TCPView, alternatywa dla NETSTAT, czyli lista połączeń i otwartych portów w okienku

Jakiś czas temu opisywałem natywne, windowsowe narzędzie do wyświetlania otwartych portów – NETSTAT. Teraz pora na kolejne, tym razem z interfejsem graficznym i dużo większymi możliwościami. Dziś nieco o TCPView od Sysinternals.

download-30x26TCPView

Jak zapewne już wiecie wszystkie programy sygnowane tą marką, są udostępniane za darmo, nawet dla firm. Bohater dzisiejszego wpisu zajmuje niewiele, bo ok. 300kb i ma niesamowity współczynnik funkcjonalności na bajt kwadratowy. Zaraz po uruchomieniu otrzymujecie listę wszystkich portów, które wykorzystywane są do komunikacji i nasłuchiwania.

TCPviev_view

Oprócz informacji jakie uzyskamy z NETSTAT dostajemy tu również całą masę innych właściwości. Oto lista wszystkich:

  • Process – nazwa pliku, wykorzystującego port
  • PID – numer procesu
  • Protokol – TCP, UDP, TCPV6 lub UDPV6
  • Local address – adres maszyny na której uruchamiamy TCPView
  • Local port – numer portu na lokalnej maszynie
  • Remote address – adres zdalnej maszyny nawiązującej połączenie
  • Remote port – port zdalnej maszyny
  • State – statu połączenia
  • Sent packets, Sent Bytes – ilość danych wysłanych z naszej maszyny
  • Rcvd packets, Rcvd Bytes – ilość danych odebranych przez naszą maszynę

Informacje o połączeniach odświeżają się cyklicznie, częstotliwość wybrać możemy dowolną, pod warunkiem, że będzie to 1, 2 lub 5 sekund. Służy do tego opcja View > Update speed. Możemy tu również wstrzymać odświeżanie, aby dokładnie przeanalizować wpisy nie obawiając się o to, że znikną. Każda zmiana statusu sygnalizowana jest odpowiednim kolorem linii. Jeżeli jest koloru zielonego to oznacza nowy wpis. Kolor żółty to połączenie, które zmieniło status od ostatniego odświeżenia. Czerwony natomiast to połączenia, które są zamykane, linia zniknie po następnym odświeżeniu wpisów. Wyniki skanowania możecie zapisać w prosty sposób klikając Save, zostaną one wrzucone do pliku tekstowego i oddzielone tabulatorami, który można potem obejrzeć w innym programie, choćby w Excelu.

Do tego możemy wyłączyć rozwiązywanie adresów IP w Options > Resolve addresses, klikając w ikonkę przedstawiającą literę A lub używając skrótu Ctrl + R. Dzięki temu będziecie mogli zobaczyć jakie adresy IP mają urządzenia lokalne (przydatne do identyfikacji interfejsów) oraz zdalne. Możemy również ukryć wszystkie porty, które nie są używane przez aktualne połączenia, czyli takie, które mają status LISTENING. Służy do tego Options > Show unconnected endpoints, ikonka połączenia lub skrót Ctrl + U.

Zamykanie portów i procesów

Jeżeli uznacie, że któryś z procesów za dużo sobie pozwala możecie powiedzieć mu to delikatnie poprzez polecenie File > Close connection (dostępne również pod prawym przyciskiem myszy), które zamyka zaznaczone połączenie lub bardziej dosadnie dzięki Process > End Process (również pod PPM), które zamknie cały proces generujący połączenia.

Identyfikowanie maszyn zdalnych

To nie koniec niespodzianek, mamy tu również wbudowany whois, który opowie nam wszystko o zdalnej maszynie z którą nawiązaliśmy połączenie. Dzięki temu możemy szybko sprawdzić co to za serwer i przez kogo zarejestrowany.

tcpview_whois

TCPView ma również mniejszego brata – tcpvcon.exe, który znajduje się z nim w jednej paczce. Działa on w wierszu poleceń i choć nie jest tak sprytny jak NETSTAT, to o wiele lepiej przedstawia dane, co przydaje się w automatyzacji monitorowania portów.

Przeczytaj także...

3 komentarze

  1. pytlar napisał(a):

    niezle, czekam na cala serie o trickach z toolsami sysinternals. jak bez nich zyc? 🙂

  2. CeRDo napisał(a):

    Dołączam się do powyższej propozycji, aby opisywać te narzędzia ;]

  3. Dariusz Góra napisał(a):

    Staramy się sukcesywnie opisywać programy pakietu, ale po waszych komentarzach prace zapewne nabiorą tempa :).
    Już jutro opis praktycznego zastosowania tcpvcon

Dodaj komentarz