「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「推荐专栏」:更多干货,请关注专栏《网络安全自学教程》
TCPView是微软提供的一款「查看网络连接」和进程的工具,常用来查看电脑上的TCP/UDP连接。比Windows自带的 netstat 命令更加强大。
TCPView使用教程
1、下载安装
官网下载:
https://learn.microsoft.com/zh-cn/sysinternals/downloads/tcpview
绿色版免安装,解压后双击运行tcpview64.exe。
2、界面字段含义
- Process Name:进程名
- Process ID:进程ID,也就是PID
- Protocol:协议(TCP/UDP)
- State:连接状态
- Local Address:本地地址
- Local Port:本地端口
- Remote Address:(外联)远程地址
- Remote Port:(外联)远程端口
- Create Time:创建时间
- Module Name:模块名
3、常用功能
3.1、刷新时间
单击 Create Time,按照连接「创建时间」倒序,使用时就可以看到最新创建的连接。
新创建的连接是绿色,即将断开的连接是红色。
点工具栏的 View - Update Speed,修改刷新时间,1秒、2秒、5秒、不刷新。
点工具栏的 绿色圆圈图标,可以立即刷新。
3.2、查看进程安装位置
双击进程名或右键 Properties,可以打开进程属性窗口,查看进程的「文件路径」和版本等信息。
3.3、过滤连接状态
点工具栏的旗子图标,可以过滤「连接状态」,选中的会显示,不选中的不显示。
- Listen:服务端处于监听状态,端口放开,等待客户端的连接请求。
- Syn Sent:客户端发送SYN,请求建立连接;发送后等待服务端返回匹配的请求连接。
- Syn Received:服务端收到客户端的SYN,向客户端发送请求同意连接。
- Established:连接建立成功,客户端和服务端开始传输数据。
- Fin Wait 1:等待连接中断的请求,或对先前的连接中断请求进行确认。
- Fin Wait 2:另一边已同意释放。
- Close Wait:等待远程TCP对连接中断的确认
- Closing:等待连接中断的确认。
- Time Wait:等待足够的时间以确保远程TCP接收到连接中断请求的确认
- Closed:连接关闭。
3.4、过滤协议类型
点工具栏的TCP/UDP图标,可以过滤「协议类型」,点亮的显示,不亮的不显示。
3.5、结束进程
选中进程,右键 Kill Process,可以结束进程和对应的连接。有些进程需要用管理员身份打开 TCPView 才能杀掉。
3.6、域名解析
点工具栏的 Options - Resolve Address,可以将IP地址解析为域名。
有时候解析会不准确,按需使用。
4、实战案例
4.1、判断外联IP地址是否恶意
以下图为例,将外联地址Remote Address 放到威胁情报平台(这里用https://ti.qianxin.com/),判断是否恶意。
比如下图这个就是安全的。
4.2、判断系统本身的端口连接
1)像这种源local Adress、目的Remote Address都是同一个地址,基本都是回环地址。没有外联行为,相对安全。
2)根据线程的属性确认系统本身打开的端口,选中线程 - 右键 - process properties,Path 标签 可以看到端口对应的程序路径。
- 如果在
C:\WINDOWS\system32系统目录下,说明是系统文件。 - 如果不在系统目录下,并且名字跟系统程序相似,就很可疑。