Ugrás a tartalomhoz Lépj a menübe
 


portok felügyelete

2012.02.03

 Mivel a netes kommunikáció a TCP és UDP portokon keresztül történik, ezért nem tudjuk, hogy mások honnan, melyik porton keresztül "piszkálnak bele" a rendszerünkbe. Az is lehet, hogy egy tudtunkon kívül futó trójai faló program kommunikál kifelé. Ezért lényeges a portokon zajló folyamatok ellenőrzése.

 

 Egyik jól bevált módszer az Internetes forgalom figyelése. Ennek legegyszerűbb módja, amikor megjelentetjük a létrejött kapcsolat ikonját a tálcán. Forgalom esetén az ikon változtatja a színét. Amikor biztosak vagyunk benne, hogy nem használjuk az Internetet, és mégis folyamatosan jelzi az ikon a kommunikációt, akkor már valami gyanús.
 
-A forgalmi ikon megjelenítéséhez hálózati és telefonos kapcsolatok között kattintsunk az Internet szolgáltatást biztosító kapcsolat nevére a jobboldali egérgombbal és lépjünk a "Tulajdonságok"  menüre.
 
-Az "Általános"  oldal alján aktivizáljuk az "Ikon megjelenítése az értesítési területen a kapcsolat ideje alatt" jelölőnégyzetre (XP). Ezután élő kapcsolat mellett megjelenik a tálcán.
 
A Windows Update ki- vagy bekapcsolt állapotáról a következő módon lehet meggyőződni: Nyomjuk le a WIN+PAUSE billentyűkombinációt a "Rendszertulajdonságok"  ablak megjelenítéséhez.
Lépjünk az "Automatikus frissítések" oldalra és az "Értesítési beállítások" rádiógomb csoportban látható a jelenlegi állapot.
 
1.gif
 
 
 
 
..Az általunk történő megfigyelésnél lényegesen precízebb információhoz jutunk a parancssori NETSTAT.EXE segédprogram használatával. A program elsődleges célja hálózati statisztikák készítéséhez információk gyűjtése. Indítsunk el egy parancssori ablakot és írjuk be:  netstat -noa
 
Ahol az "n" kapcsoló az IP címeket számformátumban és nem gépnevekként jeleníti meg. Az "o" a láthatóvá teszi az adott portot használó program azonosítóját (PID). Az "a" pedig bekapcsolja az összes port listázását. A kapott táblázat "Állapot" ("State") oszlopában láthatjuk, hogy az adott port kész a kommunikációra, de pillanatnyilag inaktív ("Figyel" ("Listenning")) vagy éppen adatforgalmat bonyolít és aktív ("Élő" ("Established")). Ezen kívül még sokféle állapot lehet, amiről az RFC 793 szabvány ír, de témánkhoz az előző kettő kapcsolódik. Lehetséges csak az aktív kapcsolatok listázása is: netstat -o
 
Ha az "Idegen cím" ("Foreign Address") oszlopban felfedezzük, hogy gépünk egy másikkal tart kapcsolatot és a fenti ikonon látszik a folyamatos adatforgalom, akkor lehetőségünk van az adott portot használó program korlátozására.
 
 
Nézzük meg a PID számát, tegyük fel, hogy ez 1688...... Írjuk be parancssorba:      tasklist /fi "pid eq 1688"
 
A rendszer kilistázza a 1688-as azonosítóval ellátott program nevét. A /FI egy szűrést kapcsol be, különben az összes taszk megjelenne. Szűrőfeltételnek a "pid eq  1688"-t írtuk be, ahol a "pid" jelenti az azonosítók vizsgálatát, az "eq" az egyenlőséget és a "1922" a taszk azonosító számát (másképpen pid=1688).
A taszkot a következő utasítással bezárhatjuk,
megszüntetve az általa bonyolított adatforgalmat:  taskkill /pid 1688
 
Ha nem tudjuk bezárni, erőszakkal (force) is kényszeríthetjük rá a /F kapcsolóval
Vigyázzunk, mert a /F-el a rendszerszolgáltatásoktól is megszabadulhatunk, ami a rendszer automatikus újraindítását eredményezi.) :   taskkill /pid 1688 /f