Quando ci connettiamo a un sito Web, apriamo la posta, usiamo Skype, aggiorniamo il sistema operativo, guardiamo o ascoltiamo dello streaming, stabiliamo una serie di connessioni tra il nostro computer e degli indirizzi remoti che gestiscono il servizio da noi richiesto. Le connessioni possono essere tantissime, per la maggior parte regolari e sicure, ma ci può sempre essere quell’indirizzo strano che state raggiungendo o quella connessione aperta che proprio non riconoscete, magari causata da un malware, e così proveremo a scoprire la loro funzione e destinazione.
CurrPorts
CurrPorts è una delle tante piccole utility portable della Nirsoft, basta scaricare la versione a 32 Bit o quella a 64 Bit, a seconda del vostro sistema operativo, e la traduzione in italiano del programma, estraete il tutto in una cartella qualsiasi e avviate il programma.CurrPorts visualizza il traffico attivo in quel momento, se aprite un nuovo programma questo non si visualizza, bisogna aggiornare la pagina con F5 o cliccando sull’icona vicino al floppy disk. Cliccando con il tasto destro del mouse su un programma attivo appare un menu da cui potete terminare il collegamento o salvare un report dettagliato.
Moo0 Connection Watcher
Moo0 Connection Watcher è distribuito in versione portable, è gratuito solo per gli utenti privati, è un monitor in tempo reale dei programmi collegati al Web, sino a quando è attivo tiene traccia di tutti i nuovi accessi al Web.
Cliccando con il tasto destro del mouse potete terminare la connessione attiva oppure collegarvi al sito Web (ma questa voce non è sempre attiva).
Dal Log potete vedere il trafficio minuto per minuto ed eventualmente salvare un report per analizzarlo.
NoVirusThanks Connection Viewer
NoVirusThanks Connection Viewer è un programma gratuito, che deve essere installato, in grado di visualizzare tutte le connessioni attive e tenerle aggiornate sino a quando rimane aperto.
Anche in condizioni normali, con tutti gli applicativi possibili chiusi, possiamo avere sempre l’antivirus che cerca gli aggiornamenti, qualche file di sistema che “chiama” casa Microsoft o altri applicativi in attesa di collegarsi verso qualcosa.
Basta aprire il browser per vedere le connessioni moltiplicarsi, per saperne di più su quella che non riconoscete e vi sembra strana, ci cliccate sopra con il tasto destro del mouse e potete avviare una serie di ricerche per sapere a chi appartiene l’IP remoto a cui vi state collegando (Lookup Remote IP on Google oppure IP whois lookup) , in quale nazione si trova (Geolocate IP Address) o se si trova in una lista nera di siti pericolosi (IP Address Blacklist Check).
E’ possibile salvare il report delle connessioni aperte, in un file HTML, per farlo analizzare da persone esperte.
Netstat
Un risultato simile, anche se molto più spartano, lo possiamo ottenere con il comando netstat e le opzioni -f -b che ci mostrano i dati e il nome del programma che utilizza la connessione. Se vogliamo salvare il report in un file di testo usiamo il comando netstat -f -b>connessioni.txt.
TCPLogView
TCPLogView è la seconda utility Nirsoft, sempre in versione 32 Bit e 64 Bit, con traduzione in Italiano, estraete in tutto in una cartella qualsiasi e, una volta avviato il programma, TCPLogView tiene sotto controllo tutte le connessioni attive e quelle che vanno ad aggiungersi ad esse sino a quando non lo chiudete.
E’ praticamente identico a Currports, come dati visualizzati, ma non può intervenire per terminare un processo attivo, si tratta solo di un visualizzatore.
TCPView
Scaricate TCPView da questo indirizzo ed estraete il contenuto dell'archivio in una cartella qualsiasi. Avviate il file Tcpview.exe e comparirà la lista di tutti gli applicativi connessi in quel momento con le porte utilizzate, il traffico generato e gli indirizzi cui puntano, il tutto si aggiorna in tempo reale sino a quando tenete aperto il programma.
E’ possibile salvare un report in formato testo (non proprio chiarissimo a dire il vero) e, cliccando con il tasto destro del mouse sopra un programma, chiudere (End Process) il collegamento in corso se non ci sembra regolare, invece Whois permette di visualizzare maggiori informazioni sul sito a cui si è collegati, però non sempre funziona.
Il report
Ecco l’esempio di un report generato da Currports o TcpLogView, da qui si può analizzare tutto il traffico attivo nel momento della sua generazione.
- È necessario eseguire login su TurboLab.it
- La discussione sul forum che contiene i commenti NON deve essere stata chiusa dai moderatori
- Il forum NON deve essere in manutenzione
- L'articolo deve essere stato marcato dall'autore come 'finito'
- Un articolo NON-finito è commentabile se ha ricevuto commenti prima che l'autore lo riportasse in stato NON-finito
]