Dans le cas d'une infection cela peut donc permettre de voir les connexions malicieuses établies, sauf dans le cas de certains malwares avec des capacités de rootkits comme Zbot/Zeus.
La commande Netstat
Netstat est une commande Windows qui permet de lister les connexions établies ou les ports ouverts (les programmes qui ouvrent des sockets en écoute).
La commande peut être pratique dans certains cas, si on a besoin de manipuler avec des listes dans des fichiers textes etc mais vous allez vite voir que pour surveiller les connexions, ce n'est pas vraiment pratique.
Pour lancer, la commande, vous devez ouvrir une invite de commandes : Touche Windows + R et tapez cmd et OK.
ensuite tapez netstat -ano
et appuyez sur entrée.
L'état des connexions va s'afficher sous forme de liste.
Vous obtenez sous forme de lister les états de connexions, avec en colonne : le protocole / Adresse Locale / Adresse Distante / Etat de la connexion (state) / PID du programme.
Si vous désirez visualiser les connexions distantes établies.
Notez que vous pouvez filtrer la liste en pipant la commande "find" et le mot recherche.
Par exemple, si on désire avoir les état LISTENING ou ESTABLISHED :
Pour comprendre les états, vous devez connaître le mécanisme d'établissement d'une connexion TCP/IP client <=> Serveur.
La page suivante donne un bon schéma : http://www.loriotpro.com/Products/On-li ... iew_FR.htm
Sur le netstat de Windows, on peut donc avoir :
- ESTABLISHED : la connexion est étalie, des données transitent.
- LISTENING : un socket est ouvert et en court d'écoute, une connexion peut être établie sur le port ouvert.
- TIME_WAIT : la connexion est en attente après fermeture pour repasser en statut CLOSE (fermé).
Ci-dessous, des ports ouverts sur l'adresse locale avec une écoute sur n'importe quelle adresse distante
A droite la colonne PID, donne le numéro du processus pour connaître les programmes qui ont ouverts les sockets, vous pouvez par exemple ouvrir le gestionnaire de tâches.
(Touche Windows +R et tapez taskmgr et OK).
Sur les colonnes, faites un clic droit et cliquez sur PID Pour ajouter une colonne PID (sur les versions antérieures à Windows 8, allez dans le menu Affichage puis "Selectionner colonnes..." afin de cocher PID.
Si on reprend les connexions établies, on voit bien que le PID 2788 correspond bien à Google Chrome.
Les connexions distantes vers le port 80 sont bien dû à la visite de site WEB.
Comme vous pouvez le voir, il peut être rébarbatif de connaître les programmes qui établissent les connexions, trier la liste retournée par netstat etc.
Heureusement, il existe des programmes qui permettent d'avoir la liste des connexions établies à commencer par le moniteur de ressources de Windows.
Connexions établies : quelques programmes utiles
Depuis Windows Vista, Windows incorpore le Moniteur de ressources systèmes qui permet notamment de lister les connexions établies.
Ci-dessous, une capture d'écran du moniteur de ressources systèmes et netstat - comme vous pouvez le voir, vous avez aussi les octets envoyés et reçus, ce qui peut être interressant comme complément d'informations.
Le programme Currports est un netstat graphique améliorer mais surtout le programme GlassWire (Tutoriel GlassWire) donne beaucoup plus d'informations.
En plus de l'utilisation réseau, vous avez des drapeau qui donne la position géographique des ordinateurs distants, ce qui peut être interressant pour savoir si vous avez des connexions vers des serveurs Russes ou Chinoises par exemple.
