Lister les connexions établies sur Windows

Tutoriels réseau

Modérateur : Mods Windows

Malekal_morte
Messages : 116570
Inscription : 10 sept. 2005 13:57

Lister les connexions établies sur Windows

par Malekal_morte »

Voici une page qui vous explique comment lister les connexions établies par les divers programmes (sains ou non) qui tournent sur votre ordinateur.
Dans le cas d'une infection cela peut donc permettre de voir les connexions malicieuses établies, sauf dans le cas de certains malwares avec des capacités de rootkits comme Zbot/Zeus.

La commande Netstat de Windows

Netstat est une commande Windows qui permet de lister les connexions établies ou les ports ouverts (les programmes qui ouvrent des sockets en écoute).
La commande peut être pratique dans certains cas, si on a besoin de manipuler avec des listes dans des fichiers textes etc mais vous allez vite voir que pour surveiller les connexions, ce n'est pas vraiment pratique.

Pour lancer, la commande, vous devez ouvrir une invite de commandes : Touche Windows + R et tapez cmd et OK.
ensuite tapez :

Code : Tout sélectionner

netstat -ano
et appuyez sur entrée.

L'état des connexions va s'afficher sous forme de liste.
Vous obtenez sous forme de lister les états de connexions, avec en colonne : le protocole / Adresse Locale / Adresse Distante / Etat de la connexion (state) / PID du programme.

Si vous désirez visualiser les connexions distantes établies.

Image

Notez que vous pouvez filtrer la liste en pipant la commande findstr et le mot recherche.
Par exemple, si on désire avoir les état LISTENING ou ESTABLISHED :

Image

Pour comprendre les états, vous devez connaître le mécanisme d'établissement d'une connexion TCP/IP client <=> Serveur.
La page suivante donne un bon schéma : L’établissement d’une connexion TCP/IP

Image

Sur netstat de Windows, on peut donc avoir :
  • ESTABLISHED : la connexion est établie, des données transitent.
  • LISTENING : un socket est ouvert et en court d'écoute, une connexion peut être établie sur le port ouvert.
  • TIME_WAIT : la connexion est en attente après fermeture pour repasser en statut CLOSE (fermé).
Ci-dessous des connexions ESTABLISHED avec l'adresse local 192.168.1.10 vers des adresses distances sur le port 80, on peut donc se dire que ce sont potentiellement des connexions établies par un navigateur WEB vers des serveurs WEB distants.

Image

Ci-dessous, des ports ouverts sur l'adresse locale avec une écoute sur n'importe quelle adresse distante

Image

A droite la colonne PID, donne le numéro du processus pour connaître les programmes qui ont ouverts les sockets, vous pouvez par exemple ouvrir le gestionnaire de tâches.
(Touche Windows +R et tapez taskmgr et OK).
Sur les colonnes, faites un clic droit et cliquez sur PID Pour ajouter une colonne PID (sur les versions antérieures à Windows 8, allez dans le menu Affichage puis "Selectionner colonnes..." afin de cocher PID.

Si on reprend les connexions établies, on voit bien que le PID 2788 correspond bien à Google Chrome.
Les connexions distantes vers le port 80 sont bien dû à la visite de site WEB.

Image

Comme vous pouvez le voir, il peut être rébarbatif de connaître les programmes qui établissent les connexions, trier la liste retournée par netstat etc.
Heureusement, il existe des programmes qui permettent d'avoir la liste des connexions établies à commencer par le moniteur de ressources de Windows.

Connexions établies : quelques programmes utiles

Depuis Windows Vista, Windows incorpore le Moniteur de ressources systèmes qui permet notamment de lister les connexions établies.
Ci-dessous, une capture d'écran du moniteur de ressources systèmes et netstat - comme vous pouvez le voir, vous avez aussi les octets envoyés et reçus, ce qui peut être intéressant comme complément d'informations.

Image

Les programmes Currports, TCPView sont un équivalent de netstat mais en graphique. On trouve aussi le programme GlassWire (Tutoriel GlassWire) qui donne aussi beaucoup plus d'informations.
En plus de l'utilisation réseau, vous avez des drapeau qui donne la position géographique des ordinateurs distants, ce qui peut être intéressant pour savoir si vous avez des connexions vers des serveurs Russes ou Chinoises par exemple.

Image

Vous trouverez une liste sur la page suivante : Lister les connexions réseau sur Windows : 9 façons

Liens
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116570
Inscription : 10 sept. 2005 13:57

Re: Lister les connexions établies sur Windows

par Malekal_morte »

Mis à jour.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Tutoriels Réseau »