Lister les connexions établies sur Windows

Tutoriels réseau

Modérateur : Mods Windows

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86847
Inscription : 10 sept. 2005 13:57
Contact :

Lister les connexions établies sur Windows

Message par Malekal_morte » 03 janv. 2015 23:09

Voici une page qui vous explique comment lister les connexions établies par les divers programmes (sains ou non) qui tournent sur votre ordinateur.
Dans le cas d'une infection cela peut donc permettre de voir les connexions malicieuses établies, sauf dans le cas de certains malwares avec des capacités de rootkits comme Zbot/Zeus.

La commande Netstat

Netstat est une commande Windows qui permet de lister les connexions établies ou les ports ouverts (les programmes qui ouvrent des sockets en écoute).
La commande peut être pratique dans certains cas, si on a besoin de manipuler avec des listes dans des fichiers textes etc mais vous allez vite voir que pour surveiller les connexions, ce n'est pas vraiment pratique.

Pour lancer, la commande, vous devez ouvrir une invite de commandes : Touche Windows + R et tapez cmd et OK.
ensuite tapez netstat -ano
et appuyez sur entrée.

L'état des connexions va s'afficher sous forme de liste.
Vous obtenez sous forme de lister les états de connexions, avec en colonne : le protocole / Adresse Locale / Adresse Distante / Etat de la connexion (state) / PID du programme.

Si vous désirez visualiser les connexions distantes établies.

Image

Notez que vous pouvez filtrer la liste en pipant la commande "find" et le mot recherche.
Par exemple, si on désire avoir les état LISTENING ou ESTABLISHED :

Image

Pour comprendre les états, vous devez connaître le mécanisme d'établissement d'une connexion TCP/IP client <=> Serveur.
La page suivante donne un bon schéma : http://www.loriotpro.com/Products/On-li ... iew_FR.htm

Image

Sur le netstat de Windows, on peut donc avoir :
  • ESTABLISHED : la connexion est étalie, des données transitent.
  • LISTENING : un socket est ouvert et en court d'écoute, une connexion peut être établie sur le port ouvert.
  • TIME_WAIT : la connexion est en attente après fermeture pour repasser en statut CLOSE (fermé).
Ci-dessous des connexions ESTABLISHED avec l'adresse local 192.168.1.10 vers des adresses distances sur le port 80, on peut donc se dire que ce sont potentiellement des connexions établies par un navigateur WEB vers des serveurs WEB distants.

Image

Ci-dessous, des ports ouverts sur l'adresse locale avec une écoute sur n'importe quelle adresse distante

Image

A droite la colonne PID, donne le numéro du processus pour connaître les programmes qui ont ouverts les sockets, vous pouvez par exemple ouvrir le gestionnaire de tâches.
(Touche Windows +R et tapez taskmgr et OK).
Sur les colonnes, faites un clic droit et cliquez sur PID Pour ajouter une colonne PID (sur les versions antérieures à Windows 8, allez dans le menu Affichage puis "Selectionner colonnes..." afin de cocher PID.

Si on reprend les connexions établies, on voit bien que le PID 2788 correspond bien à Google Chrome.
Les connexions distantes vers le port 80 sont bien dû à la visite de site WEB.

Image

Comme vous pouvez le voir, il peut être rébarbatif de connaître les programmes qui établissent les connexions, trier la liste retournée par netstat etc.
Heureusement, il existe des programmes qui permettent d'avoir la liste des connexions établies à commencer par le moniteur de ressources de Windows.

Connexions établies : quelques programmes utiles

Depuis Windows Vista, Windows incorpore le Moniteur de ressources systèmes qui permet notamment de lister les connexions établies.
Ci-dessous, une capture d'écran du moniteur de ressources systèmes et netstat - comme vous pouvez le voir, vous avez aussi les octets envoyés et reçus, ce qui peut être interressant comme complément d'informations.

Image

Le programme Currports est un netstat graphique améliorer mais surtout le programme GlassWire (Tutoriel GlassWire) donne beaucoup plus d'informations.
En plus de l'utilisation réseau, vous avez des drapeau qui donne la position géographique des ordinateurs distants, ce qui peut être interressant pour savoir si vous avez des connexions vers des serveurs Russes ou Chinoises par exemple.

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Tutoriels Réseau »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité