflader til mange værktøjer.
Kompatibilitet, support og vedligeholdelse
For at opsummere kravene: Fungerer på Windows 8.1 eller nyere på klienten og Windows Server 2012 eller nyere på serveren, der dækker langt de fleste nuværende implementeringer. Muligheden for at køre fra Sysinternals Live gør det nemt at bruge på administrerede computere med strenge politikker.
Det faktum, at Værktøjet kommer fra Sysinternals-økosystemet og har Mark Russinovich bag sig. Det giver tryghed. Dokumentationsopdateringer sikrer kontinuitet og tilpasning til platformændringer.
Eksempler og nyttige kombinationer
Til hurtig triage: Åbn TCPView, deaktiver navnefortolkning, og sorter efter port. for at detektere støjende tjenester. Hvis du ser massiv aktivitet på udgående mailporte, skal du indsnævre processen og lukke sockets, mens du undersøger det.
Sådan automatiserer du lagerbeholdning: Brug Tcpvcon -a -c i en scheduler og dump til CSVBehandl outputtet med PowerShell for at generere advarsler, når porte eller destinationer uden for kataloget vises.
For at validere eksponering: kombinerer Nmap eksternt med den interne TCPView-visningHvis Nmap ser en åben port, og TCPView ikke viser en proces, der lytter, skal du kontrollere, om der er NAT, firewallregler eller mellemliggende enheder, der muligvis reagerer.
Til dybdegående analyse: Korrelér usædvanlige forbindelser med optagelser i Wireshark eller WinDumpEt par minutters pakker rydder ofte enhver tvivl om mærkelige protokoller og adfærd op.
TCPView udmærker sig ved den rette balance mellem øjeblikkelig synlighed og øjeblikkelig handlingDens konsolpartner, Tcpvcon, åbner døren for scripting og periodisk logging, mens netstat stadig leverer, når du har brug for noget integreret og minimalistisk. Del denne vejledning om, hvordan du bruger TCPView på Windows.