Làm cách nào để biết chương trình và ID quá trình nào truy cập vào một địa chỉ IP nhất định trong Windows?

19

Có thể bắt, chương trình nào đang truy cập vào một địa chỉ IP cụ thể không?

Tôi thấy máy tính của mình bị ngập và muốn kiểm tra từng địa chỉ một.

Có thể có thể thiết lập một số kiểm toán cho việc này?

windows  windows-8.1  ip  process  network-monitoring 
Dims
nguồn

Câu trả lời:

31

Giải pháp TCPView

TCPView từ SystemIternals sẽ hiển thị "danh sách chi tiết của tất cả các điểm cuối TCP và UDP trên hệ thống của bạn, bao gồm các địa chỉ từ xa và địa phương và trạng thái của các kết nối TCP."

TCPView là một chương trình Windows sẽ hiển thị cho bạn danh sách chi tiết của tất cả các điểm cuối TCP và UDP trên hệ thống của bạn, bao gồm các địa chỉ từ xa và địa phương và trạng thái của các kết nối TCP. Trên Windows Server 2008, Vista và XP, TCPView cũng báo cáo tên của quy trình sở hữu điểm cuối. TCPView cung cấp một tập hợp con thông tin hơn và được trình bày thuận tiện hơn về chương trình Netstat đi kèm với Windows. Tải xuống TCPView bao gồm Tcpvcon, phiên bản dòng lệnh có cùng chức năng.

nhập mô tả hình ảnh ở đây

  • Đảm bảo bạn chưa sử dụng "Giải quyết địa chỉ" để lấy Địa chỉ IP thay vì Tên miền.

    nhập mô tả hình ảnh ở đây

Bạn có thể sắp xếp kết quả theo "Địa chỉ từ xa" để tìm Địa chỉ IP mà bạn quan tâm.

Thí dụ:

  • Ảnh chụp màn hình này cho thấy Firefox kết nối với stackoverflow.com.

    nhập mô tả hình ảnh ở đây

Giải pháp CurrPorts

CurrPorts từ Nirsoft cung cấp chức năng rất giống nhau.

CurrPorts là phần mềm giám sát mạng hiển thị danh sách tất cả các cổng TCP / IP và UDP hiện đang mở trên máy tính cục bộ của bạn. Đối với mỗi cổng trong danh sách, thông tin về quy trình mở cổng cũng được hiển thị, bao gồm tên quy trình, đường dẫn đầy đủ của quy trình, thông tin phiên bản của quy trình (tên sản phẩm, mô tả tệp, v.v.), thời gian quá trình đã được tạo và người dùng đã tạo ra nó.

nhập mô tả hình ảnh ở đây

Thí dụ:

  • Ảnh chụp màn hình này cho thấy Firefox kết nối với stackoverflow.com.

    nhập mô tả hình ảnh ở đây

Nếu tôi muốn đăng nhập kết quả thì sao?

TcpLogView cũng từ Nirsoft cung cấp ghi nhật ký các kết nối TCP.

TcpLogView là một tiện ích đơn giản theo dõi các kết nối TCP đã mở trên hệ thống của bạn và thêm một dòng nhật ký mới mỗi khi kết nối TCP được mở hoặc đóng. Đối với mỗi dòng nhật ký, thông tin sau sẽ được hiển thị: Thời gian chẵn, Loại sự kiện (Mở, Đóng, Nghe), Địa chỉ cục bộ, Địa chỉ từ xa, Tên máy chủ từ xa, Cổng cục bộ, Cổng từ xa, ID tiến trình, Tên quy trình và thông tin quốc gia của IP từ xa (Yêu cầu tải IP riêng về tệp quốc gia.)

nhập mô tả hình ảnh ở đây

Khước từ

Tôi không liên kết với SystemIternals (một phần của Microsoft) hoặc Nirsoft dưới bất kỳ hình thức nào, tôi chỉ là người dùng cuối các tiện ích (miễn phí) của họ.

DavidPostill
nguồn
Tôi sợ rằng không thể bắt được vài gói theo cách này, vì nó đang biến mất nhanh chóng. Tôi cần đăng nhập.
dims
Hãy tưởng tượng tôi muốn bắt ai đang gửi gói đến 88.221.132.207. Làm thế nào để thấy điều đó? Ứng dụng này thậm chí không có khả năng tìm kiếm hoặc lọc. Tức là tôi thậm chí sẽ không thể bắt được nó bằng mắt nếu nó biến mất nhanh chóng.
dims
1
Sau đó, bạn có thể cần một trình thám thính gói như Wireshark
DavidPostill
1
Wiresharkkhông hiển thị ID tiến trình. Tôi cần biết (1) quá trình (2) IP; cả hai
Dims 14/2/2015
6
@Dims Sử dụng TCPLogView cũng từ Nirsoft. Trả lời cập nhật
DavidPostill
8

Trong Windows 7/8 * / 10, bạn có thể sử dụng Resource Monitor -> Tab mạng.

Cách dễ nhất để mở trình giám sát tài nguyên là:

  • Mở Trình quản lý tác vụ (thanh tác vụ bên phải -> Khởi động Trình quản lý tác vụ)
  • Bấm vào tab Hiệu suất
  • Nhấp vào nút Giám sát tài nguyên

Giám sát tài nguyên -> Mạng

* = chưa được xác nhận

Salman A
nguồn
2

Bạn có thể đạt được điều này mà không cần tải xuống các công cụ bổ sung từ trình vỏ lệnh quản trị viên.

Chạy shell lệnh quản trị viên:

  • Nhấn nút bắt đầu
  • Nhập "cmd"
  • Nhấn Ctrl + Shift + Enter

Nhập lệnh: netstat -tabn

Các công tắc có nghĩa như sau:

  • -t Hiển thị trạng thái giảm tải kết nối hiện tại.
    • I E. THÀNH LẬP, NGHE, TIME_WAIT
  • -a Hiển thị tất cả các kết nối và cổng nghe.
  • -b Hiển thị tệp thực thi liên quan đến việc tạo từng kết nối hoặc cổng nghe. Trong một số trường hợp, các tệp thực thi nổi tiếng lưu trữ nhiều thành phần độc lập và trong các trường hợp này, chuỗi các thành phần liên quan đến việc tạo kết nối hoặc cổng nghe được hiển thị. Trong trường hợp này, execablen ame nằm ở [] ở phía dưới, trên cùng là thành phần mà nó được gọi, và cứ thế cho đến khi đạt được TCP / IP. Lưu ý rằng tùy chọn này có thể tốn thời gian và sẽ thất bại trừ khi bạn có đủ quyền.
  • -n Hiển thị địa chỉ và số cổng ở dạng số.

Điều này được thừa nhận là không phức tạp như đầu ra đạt được bởi nhiều tùy chọn GUI nhưng nó hiện diện và có sẵn mà không cần tải xuống các công cụ bổ sung. Nó cũng hoạt động trên Linux với các công tắc hơi khác nhau.

antik
nguồn
1

Như antik đã nói, bạn có thể sử dụng netstat từ trong dấu nhắc lệnh của quản trị viên. Tuy nhiên, tôi khuyên bạn nên sử dụng othay vì b, theo cách đó, đầu ra sẽ nằm trên một dòng cho một mục nhập và bạn có thể lọc thêm bằng tìm. Bạn sẽ không có tên quy trình, nhưng id quá trình:

Ví dụ

netstat -aon | find ":80"

hiển thị tất cả các kết nối bằng cổng 80 (cục bộ hoặc từ xa)

Sau đó, bạn có thể kiểm tra quy trình đó trong Trình quản lý tác vụ hoặc thực hiện một bộ lọc khác trong dấu nhắc lệnh, sử dụng danh sách tác vụ lần này:

tasklist | find "1100"

hoặc là

tasklist /FI "PID eq 1100"
Razvan Popa
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.