Página principal » Consejos de computadora » Monitorear sitios web ocultos y conexiones a internet

    Monitorear sitios web ocultos y conexiones a internet

    Puede estar bastante seguro de que su computadora está conectada al servidor que aloja mi sitio web mientras lee este artículo, pero además de las conexiones obvias a los sitios abiertos en su navegador web, su computadora puede conectarse a una gran cantidad de servidores. que no son visibles.

    La mayoría de las veces, realmente no querrá hacer nada escrito en este artículo, ya que requiere ver muchas cosas técnicas, pero si piensa que hay un programa en su computadora que no debería estar allí comunicándose en secreto. En Internet, los siguientes métodos te ayudarán a identificar cualquier cosa inusual..

    Vale la pena señalar que una computadora que ejecute un sistema operativo como Windows con algunos programas instalados terminará haciendo muchas conexiones a servidores externos de manera predeterminada. Por ejemplo, en mi máquina con Windows 10 después de un reinicio y sin programas en ejecución, el propio Windows realiza varias conexiones, incluyendo OneDrive, Cortana e incluso la búsqueda en el escritorio. Lea mi artículo sobre cómo proteger Windows 10 para obtener información sobre las formas en que puede evitar que Windows 10 se comunique con los servidores de Microsoft con demasiada frecuencia..

    Hay tres formas de monitorear las conexiones que su computadora hace a Internet: a través del símbolo del sistema, usando el Monitor de recursos o programas de terceros. Voy a mencionar el indicador de comando al final, ya que es el más técnico y el más difícil de descifrar..

    Monitor de recursos

    La forma más fácil de revisar todas las conexiones que hace su computadora es usar Monitor de recursos. Para abrirlo, debe hacer clic en Inicio y luego escribir monitor de recursos. Verás varias pestañas en la parte superior y en la que queremos hacer clic es Red.

    En esta pestaña, verás varias secciones con diferentes tipos de datos: Procesos con actividad de red, Actividad de red, Conexiones TCP y Puertos de escucha.

    Todos los datos enumerados en estas pantallas se actualizan en tiempo real. Puede hacer clic en un encabezado en cualquier columna para ordenar los datos en orden ascendente o descendente. En el Procesos con actividad de red En la sección, la lista incluye todos los procesos que tienen cualquier tipo de actividad de red. También podrá ver la cantidad total de datos enviados y recibidos en bytes por segundo para cada proceso. Notará que hay una casilla de verificación vacía junto a cada proceso, que se puede usar como filtro para todas las demás secciones.

    Por ejemplo, no estaba seguro de qué nvstreamsvc.exe era, así que lo revisé y luego miré los datos en las otras secciones. En Actividad de red, desea ver el Dirección campo, que debe proporcionarle una dirección IP o el nombre DNS del servidor remoto.

    En sí misma, la información aquí no necesariamente lo ayudará a determinar si algo es bueno o malo. Debe utilizar algunos sitios web de terceros para ayudarlo a identificar el proceso. En primer lugar, si no reconoce el nombre de un proceso, continúe y busque en Google utilizando el nombre completo, es decir. nvstreamsvc.exe.

    Siempre, haga clic en al menos los primeros cuatro o cinco enlaces e instantáneamente obtendrá una buena idea de si el programa es seguro o no. En mi caso, estaba relacionado con el servicio de transmisión de NVIDIA, que es seguro, pero no es algo que necesitaba. Específicamente, el proceso es para la transmisión de juegos desde su PC a NVIDIA Shield, que no tengo. Desafortunadamente, cuando instala el controlador NVIDIA, instala muchas otras funciones que no necesita.

    Como este servicio se ejecutó en segundo plano, nunca supe que existía. No apareció en el panel de GeForce, por lo que asumí que acababa de instalar el controlador. Una vez que me di cuenta de que no necesitaba este servicio, pude desinstalar un poco del software NVIDIA y deshacerme del servicio, que se comunicaba en la red todo el tiempo, aunque nunca lo usé. Este es un ejemplo de cómo investigar cada proceso puede ayudarlo a identificar no solo un posible malware, sino también a eliminar servicios innecesarios que podrían ser explotados por piratas informáticos..

    En segundo lugar, debe buscar la dirección IP o el nombre de DNS que aparece en la Dirección campo. Puede revisar una herramienta como DomainTools, que le dará la información que necesita. Por ejemplo, en Actividad de red, noté que el proceso steam.exe se estaba conectando a la dirección IP 208.78.164.10. Cuando conecté eso en la herramienta mencionada anteriormente, me alegró saber que el dominio está controlado por Valve, que es la empresa propietaria de Steam..

    Si ve que una dirección IP se está conectando a un servidor en China o Rusia u otra ubicación extraña, es posible que tenga un problema. En Google, el proceso normalmente lo llevará a artículos sobre cómo eliminar el software malicioso..

    Programas de Terceros

    El Monitor de recursos es excelente y le brinda mucha información, pero hay otras herramientas que le pueden dar un poco más de información. Las dos herramientas que recomiendo son TCPView y CurrPorts. Ambos casi parecen exactamente iguales, excepto que CurrPorts le da mucha más información. Aquí hay una captura de pantalla de TCPView:

    Las filas que más te interesan son las que tienen una Estado de ESTABLECIDO. Puede hacer clic con el botón derecho en cualquier fila para finalizar el proceso o cerrar la conexión. Aquí hay una captura de pantalla de CurrPorts:

    De nuevo, mira ESTABLECIDO Conexiones al navegar por la lista. Como puede ver en la barra de desplazamiento en la parte inferior, hay muchas más columnas para cada proceso en CurrPorts. Realmente puedes obtener mucha información usando estos programas.

    Línea de comando

    Finalmente, está la línea de comando. Usaremos el netstat comando para proporcionarnos información detallada sobre todas las conexiones de red actuales generadas en un archivo TXT. La información es básicamente un subconjunto de lo que obtiene de Resource Monitor o de los programas de terceros, por lo que es realmente solo útil para los técnicos..

    Aquí hay un ejemplo rápido. Primero, abra un indicador de comando del Administrador y escriba el siguiente comando:

    netstat -abfot 5> c: \ activity.txt

    Espere alrededor de uno o dos minutos y luego presione CTRL + C en su teclado para detener la captura. El comando netstat anterior básicamente capturará todos los datos de conexión de red cada cinco segundos y los guardará en el archivo de texto. los -Abfot parte es un conjunto de parámetros para que podamos obtener información adicional en el archivo. Esto es lo que significa cada parámetro, en caso de que esté interesado.

    Cuando abra el archivo, verá prácticamente la misma información que obtuvimos de los otros dos métodos anteriores: nombre del proceso, protocolo, números de puerto local y remoto, dirección IP remota / nombre DNS, estado de conexión, ID de proceso, etc..

    Una vez más, todos estos datos son un primer paso para determinar si algo sospechoso está sucediendo o no. Tendrás que hacer muchas búsquedas en Google, pero es la mejor manera de saber si alguien te está investigando o si el malware envía datos desde tu computadora a algún servidor remoto. Si tiene alguna pregunta, no dude en comentar. Disfrutar!