Navigaweb

Vedere connessioni TCP porte e utilizzo di internet su PC

Aggiornato il: Scritto Da: - @pomhey
Riassumi con:
Programmi per controllare come i programmi e le applicazioni usano la rete, le porte e le connessioni e come scambiano dati su internet
connessioni e porte aperte su pc Una delle piccole cose che si può fare per migliorare la sicurezza del proprio computer è quello di verificare quali connessioni sono aperte e come viene utilizzata la banda di rete. In particolare, è importante controllare i programmi che tentano di comunicare su Internet o su altre reti interne. Da qualsiasi computer (Windows, Linux o Unix) è possibile verificare qualsiasi connessione TCP e UDP aperta eseguendo il comando netstat dal prompt di comandi DOS.
Netstat mostra le statistiche di rete e visualizza tutte le connessioni in entrata ed in uscita dal computer. Le informazioni più interessanti sono quelle relative agli indirizzi ip e le porte. La porta è rappresentata da un numero fisso ma diverso per ciascun programma che si connette in rete. Per capire cosa significa basta pensare ad una via in città come indirizzo IP ed il numero civico di ogni palazzo è la porta di un programma. Indirizzo IP + numero porta compongono il socket, ossia l'indirizzo completo.

Per leggere tutte le connessioni aperte sul computer si possono usare alcuni programmi che semplificano molto questa operazione di diagnosi. Capire se e come i programmi e le applicazioni usano la rete e scambiano dati su internet è importante per identificare virus e per configurare eventuali router o firewall.

LEGGI ANCHE: Migliori Firewall gratuiti per PC Windows

Monitoraggio immediato senza installare nulla

Il sistema operativo offre strumenti nativi potenti per un controllo rapido. Il Monitoraggio Risorse è spesso più efficace della classica Gestione Attività per questo scopo. Per avviarlo, basta premere il tasto Start, digitare resmon e premere Invio. Nella scheda Rete, la sezione "Connessioni TCP" offre una panoramica dettagliata che include non solo il nome del processo (come chrome.exe), ma anche l'Indirizzo Remoto e la latenza.

Un valore di latenza elevato su un processo che dovrebbe essere inattivo è spesso il primo campanello d'allarme. Se il nome del processo non suggerisce nulla, un clic destro con l'opzione Cerca online aiuta a identificarne l'origine.

L'analisi testuale con Netstat

Per chi necessita di salvare un report o preferisce la precisione della riga di comando, il terminale rimane insostituibile. Eseguendo il Prompt dei comandi come amministratore, il comando da digitare è:

netstat -abno

Questa stringa attiva parametri specifici: -b mostra l'eseguibile responsabile, -n visualizza gli indirizzi numerici evitando ritardi DNS, e -o rivela l'ID del processo (PID). Lo stato ESTABLISHED indica una comunicazione attiva, mentre LISTENING segnala una porta aperta in attesa di connessioni, potenziale punto vulnerabile se non gestito correttamente.

Visione dinamica: da TCPView a Netstalker

Per un monitoraggio in tempo reale più evoluto rispetto agli strumenti di sistema, la soluzione classica è TCPView della suite Microsoft Sysinternals. Questo piccolo eseguibile mostra le connessioni con un codice colore: verde per le nuove aperture, rosso per le chiusure e giallo per i cambi di stato. La sua immediatezza permette di chiudere una connessione o terminare un processo direttamente dal menu contestuale.

Tuttavia, per chi cerca un'interfaccia più moderna e funzioni di sicurezza avanzate, la nuova generazione di strumenti open source offre Netstalker. Questo software eredita la filosofia di TCPView ma la potenzia con un design attuale e una maggiore capacità di interazione. Netstalker permette di analizzare l'attività di rete con una visualizzazione più pulita e include strumenti per bloccare immediatamente processi sospetti, agendo come una sentinella moderna per il traffico dati.

Identificare i server remoti con PortExpert

Sapere che un processo è connesso non basta; spesso è necessario capire con chi sta parlando. Qui entra in gioco PortExpert. A differenza degli altri monitor che si limitano a mostrare l'indirizzo IP, questo software si concentra sull'identificazione della controparte.

PortExpert risolve automaticamente i nomi di dominio e offre tasti rapidi per eseguire un WHOIS sull'indirizzo IP remoto o per cercare informazioni sul processo. È particolarmente utile quando ci si trova davanti a connessioni verso indirizzi IP anonimi: il software aiuta a capire se quell'IP appartiene a una CDN legittima come Amazon AWS o Akamai, oppure a un server di dubbia provenienza.

Analisi e filtri con CurrPorts

Se l'esigenza è storicizzare i dati o applicare filtri granulari, CurrPorts di NirSoft rimane un punto di riferimento tecnico. L'interfaccia è essenziale, ma la quantità di dati estratti è superiore alla media.

CurrPorts consente di filtrare le visualizzazioni per mostrare, ad esempio, solo il traffico sulla porta 443 o di escludere i processi di sistema noti per ripulire la lista. Una funzione distintiva è l'evidenziazione in rosa delle porte sospette o non standard. La capacità di esportare i log in HTML o CSV lo rende ideale per l'assistenza remota o per analisi successive. Mantenere la rotta di Navigaweb nella gestione della sicurezza significa saper usare questi log per prevenire le minacce prima che diventino problemi.

Bloccare le connessioni indesiderate

Osservare il traffico è il primo passo; impedire che un software esca su internet è il secondo. Il firewall di Windows può risultare complesso da configurare per le singole applicazioni. Simplewall come anche Glaswire semplifica radicalmente questa operazione lavorando sulla piattaforma di filtraggio nativa (WFP).

Funzionando in modalità whitelist, Simplewall blocca tutto ciò che non è esplicitamente autorizzato. Alla prima connessione di un programma, una notifica chiede all'utente se consentire l'accesso. Questo approccio mette in luce quanti software insospettabili (calcolatrici, editor di testo, visualizzatori di foto) tentino di collegarsi a server esterni per inviare statistiche d'uso.

Processi contenitore e servizi nascosti

Molte comunicazioni avvengono all'interno di processi generici come svchost.exe. Per decifrare quale specifico servizio di Windows sta consumando dati all'interno di questi contenitori, strumenti come Process Explorer o il già citato Netstalker permettono di ispezionare i thread interni.

È importante monitorare anche il traffico UDP. A differenza del TCP, l'UDP non prevede una conferma di connessione stabile ed è spesso usato per streaming e giochi, ma anche da malware per esfiltrare dati rapidamente. Gli strumenti analizzati in questa guida mostrano anche queste comunicazioni "senza stato", che non vanno ignorate solo perché non appaiono come ESTABLISHED.

Dubbi sull'analisi di rete

Utilizzare uno strumento come questi serve, principalmente a tre motivi:

  • 1) Se internet dovesse andare più piano del solito, la colpa potrebbe essere di un programma o, peggio, di un virus, che consuma banda.
  • 2) Se ci si connette a internet tramite router ed un programma che dovrebbe lavorare online rifiuta la connessione, potrebbe essere necessario aprire la porta di questa applicazione sul router. Con lo strumento di verifica delle connessioni si potrà facilmente leggere quale sia questa porta.
  • 3) Se si è installato un firewall e si volessero creare regole precise e più stringenti, si possono vedere tutte le informazioni che servono: porta e indirizzo ip.
  • 4) Vedere i programmi che si connettono può diventare utile per bilanciare l'utilizzo di banda internet rete e gestire le priorità delle connessioni.

Molto importante, per monitorare la banda di rete ed il traffico internet è il tool per Windows Networx che riesce ad estrarre tutte le principali informazioni per conoscere con chi comunica il computer.

Per finire, ricordo la lista di programmi per risolvere problemi di rete e di connessione internet.





Posta un commento