이 기사를 읽으면서 귀하의 컴퓨터가 내 웹사이트를 호스팅하는 서버에 연결되어 있음을 확신할 수 있지만, 귀하의 웹 브라우저(web browser) 에서 열려 있는 사이트에 대한 명백한 연결 외에도 귀하의 컴퓨터는 다른 서버의 전체 호스트에 연결되어 있을 수 있습니다. 보이지 않는 것.
대부분의 경우 많은 기술적인 내용을 살펴봐야 하기 때문에 이 기사에 작성된 어떤 것도 하고 싶지 않을 것입니다. 그러나 컴퓨터에 비밀리에 통신해서는 안 되는 프로그램이 있다고 생각한다면 인터넷(Internet) 에서 아래 방법을 사용하면 비정상적인 것을 식별하는 데 도움이 됩니다.
몇 가지 프로그램이 설치된 Windows 와 같은 운영 체제(operating system) 를 실행하는 컴퓨터 는 기본적으로 외부 서버에 많은 연결을 만들게 됩니다. 예를 들어, 재부팅 후 실행 중인 프로그램이 없는 내 Windows 10 컴퓨터에서 (Windows 10)OneDrive , Cortana 및 데스크톱 검색을 포함하여 Windows 자체에서 여러 연결이 이루어집니다. Windows 10 이 (Windows 10)Microsoft 서버와 너무 자주 통신하는 것을 방지할 수 있는 방법에 대해 알아보려면 Windows 10 보안에 대한 제 기사를 읽으십시오 .
컴퓨터가 인터넷(Internet) 에 연결하는 것을 모니터링할 수 있는 세 가지 방법이 있습니다 . 명령 프롬프트(command prompt) 를 사용 하거나 리소스 모니터(Resource Monitor) 를 사용 하거나 타사 프로그램을 사용하는 것입니다. 명령 프롬프트(command prompt) 는 가장 기술적이고 해독하기 어렵기 때문에 마지막 으로 언급하겠습니다 .
리소스 모니터
컴퓨터의 모든 연결을 확인하는 가장 쉬운 방법은 리소스 모니터(Resource Monitor) 를 사용하는 것 입니다. 그것을 열려면 시작 을 클릭한 다음 (Start)리소스 모니터(resource monitor) 를 입력 해야 합니다 . 상단에 여러 탭이 표시되며 클릭하려는 탭은 네트워크(Network) 입니다.
이 탭에는 네트워크 활동 , 네트워크 활동(Network Activity) , TCP 연결( TCP Connections) 및 수신 포트 ( Listening Ports)가 있는 프로세스와(Processes with Network Activity) 같은 다양한 데이터 유형이 있는 여러 섹션이 표시됩니다 .
이 화면에 나열된 모든 데이터는 실시간으로 업데이트됩니다. 열의 머리글을 클릭하여 데이터를 오름차순 또는 내림차순으로 정렬할 수 있습니다. 네트워크 활동 (Processes with Network Activity ) 이 있는 프로세스 섹션의 목록에는 모든 종류의 네트워크 활동(network activity) 이 있는 모든 프로세스가 포함됩니다 . 또한 각 프로세스에 대해 전송 및 수신된 총 데이터 양을 초당 바이트 단위로 볼 수 있습니다. 각 프로세스 옆에 다른 모든 섹션에 대한 필터로 사용할 수 있는 빈 확인란이 있음을 알 수 있습니다.
예를 들어 nvstreamsvc.exe(nvstreamsvc.exe) 가 무엇인지 잘 몰라서 확인하고 다른 섹션의 데이터를 살펴보았습니다. 네트워크 활동(Network Activity) 아래 에서 원격 서버의 IP 주소(IP address) 또는 DNS 이름(DNS name) 을 제공해야 하는 주소(Address) 필드를 확인 하려고 합니다.
그 자체로 여기에 있는 정보가 어떤 것이 좋은지 나쁜지 파악하는 데 반드시 도움이 되는 것은 아닙니다. 프로세스를 식별하는 데 도움이 되도록 일부 타사 웹 사이트를 사용해야 합니다. 첫째, 프로세스 이름(process name) 을 인식할 수 없는 경우 전체 이름(예: nvstreamsvc.exe )을 사용하여 (nvstreamsvc.exe)Google 에 검색하십시오 .
항상 처음 4~5개의 링크를 클릭하면 프로그램이 안전한지 여부를 즉시 알 수 있습니다. 제 경우에는 NVIDIA 스트리밍(NVIDIA streaming) 서비스와 관련이 있었는데, 안전하지만 꼭 필요한 것은 아니었습니다. 특히 이 프로세스는 PC에서 내가 가지고 있지 않은 NVIDIA Shield 로 게임을 스트리밍하기 위한 것입니다. 불행히도 NVIDIA 드라이버(NVIDIA driver) 를 설치하면 필요하지 않은 다른 기능이 많이 설치됩니다.
이 서비스는 백그라운드에서 실행되기 때문에 존재하는지 전혀 몰랐습니다. GeForce 패널(GeForce panel) 에 표시되지 않았으므로 드라이버가 설치되어 있다고 가정했습니다. 이 서비스가 필요하지 않다는 것을 깨달았을 때 NVIDIA 소프트웨어(NVIDIA software) 를 제거 하고 네트워크에서 항상 통신하던 서비스를 제거할 수 있었습니다. 이것이 각 프로세스를 파고드는 것이 가능한 맬웨어를 식별하는 데 도움이 될 뿐만 아니라 해커가 악용할 수 있는 불필요한 서비스를 제거하는 데 어떻게 도움이 되는지 보여주는 한 가지 예입니다.
둘째, 주소(Address) 필드 에 나열된 IP 주소 또는 DNS 이름(IP address or DNS name) 을 조회해야 합니다. 필요한 정보를 제공하는 DomainTools 와 같은 도구를 확인할 수 있습니다 . 예를 들어, 네트워크 활동 아래에서 (Network Activity)steam.exe 프로세스 가 (steam.exe process)IP 주소 208.78.164.10(IP address 208.78.164.10) 에 연결하는 것을 발견했습니다 . 위에서 언급한 도구에 연결했을 때 Steam(Steam) 을 소유한 회사인 Valve 에서 도메인을 제어한다는 사실을 알게 되어 기뻤습니다 .
IP 주소 가 (IP address)중국, 러시아(China or Russia) 또는 기타 이상한 위치 에 있는 서버에 연결되어 있는 경우 문제가 있을 수 있습니다. 프로세스를 인터넷 검색하면 일반적으로 악성 소프트웨어를 제거하는 방법에 대한 기사로 연결됩니다.
타사 프로그램
리소스 모니터(Resource Monitor) 는 훌륭하고 많은 정보를 제공하지만 조금 더 많은 정보를 제공할 수 있는 다른 도구가 있습니다. 내가 추천하는 두 가지 도구는 TCPView 와 CurrPorts 입니다. CurrPorts 가 훨씬 더 많은 데이터를 제공 한다는 점을 제외하면 둘 다 거의 똑같이 보입니다 . 다음은 TCPView의 스크린샷입니다.
가장 관심 있는 행은 State 가 ESTABLISHED 인 행 입니다. 행을 마우스 오른쪽 버튼으로 클릭하여 프로세스를 종료하거나 연결을 닫을 수 있습니다. CurrPorts의 스크린샷은 다음과 같습니다.
다시 말하지만, 목록을 탐색할 때 ESTABLISHED 연결을 보십시오. 하단의 스크롤바에서 볼 수 있듯이 CurrPorts 에는 각 프로세스에 대한 더 많은 열이 있습니다. 이 프로그램을 사용하면 정말 많은 정보를 얻을 수 있습니다.
명령줄
마지막으로 명령줄(command line) 이 있습니다. netstat 명령을 사용 하여 TXT 파일(TXT file) 로 출력되는 모든 현재 네트워크 연결에 대한 자세한 정보를 제공 합니다 . 정보는 기본적으로 Resource Monitor 또는 타사 프로그램에서 얻은 정보의 하위 집합이므로 기술 전문가에게만 유용합니다.
다음은 간단한 예입니다. 먼저 (First)관리자 명령 프롬프트(Administrator command prompt and type) 를 열고 다음 명령을 입력합니다.
netstat -abfot 5 > c:\activity.txt
(Wait)약 1~2분 정도 기다린 다음 키보드에서 CTRL + C 를 눌러 캡처를 중지합니다. 위의 netstat 명령은 기본적으로 5초마다 모든 네트워크 연결 데이터를 캡처하여 (network connection)텍스트 파일(text file) 에 저장합니다 . – abfot 부분은 파일에서 추가 정보를 얻을 수 있도록 매개변수 묶음입니다. 관심이 있는 경우를 대비하여 각 매개변수가 의미하는 바는 다음과 같습니다.
파일을 열면 위의 다른 두 가지 방법에서 얻은 정보와 거의 동일한 정보를 볼 수 있습니다. 프로세스 이름(process name) , 프로토콜, 로컬 및 원격 포트 번호, 원격 IP Address/DNS name , 연결 상태(connection state) , 프로세스 ID 등 .
다시 말하지만(Again) , 이 모든 데이터는 이상한(something fishy) 일이 벌어지고 있는지 여부를 결정하는 첫 번째 단계입니다. 인터넷 검색(Googling) 을 많이 해야 하지만 누군가가 당신을 엿보고 있는지 또는 맬웨어가 컴퓨터에서 원격 서버로 데이터를 보내는지 알 수 있는 가장 좋은 방법입니다. 질문이 있으시면 언제든지 댓글을 남겨주세요. 즐기다!
Monitor Hidden Website and Internet Connections
You can be pretty sure that your computer is connected to the server hosting my website аs you read this article, but in addition to the obvious connections to the sіtes open in your web browser, your computer may be connecting to a whole host of оther servers that are not visiblе.
Most of the time, you’re really not going to want to do anything written in this article since it requires looking at a lot of technical stuff, but if you think there is a program on your computer that shouldn’t be there communicating secretly on the Internet, the methods below will help you identify anything unusual.
It’s worth noting that a computer running an operating system like Windows with a few programs installed will end up making a lot of connections to outside servers by default. For example, on my Windows 10 machine after a reboot and with no programs running, several connections are made by Windows itself, including OneDrive, Cortana and even desktop search. Read my article on securing Windows 10 to learn about ways you can prevent Windows 10 from communicating with Microsoft servers too often.
There are three ways you can go about monitoring the connections that your computer makes to the Internet: via the command prompt, using Resource Monitor or via third-party programs. I’m going to mention the command prompt last since that’s the most technical and hardest to decipher.
Resource Monitor
The easiest way to check out all the connections your computer is making is to use Resource Monitor. To open it, you have to click on Start and then type in resource monitor. You’ll see several tabs across the top and the one we want to click on is Network.
On this tab, you’ll see several sections with different types of data: Processes with Network Activity, Network Activity, TCP Connections and Listening Ports.
All the data listed in these screens are updated in real time. You can click on a header in any column to sort the data in ascending or descending order. In the Processes with Network Activity section, the list includes all the processes that have any kind of network activity. You’ll also be able to see the total amount of data sent and received in bytes per second for each process. You’ll notice there is an empty checkbox next to each process, which can be used as a filter for all the other sections.
For example, I wasn’t sure what nvstreamsvc.exe was, so I checked it and then looked at the data in the other sections. Under Network Activity, you want to look at the Address field, which should give you an IP address or the DNS name of the remote server.
In and of itself, the information here won’t necessarily help you figure out whether something is good or bad. You have to use some third-party websites to help you identify the process. Firstly, if you don’t recognize a process name, go ahead and Google it using the full name, i.e. nvstreamsvc.exe.
Always, click through at least the first four to five links and you’ll instantly get a good idea of whether or not the program is safe or not. In my case, it was related to the NVIDIA streaming service, which is safe, but not something I needed. Specifically, the process is for streaming games from your PC to the NVIDIA Shield, which I don’t have. Unfortunately, when you install the NVIDIA driver, it installs a lot of other features you don’t need.
Since this service run in the background, I never knew it existed. It didn’t show up in the GeForce panel and so I assumed I just had the driver installed. Once I realized I didn’t need this service, I was able to uninstall some NVIDIA software and get rid of the service, which was communicating on the network all the time, even though I never used it. So that’s one example of how digging into each process can help you not only identify possible malware, but also remove unnecessary services that could possibly be exploited by hackers.
Secondly, you should look up the IP address or DNS name listed in the Address field. You can check out a tool like DomainTools, which will give you the information you need. For example, under Network Activity, I noticed that the steam.exe process was connecting to IP address 208.78.164.10. When I plugged that into the tool mentioned above, I was happy to learn that the domain is controlled by Valve, which is the company that owns Steam.
If you see an IP address is connecting to a server in China or Russia or some other strange location, you might have a problem. Googling the process will normally lead you to articles on how to remove the malicious software.
Third Party Programs
Resource Monitor is great and gives you a lot of info, but there are other tools that can give you a little bit more information. The two tools that I recommend are TCPView and CurrPorts. Both pretty much look exactly the same, except that CurrPorts gives you a whole lot more data. Here’s a screenshot of TCPView:
The rows you are mostly interested in are the ones that have a State of ESTABLISHED. You can right-click on any row to end the process or close the connection. Here’s a screenshot of CurrPorts:
Again, look at ESTABLISHED connections when browsing through the list. As you can see from the scrollbar at the bottom, there are many more columns for each process in CurrPorts. You can really get a lot of information using these programs.
Command Line
Finally, there is the command line. We will use the netstat command to give us detailed information about all the current network connections outputted to a TXT file. The information is basically a subset of what you get from Resource Monitor or the third-party programs, so it’s really only useful for techies.
Here’s a quick example. First, open an Administrator command prompt and type in the following command:
netstat -abfot 5 > c:\activity.txt
Wait for about a minute or two and then press CTRL + C on your keyboard to stop the capture. The netstat command above will basically capture all network connection data every five seconds and save it to the text file. The –abfot part is a bunch of parameters so that we can get extra information in the file. Here is what each parameter means, in case you are interested.
When you open the file, you’ll see pretty much the same information that we got from the other two methods above: process name, protocol, local and remote port numbers, remote IP Address/DNS name, connection state, process ID, etc.
Again, all of this data is a first step to determining whether something fishy is going on or not. You’ll have to do a lot of Googling, but it’s the best way to know if someone is snooping on you or if malware is sending data from your computer to some remote server. If you have any questions, feel free to comment. Enjoy!
