مراقبة مواقع الويب المخفية واتصالات الإنترنت

يمكنك أن تكون متأكدًا تمامًا من أن جهاز الكمبيوتر الخاص بك متصل بالخادم الذي يستضيف موقع الويب الخاص بي أثناء قراءة هذه المقالة ، ولكن بالإضافة إلى الاتصالات الواضحة بالمواقع المفتوحة في متصفح الويب(web browser) الخاص بك ، قد يكون جهاز الكمبيوتر الخاص بك متصلاً بمجموعة كاملة من الخوادم الأخرى غير المرئية.

في معظم الأوقات ، لن ترغب حقًا في القيام بأي شيء مكتوب في هذه المقالة لأنه يتطلب النظر في الكثير من الأشياء التقنية ، ولكن إذا كنت تعتقد أن هناك برنامجًا على جهاز الكمبيوتر الخاص بك لا ينبغي أن يكون هناك يتواصل سراً على الإنترنت(Internet) ، ستساعدك الطرق أدناه على تحديد أي شيء غير عادي.

تجدر الإشارة إلى أن الكمبيوتر الذي يعمل بنظام تشغيل(operating system) مثل Windows مع تثبيت بعض البرامج سينتهي به الأمر بإجراء الكثير من الاتصالات بالخوادم الخارجية افتراضيًا. على سبيل المثال ، على جهاز Windows 10 الخاص بي بعد إعادة التشغيل وبدون تشغيل أي برامج ، يتم إجراء العديد من الاتصالات بواسطة Windows نفسه ، بما في ذلك OneDrive و Cortana وحتى البحث على سطح المكتب. اقرأ مقالتي حول تأمين Windows 10 للتعرف على الطرق التي يمكنك من خلالها منع Windows 10 من الاتصال بخوادم Microsoft كثيرًا.

هناك ثلاث طرق يمكنك اتباعها لمراقبة الاتصالات التي يقوم بها جهاز الكمبيوتر الخاص بك بالإنترنت(Internet) : عبر موجه الأوامر(command prompt) ، أو باستخدام Resource Monitor أو عبر برامج الجهات الخارجية. سأذكر موجه الأوامر(command prompt) أخيرًا لأن هذا هو الأكثر تقنية والأصعب في فك الشفرة.

مراقب المورد

أسهل طريقة للتحقق من جميع الاتصالات التي يقوم بها جهاز الكمبيوتر الخاص بك هي استخدام Resource Monitor . لفتحه ، يجب عليك النقر فوق ابدأ(Start) ثم كتابة  شاشة المورد(resource monitor) . سترى عدة علامات تبويب في الجزء العلوي والعلامة التي نريد النقر عليها هي الشبكة(Network) .

مراقب المورد

في علامة التبويب هذه ، سترى عدة أقسام بها أنواع مختلفة من البيانات: العمليات مع نشاط الشبكة (Processes with Network Activity)ونشاط(Network Activity) الشبكة واتصالات TCP( TCP Connections) ومنافذ الاستماع( Listening Ports) .

عمليات مراقبة الموارد

يتم تحديث جميع البيانات المدرجة في هذه الشاشات في الوقت الفعلي. يمكنك النقر فوق رأس في أي عمود لفرز البيانات بترتيب تصاعدي أو تنازلي. في قسم العمليات مع نشاط الشبكة (Processes with Network Activity ) ، تتضمن القائمة جميع العمليات التي لها أي نوع من نشاط الشبكة(network activity) . ستتمكن أيضًا من رؤية المبلغ الإجمالي للبيانات المرسلة والمستلمة بالبايت في الثانية لكل عملية. ستلاحظ وجود مربع اختيار فارغ بجوار كل عملية ، والذي يمكن استخدامه كعامل تصفية لجميع الأقسام الأخرى.

على سبيل المثال ، لم أكن متأكدًا من ماهية nvstreamsvc.exe ، لذلك قمت بفحصه ثم نظرت إلى البيانات الموجودة في الأقسام الأخرى. ضمن نشاط الشبكة(Network Activity) ، تريد إلقاء نظرة على حقل العنوان(Address)  ، والذي يجب أن يمنحك عنوان IP(IP address) أو اسم DNS(DNS name) للخادم البعيد.

تصفية مراقبة موارد العملية

في حد ذاتها ، المعلومات الواردة هنا لن تساعدك بالضرورة على معرفة ما إذا كان الشيء جيدًا أم سيئًا. يجب عليك استخدام بعض مواقع الطرف الثالث لمساعدتك في تحديد العملية. أولاً ، إذا لم تتعرف على اسم العملية(process name) ، فاستمر في البحث في Google باستخدام الاسم الكامل ، أي nvstreamsvc.exe .

البحث عن العملية

دائمًا ، انقر فوق الروابط الأربعة إلى الخمسة الأولى على الأقل وستحصل على الفور على فكرة جيدة عما إذا كان البرنامج آمنًا أم لا. في حالتي ، كان مرتبطًا بخدمة بث NVIDIA(NVIDIA streaming) ، وهي آمنة ، ولكنها ليست شيئًا أحتاجه. على وجه التحديد ، هذه العملية مخصصة لدفق الألعاب من جهاز الكمبيوتر الخاص بك إلى NVIDIA Shield ، وهو ما لا أملكه. لسوء الحظ ، عند تثبيت برنامج تشغيل NVIDIA(NVIDIA driver) ، فإنه يقوم بتثبيت الكثير من الميزات الأخرى التي لا تحتاجها.

نظرًا لأن هذه الخدمة تعمل في الخلفية ، لم أكن أعلم أبدًا بوجودها. لم تظهر في لوحة GeForce(GeForce panel) ولذا افترضت أنني قمت للتو بتثبيت برنامج التشغيل. بمجرد أن أدركت أنني لست بحاجة إلى هذه الخدمة ، تمكنت من إلغاء تثبيت بعض برامج NVIDIA(NVIDIA software) والتخلص من الخدمة ، التي كانت تتواصل على الشبكة طوال الوقت ، على الرغم من أنني لم أستخدمها مطلقًا. هذا مثال على كيف أن البحث في كل عملية يمكن أن يساعدك ليس فقط في تحديد البرامج الضارة المحتملة ، ولكن أيضًا إزالة الخدمات غير الضرورية التي يمكن أن يستغلها المتسللون.

ثانيًا ، يجب عليك البحث عن عنوان IP أو اسم DNS(IP address or DNS name) المدرج في حقل العنوان . (Address)يمكنك التحقق من أداة مثل DomainTools ، والتي ستمنحك المعلومات التي تحتاجها. على سبيل المثال ، ضمن نشاط الشبكة(Network Activity) ، لاحظت أن عملية steam.exe(steam.exe process) كانت تتصل بعنوان IP 208.78.164.10(IP address 208.78.164.10) . عندما قمت بتوصيل ذلك بالأداة المذكورة أعلاه ، كنت سعيدًا بمعرفة أن المجال يتحكم فيه Valve ، وهي الشركة التي تمتلك Steam .

عنوان IP whois

إذا رأيت أن عنوان IP(IP address) يتصل بخادم في الصين أو روسيا(China or Russia) أو بعض المواقع الغريبة الأخرى ، فقد تكون لديك مشكلة. ستؤدي عملية البحث في Google عادةً إلى مقالات حول كيفية إزالة البرامج الضارة.

برامج الطرف الثالث

يعد Resource Monitor(Resource Monitor) أمرًا رائعًا ويوفر لك الكثير من المعلومات ، ولكن هناك أدوات أخرى يمكن أن توفر لك القليل من المعلومات. الأداتان اللذان أوصي بهما هما TCPView و CurrPorts . كلاهما يبدوان متشابهين تمامًا ، باستثناء أن CurrPorts يمنحك الكثير من البيانات. هذه لقطة شاشة من TCPView:

tcpview

الصفوف التي تهتم بها في الغالب هي تلك التي لها (ESTABLISHED)حالة(State) التأسيس . يمكنك النقر بزر الماوس الأيمن فوق أي صف لإنهاء العملية أو إغلاق الاتصال. إليك لقطة شاشة لـ CurrPorts:

تماثيل

مرة أخرى ، انظر إلى اتصالات ESTABLISHED عند تصفح القائمة. كما ترى من شريط التمرير في الأسفل ، هناك العديد من الأعمدة لكل عملية في CurrPorts . يمكنك حقًا الحصول على الكثير من المعلومات باستخدام هذه البرامج.

سطر الأوامر

أخيرًا ، هناك سطر الأوامر(command line) . سنستخدم الأمر netstat لتزويدنا بمعلومات مفصلة حول جميع اتصالات الشبكة الحالية التي تم إخراجها إلى ملف TXT(TXT file) . المعلومات هي أساسًا مجموعة فرعية مما تحصل عليه من Resource Monitor أو برامج الجهات الخارجية ، لذا فهي مفيدة حقًا للتقنيين فقط.

هنا مثال سريع. أولاً(First) ، افتح موجه أوامر المسؤول واكتب(Administrator command prompt and type) الأمر التالي:

netstat -abfot 5 > c:\activity.txt

الأمر netstat

انتظر(Wait) لمدة دقيقة أو دقيقتين ثم اضغط على CTRL + C على لوحة المفاتيح لإيقاف الالتقاط. سيقوم الأمر netstat أعلاه بالتقاط جميع بيانات اتصال الشبكة(network connection) كل خمس ثوانٍ وحفظها في الملف النصي(text file) . الجزء - abfot عبارة عن مجموعة من المعلمات حتى نتمكن من الحصول على معلومات إضافية في الملف. إليك ما تعنيه كل معلمة ، في حال كنت مهتمًا.

تعليمات الأمر netstat

عند فتح الملف ، سترى إلى حد كبير نفس المعلومات التي حصلنا عليها من الطريقتين الأخريين أعلاه: اسم العملية(process name) ، والبروتوكول ، وأرقام المنافذ المحلية والبعيدة ، IP Address/DNS name ، وحالة الاتصال(connection state) ، ومعرف العملية ، إلخ. .

ناتج netstat

مرة أخرى(Again) ، كل هذه البيانات هي الخطوة الأولى لتحديد ما إذا كان هناك شيء مريب(something fishy) يحدث أم لا. سيتعين عليك القيام بالكثير من البحث في Googling ، ولكنها أفضل طريقة لمعرفة ما إذا كان شخص ما يتطفل عليك أو إذا كانت البرامج الضارة ترسل بيانات من جهاز الكمبيوتر الخاص بك إلى خادم بعيد. إذا كان لديك أي أسئلة ، فلا تتردد في التعليق. استمتع!



لميس الذكير

About the author

أنا خبير في الكمبيوتر وأساعد الأشخاص في استخدام أجهزة الكمبيوتر الخاصة بهم منذ عام 2009. تشمل مهاراتي أجهزة iPhone والبرامج والأدوات الذكية والمزيد. كما أنني أعمل كمدرس على مدى السنوات الأربع الماضية. في ذلك الوقت ، تعلمت كيفية مساعدة الأشخاص على تعلم برامج جديدة وكيفية استخدام أجهزتهم بطريقة احترافية. أستمتع بإعطاء النصائح حول كيفية تحسين مهاراتي حتى ينجح الجميع في العمل أو المدرسة.


Related posts