Bạn có thể khá chắc chắn rằng máy tính của bạn được kết nối với máy chủ lưu trữ trang web của tôi khi bạn đọc bài viết này, nhưng ngoài các kết nối rõ ràng đến các trang web mở trong trình duyệt web^{(web browser)} của bạn, máy tính của bạn có thể đang kết nối với toàn bộ máy chủ khác mà không nhìn thấy được.

Hầu hết thời gian, bạn thực sự sẽ không muốn làm bất cứ điều gì được viết trong bài viết này vì nó đòi hỏi phải xem xét rất nhiều thứ kỹ thuật, nhưng nếu bạn nghĩ rằng có một chương trình trên máy tính của bạn không nên giao tiếp bí mật. trên Internet , các phương pháp dưới đây sẽ giúp bạn xác định bất kỳ điều gì bất thường.

Cần lưu ý rằng một máy tính chạy hệ điều hành^{(operating system)} như Windows với một vài chương trình được cài đặt sẽ tạo ra rất nhiều kết nối với các máy chủ bên ngoài theo mặc định. Ví dụ: trên máy Windows 10^{(Windows 10)} của tôi sau khi khởi động lại và không có chương trình nào đang chạy, một số kết nối được tạo bởi chính Windows , bao gồm OneDrive , Cortana và thậm chí cả tìm kiếm trên màn hình. Đọc bài viết của tôi về bảo mật Windows 10 để tìm hiểu về các cách bạn có thể ngăn Windows 10 giao tiếp với máy chủ Microsoft quá thường xuyên.

Có ba cách bạn có thể thực hiện để giám sát các kết nối mà máy tính của bạn tạo ra với Internet : qua dấu nhắc lệnh^{(command prompt)} , sử dụng Resource Monitor hoặc qua các chương trình của bên thứ ba. Tôi sẽ đề cập đến dấu nhắc lệnh^{(command prompt)} cuối cùng vì đó là dấu nhắc kỹ thuật nhất và khó giải mã nhất.

Giám sát tài nguyên

Cách dễ nhất để kiểm tra tất cả các kết nối mà máy tính của bạn đang thực hiện là sử dụng Resource Monitor . Để mở nó, bạn phải nhấp vào Bắt đầu^(Start) và sau đó nhập  trình giám sát tài nguyên^{(resource monitor)} . Bạn sẽ thấy một số tab ở trên cùng và tab chúng tôi muốn nhấp vào là Mạng^(Network) .

Trên tab này, bạn sẽ thấy một số phần với các loại dữ liệu khác nhau: Quy trình với Hoạt động^{(Processes with Network Activity)} mạng , Hoạt động mạng^{(Network Activity)} , Kết nối TCP^{( TCP Connections)} và Cổng lắng nghe^{( Listening Ports)} .

Tất cả dữ liệu được liệt kê trong các màn hình này được cập nhật theo thời gian thực. Bạn có thể nhấp vào tiêu đề trong bất kỳ cột nào để sắp xếp dữ liệu theo thứ tự tăng dần hoặc giảm dần. Trong phần Quy trình với Hoạt động Mạng ^{(Processes with Network Activity )} , danh sách bao gồm tất cả các quy trình có bất kỳ loại hoạt động mạng nào^{(network activity)} . Bạn cũng sẽ có thể xem tổng lượng dữ liệu được gửi và nhận theo byte mỗi giây cho mỗi quy trình. Bạn sẽ nhận thấy có một hộp kiểm trống bên cạnh mỗi quy trình, có thể được sử dụng làm bộ lọc cho tất cả các phần khác.

Ví dụ: tôi không chắc nvstreamsvc.exe là gì, vì vậy tôi đã kiểm tra nó và sau đó xem dữ liệu trong các phần khác. Trong Hoạt động mạng^{(Network Activity)} , bạn muốn xem trường Địa chỉ^(Address)  , trường này sẽ cung cấp cho bạn địa chỉ IP^{(IP address)} hoặc tên DNS^{(DNS name)} của máy chủ từ xa.

Về bản chất, thông tin ở đây sẽ không nhất thiết giúp bạn tìm ra điều gì đó tốt hay xấu. Bạn phải sử dụng một số trang web của bên thứ ba để giúp bạn xác định quy trình. Trước tiên, nếu bạn không nhận ra tên quy trình^{(process name)} , hãy tiếp tục và Google nó bằng cách sử dụng tên đầy đủ, tức là nvstreamsvc.exe .

Luôn luôn, nhấp qua ít nhất bốn đến năm liên kết đầu tiên và bạn sẽ ngay lập tức biết được chương trình có an toàn hay không. Trong trường hợp của tôi, nó liên quan đến dịch vụ phát trực tuyến NVIDIA^{(NVIDIA streaming)} , dịch vụ này an toàn, nhưng không phải là thứ tôi cần. Cụ thể, quy trình này dành cho phát trực tuyến trò chơi từ PC của bạn sang NVIDIA Shield mà tôi không có. Thật không may, khi bạn cài đặt trình điều khiển NVIDIA^{(NVIDIA driver)} , nó sẽ cài đặt rất nhiều tính năng khác mà bạn không cần.

Vì dịch vụ này chạy trong nền nên tôi chưa bao giờ biết nó tồn tại. Nó không hiển thị trong bảng điều khiển GeForce^{(GeForce panel)} và vì vậy tôi cho rằng mình vừa mới cài đặt trình điều khiển. Khi tôi nhận ra mình không cần dịch vụ này, tôi có thể gỡ cài đặt một số phần mềm NVIDIA^{(NVIDIA software)} và loại bỏ dịch vụ luôn liên lạc trên mạng, mặc dù tôi chưa bao giờ sử dụng nó. Vì vậy, đó là một ví dụ về cách đào sâu vào từng quy trình có thể giúp bạn không chỉ xác định phần mềm độc hại có thể có mà còn loại bỏ các dịch vụ không cần thiết có thể bị tin tặc khai thác.

Thứ hai, bạn nên tra cứu địa chỉ IP hoặc tên DNS^{(IP address or DNS name)} được liệt kê trong trường Địa chỉ^(Address) . Bạn có thể xem một công cụ như DomainTools , công cụ này sẽ cung cấp cho bạn thông tin bạn cần. Ví dụ: trong Hoạt động mạng^{(Network Activity)} , tôi nhận thấy rằng quá trình steam.exe^{(steam.exe process)} đang kết nối với địa chỉ IP 208.78.164.10^{(IP address 208.78.164.10)} . Khi tôi cắm nó vào công cụ được đề cập ở trên, tôi rất vui khi biết rằng miền được kiểm soát bởi Valve , công ty sở hữu Steam .

Nếu bạn thấy một địa chỉ IP^{(IP address)} đang kết nối với máy chủ ở Trung Quốc hoặc Nga^{(China or Russia)} hoặc một số vị trí lạ khác, có thể bạn đã gặp sự cố. Quá trình này thông thường sẽ dẫn bạn đến các bài viết về cách xóa phần mềm độc hại.

Các chương trình của bên thứ ba

Resource Monitor rất tuyệt và cung cấp cho bạn nhiều thông tin, nhưng có những công cụ khác có thể cung cấp cho bạn thêm một chút thông tin. Hai công cụ mà tôi khuyên dùng là TCPView và CurrPorts . Cả hai đều trông giống hệt nhau, ngoại trừ CurrPorts cung cấp cho bạn nhiều dữ liệu hơn. Đây là ảnh chụp màn hình của TCPView:

Các hàng mà bạn quan tâm nhất là những hàng có Trạng^(State) thái ĐÃ ĐƯỢC THIẾT LẬP^{(ESTABLISHED)} . Bạn có thể nhấp chuột phải vào bất kỳ hàng nào để kết thúc quá trình hoặc đóng kết nối. Đây là ảnh chụp màn hình của CurrPorts:

Một lần nữa, hãy xem các kết nối ĐÃ ĐƯỢC THIẾT LẬP^{(ESTABLISHED)} khi duyệt qua danh sách. Như bạn có thể thấy từ thanh cuộn ở dưới cùng, có nhiều cột khác cho mỗi quy trình trong CurrPorts . Bạn thực sự có thể nhận được rất nhiều thông tin bằng cách sử dụng các chương trình này.

Dòng lệnh

Cuối cùng, có dòng lệnh^{(command line)} . Chúng tôi sẽ sử dụng lệnh netstat^(netstat) để cung cấp cho chúng tôi thông tin chi tiết về tất cả các kết nối mạng hiện tại được xuất ra tệp TXT^{(TXT file)} . Thông tin về cơ bản là một tập hợp con của những gì bạn nhận được từ Resource Monitor hoặc các chương trình của bên thứ ba, vì vậy nó thực sự chỉ hữu ích cho giới công nghệ.

Đây là một ví dụ nhanh. Đầu tiên^(First) , hãy mở dấu nhắc lệnh Quản trị viên và nhập^{(Administrator command prompt and type)} lệnh sau:

netstat -abfot 5 > c:\activity.txt

Chờ^(Wait) khoảng một hoặc hai phút rồi nhấn CTRL + C trên bàn phím để dừng chụp. Lệnh netstat ở trên về cơ bản sẽ nắm bắt tất cả dữ liệu kết nối mạng^{(network connection)} sau mỗi năm giây và lưu vào tệp văn bản^{(text file)} . Phần - abfot là một loạt các tham số để chúng ta có thể lấy thêm thông tin trong tệp. Đây là ý nghĩa của từng tham số, trong trường hợp bạn quan tâm.

Khi bạn mở tệp, bạn sẽ thấy khá nhiều thông tin giống nhau mà chúng tôi nhận được từ hai phương pháp khác ở trên: tên quy trình^{(process name)} , giao thức, số cổng cục bộ và từ xa, IP Address/DNS name , trạng thái kết nối^{(connection state)} , ID quy trình, v.v. .

Một lần nữa^(Again) , tất cả dữ liệu này là bước đầu tiên để xác định xem có điều gì đó đáng^{(something fishy)} sợ đang xảy ra hay không. Bạn sẽ phải thực hiện nhiều thao tác trên Google^(Googling) , nhưng đó là cách tốt nhất để biết liệu ai đó có đang theo dõi bạn hay phần mềm độc hại đang gửi dữ liệu từ máy tính của bạn đến một máy chủ từ xa nào đó. Nếu bạn có bất kỳ câu hỏi nào, hãy bình luận. Vui thích!

Monitor Hidden Website and Internet Connections

You can be pretty sure that your cоmputer is connected to the serνer hosting my websіte as you rеad thiѕ articlе, but in addition to the obvious connections to the sites open in your web browser, your computer maу be connеcting to a whole host of other serverѕ that are not visible.

Most of the time, you’re really not going to want to do anything written in this article since it requires looking at a lot of technical stuff, but if you think there is a program on your computer that shouldn’t be there communicating secretly on the Internet, the methods below will help you identify anything unusual.

It’s worth noting that a computer running an operating system like Windows with a few programs installed will end up making a lot of connections to outside servers by default. For example, on my Windows 10 machine after a reboot and with no programs running, several connections are made by Windows itself, including OneDrive, Cortana and even desktop search. Read my article on securing Windows 10 to learn about ways you can prevent Windows 10 from communicating with Microsoft servers too often.

There are three ways you can go about monitoring the connections that your computer makes to the Internet: via the command prompt, using Resource Monitor or via third-party programs. I’m going to mention the command prompt last since that’s the most technical and hardest to decipher.

Resource Monitor

The easiest way to check out all the connections your computer is making is to use Resource Monitor. To open it, you have to click on Start and then type in resource monitor. You’ll see several tabs across the top and the one we want to click on is Network.

On this tab, you’ll see several sections with different types of data: Processes with Network Activity, Network Activity, TCP Connections and Listening Ports.

All the data listed in these screens are updated in real time. You can click on a header in any column to sort the data in ascending or descending order. In the Processes with Network Activity section, the list includes all the processes that have any kind of network activity. You’ll also be able to see the total amount of data sent and received in bytes per second for each process. You’ll notice there is an empty checkbox next to each process, which can be used as a filter for all the other sections.

For example, I wasn’t sure what nvstreamsvc.exe was, so I checked it and then looked at the data in the other sections. Under Network Activity, you want to look at the Address field, which should give you an IP address or the DNS name of the remote server.

In and of itself, the information here won’t necessarily help you figure out whether something is good or bad. You have to use some third-party websites to help you identify the process. Firstly, if you don’t recognize a process name, go ahead and Google it using the full name, i.e. nvstreamsvc.exe.

Always, click through at least the first four to five links and you’ll instantly get a good idea of whether or not the program is safe or not. In my case, it was related to the NVIDIA streaming service, which is safe, but not something I needed. Specifically, the process is for streaming games from your PC to the NVIDIA Shield, which I don’t have. Unfortunately, when you install the NVIDIA driver, it installs a lot of other features you don’t need.

Since this service run in the background, I never knew it existed. It didn’t show up in the GeForce panel and so I assumed I just had the driver installed. Once I realized I didn’t need this service, I was able to uninstall some NVIDIA software and get rid of the service, which was communicating on the network all the time, even though I never used it. So that’s one example of how digging into each process can help you not only identify possible malware, but also remove unnecessary services that could possibly be exploited by hackers.

Secondly, you should look up the IP address or DNS name listed in the Address field. You can check out a tool like DomainTools, which will give you the information you need. For example, under Network Activity, I noticed that the steam.exe process was connecting to IP address 208.78.164.10. When I plugged that into the tool mentioned above, I was happy to learn that the domain is controlled by Valve, which is the company that owns Steam.

If you see an IP address is connecting to a server in China or Russia or some other strange location, you might have a problem. Googling the process will normally lead you to articles on how to remove the malicious software.

Third Party Programs

Resource Monitor is great and gives you a lot of info, but there are other tools that can give you a little bit more information. The two tools that I recommend are TCPView and CurrPorts. Both pretty much look exactly the same, except that CurrPorts gives you a whole lot more data. Here’s a screenshot of TCPView:

The rows you are mostly interested in are the ones that have a State of ESTABLISHED. You can right-click on any row to end the process or close the connection. Here’s a screenshot of CurrPorts:

Again, look at ESTABLISHED connections when browsing through the list. As you can see from the scrollbar at the bottom, there are many more columns for each process in CurrPorts. You can really get a lot of information using these programs.

Command Line

Finally, there is the command line. We will use the netstat command to give us detailed information about all the current network connections outputted to a TXT file. The information is basically a subset of what you get from Resource Monitor or the third-party programs, so it’s really only useful for techies.

Here’s a quick example. First, open an Administrator command prompt and type in the following command:

netstat -abfot 5 > c:\activity.txt

Wait for about a minute or two and then press CTRL + C on your keyboard to stop the capture. The netstat command above will basically capture all network connection data every five seconds and save it to the text file. The –abfot part is a bunch of parameters so that we can get extra information in the file. Here is what each parameter means, in case you are interested.

When you open the file, you’ll see pretty much the same information that we got from the other two methods above: process name, protocol, local and remote port numbers, remote IP Address/DNS name, connection state, process ID, etc.

Again, all of this data is a first step to determining whether something fishy is going on or not. You’ll have to do a lot of Googling, but it’s the best way to know if someone is snooping on you or if malware is sending data from your computer to some remote server. If you have any questions, feel free to comment. Enjoy!

Related posts

• Ai sở hữu các Internet? Web Architecture Explained

• Cách ép xung Monitor của bạn để có Rate làm mới cao hơn để chơi game

• Internet Comment Etiquette Để cải thiện Social Experience của bạn

• Firefox Monitor Review: Nó là gì và cách nó bảo vệ chi tiết đăng nhập của bạn

• 7 điều lên Bear trong Mind Khi bạn so sánh các nhà cung cấp New Internet

• Cách Find Birthdays trên Facebook

• Cách Download and Install Peacock trên Firestick

• 10 Best Ways lên Child Proof Your Computer

• Cách tìm mật khẩu ẩn & đã lưu trong Windows

• Cách tìm Memories trên Facebook

• Cách thu hồi quyền truy cập trang web của bên thứ ba trên Facebook, Twitter và Google

• Cách Detect Computer & Email Monitoring hoặc Spying Software

• Ngăn người khác sử dụng kết nối Internet không dây của bạn

• Uber Passenger Rating and How là gì để kiểm tra nó

• Kiểm tra độ tuổi của một trang web

• Cách chia sẻ kết nối mạng Wi-Fi trong Windows 11

• Cách mở File với No Extension

• Cách Search Facebook Friends bằng Location, Job hoặc School

• Khắc phục sự cố màn hình trống hoặc đen trên PC

• Flat Panel Display Technology Demystified: TN, IPS, VA, OLED trở lên