Как узнать, каким процессом используется порт TCP в Windows Server 2008
Системным администраторам Windows часто приходится отслеживать потребление сетевого трафика и выяснять, какие вредоносные процессы вызывают его перерасход. Приведенные в этой статье сценарии значительно облегчают процесс поиска «злоумышленников», позволяя определить, каким процессом используется тот или иной порт.
Для того, чтобы выявить механизмы потребления сетевого трафика, системным администраторам приходится переходить от одного сервера к другому и всякий раз обращаться к сложным сетевым утилитам. В Windows Server 2008 и более ранних версиях существует возможность получить эти данные и локально. Для того, чтобы выяснить, каким процессом используется тот или иной порт Windows Server, можно воспользоваться командами netstat и tasklist. (См. статью "Получение списка открытых портов и прослушивающих порты служб" - прим. ред.)
Узнать, какой сетевой трафик используется на уровне портов, можно с помощью команды Netstat -a -n -o. Параметр -o позволяет определить идентификационной номер процесса (PID), использующего порт. Результат выполнения этой команды показан на рис. A.
Рисунок A
Получив идентификационные номера процессов, можно запустить Диспетчер задач Windows (Windows Task Manager) (taskmgr.exe) или выполнить сценарий с идентификационным номером процесса, использующего порт. Можно для этого воспользоваться и командой tasklist с номером процесса, использующего интересующий вас порт. В нашем примере порты 5800 и 5900 используются процессом с идентификационным номером 1812. На рис. B показан результат выполнения команды tasklist с этим PID.
Рисунок B
Как видно из рисунка, эти порты используются процессом VNC. Это, в принципе, можно выяснить и простым поиском в Google, но для выявления вирусных процессов, запущенных в Windows Server 2008, эти две команды просто незаменимы.
