ตรวจสอบเว็บไซต์ที่ซ่อนอยู่และการเชื่อมต่ออินเทอร์เน็ต

คุณสามารถมั่นใจได้ว่าคอมพิวเตอร์ของคุณเชื่อมต่อกับเซิร์ฟเวอร์ที่โฮสต์เว็บไซต์ของฉันในขณะที่คุณอ่านบทความนี้ แต่นอกเหนือจากการเชื่อมต่อที่ชัดเจนไปยังไซต์ที่เปิดในเว็บเบราว์เซอร์(web browser)ของคุณแล้ว คอมพิวเตอร์ของคุณอาจเชื่อมต่อกับโฮสต์ของเซิร์ฟเวอร์อื่นทั้งหมด ที่มองไม่เห็น

ส่วนใหญ่คุณจะไม่อยากทำอะไรเลยที่เขียนในบทความนี้เพราะต้องดูเรื่องทางเทคนิคมากมาย แต่ถ้าคุณคิดว่ามีโปรแกรมในคอมพิวเตอร์ของคุณที่ไม่ควรให้มีการสื่อสารอย่างลับๆ บนอินเทอร์เน็ต(Internet)วิธีการด้านล่างจะช่วยให้คุณระบุสิ่งผิดปกติได้

เป็นที่น่าสังเกตว่าคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ(operating system)เช่นWindowsที่ติดตั้งโปรแกรมบางโปรแกรมไว้จะจบลงด้วยการเชื่อมต่อกับเซิร์ฟเวอร์ภายนอกเป็นจำนวนมากโดยค่าเริ่มต้น ตัวอย่างเช่น ใน เครื่อง Windows 10 ของฉันหลังจากรีบูตและไม่มีโปรแกรมใดทำงานอยู่ (Windows 10)Windowsเองสร้างการเชื่อมต่อหลายอย่าง รวมถึง OneDrive , Cortanaและแม้แต่การค้นหาเดสก์ท็อป อ่านบทความของฉันเกี่ยวกับการรักษาความปลอดภัยWindows 10เพื่อเรียนรู้เกี่ยวกับวิธีการที่คุณสามารถป้องกันไม่ให้Windows 10สื่อสารกับ เซิร์ฟเวอร์ ของ Microsoft(Microsoft)บ่อยเกินไป

คุณสามารถตรวจสอบการเชื่อมต่อที่คอมพิวเตอร์ของคุณทำกับอินเทอร์เน็ต(Internet) ได้สามวิธี : ผ่านพรอมต์คำสั่ง(command prompt)ใช้Resource Monitorหรือผ่านโปรแกรมของบริษัทอื่น ฉันจะพูดถึงพรอมต์คำสั่ง(command prompt)สุดท้ายเนื่องจากเป็นเทคนิคที่ยากที่สุดและถอดรหัสยากที่สุด

การตรวจสอบทรัพยากร

วิธีที่ง่ายที่สุดในการตรวจสอบการเชื่อมต่อทั้งหมดที่คอมพิวเตอร์ของคุณกำลังทำคือการใช้Resource Monitor (Resource Monitor)ในการเปิด คุณต้องคลิกที่Start จาก นั้นพิมพ์  Resource monitor คุณจะเห็นแท็บหลายแท็บที่ด้านบน และแท็บที่เราต้องการคลิกคือเครือข่าย(Network)

ตรวจสอบทรัพยากร

บนแท็บนี้ คุณจะเห็นส่วนต่างๆ ที่มีข้อมูลประเภทต่างๆ: กระบวนการที่มีกิจกรรม(Processes with Network Activity) เครือข่าย , กิจกรรมเครือข่าย(Network Activity) , การเชื่อมต่อ TCP( TCP Connections)และพอร์ต( Listening Ports)การ ฟัง

กระบวนการตรวจสอบทรัพยากร

ข้อมูลทั้งหมดที่ระบุไว้ในหน้าจอเหล่านี้จะได้รับการอัปเดตตามเวลาจริง คุณสามารถคลิกที่ส่วนหัวในคอลัมน์ใดก็ได้เพื่อจัดเรียงข้อมูลตามลำดับจากน้อยไปมากหรือจากมากไปน้อย ในส่วนกระบวนการที่มีกิจกรรมเครือข่าย (Processes with Network Activity )รายการจะรวมกระบวนการทั้งหมดที่มีกิจกรรมเครือข่าย(network activity)ทุก ประเภท คุณยังดูจำนวนข้อมูลที่ส่งและรับเป็นไบต์ต่อวินาทีสำหรับแต่ละกระบวนการได้อีกด้วย คุณจะสังเกตเห็นว่ามีช่องทำเครื่องหมายว่างอยู่ถัดจากแต่ละกระบวนการ ซึ่งสามารถใช้เป็นตัวกรองสำหรับส่วนอื่นๆ ทั้งหมดได้

ตัวอย่างเช่น ฉันไม่แน่ใจว่าnvstreamsvc.exeคืออะไร ดังนั้นฉันจึงตรวจสอบแล้วดูข้อมูลในส่วนอื่นๆ ภายใต้กิจกรรมเครือข่าย(Network Activity)คุณต้องการดูช่องที่อยู่(Address)  ซึ่งควรให้ที่อยู่ IP(IP address)หรือชื่อ DNS(DNS name)ของเซิร์ฟเวอร์ระยะไกลแก่คุณ

การตรวจสอบทรัพยากรกระบวนการกรอง

โดยตัวของมันเอง ข้อมูลในที่นี้ไม่ได้ช่วยให้คุณเข้าใจได้ว่าบางอย่างดีหรือไม่ดี คุณต้องใช้เว็บไซต์บุคคลที่สามเพื่อช่วยในการระบุกระบวนการ ประการแรก หากคุณไม่รู้จักชื่อกระบวนการ(process name)ให้ ดำเนิน การต่อโดยใช้ชื่อเต็มของGoogle เช่น (Google)nvstreamsvc.exe

ค้นหากระบวนการ

ให้คลิกผ่านลิงก์อย่างน้อยสี่ถึงห้าลิงก์แรกเสมอ และคุณจะทราบได้ทันทีว่าโปรแกรมนั้นปลอดภัยหรือไม่ ในกรณีของฉัน มันเกี่ยวข้องกับ บริการ สตรีม NVIDIA(NVIDIA streaming)ซึ่งปลอดภัย แต่ไม่ใช่สิ่งที่ฉันต้องการ กระบวนการนี้ใช้สำหรับสตรีมเกมจากพีซีของคุณไปยังNVIDIA Shieldซึ่งฉันไม่มี น่าเสียดาย เมื่อคุณติดตั้งไดรเวอร์ NVIDIA(NVIDIA driver)จะติดตั้งคุณสมบัติอื่นๆ มากมายที่คุณไม่ต้องการ

เนื่องจากบริการนี้ทำงานในเบื้องหลัง ฉันไม่เคยรู้เลยว่ามันมีอยู่จริง มันไม่แสดงในแผง GeForce(GeForce panel)ดังนั้นฉันจึงถือว่าฉันเพิ่งติดตั้งไดรเวอร์ เมื่อฉันรู้ว่าฉันไม่ต้องการบริการนี้แล้ว ฉันก็สามารถถอนการติดตั้งซอฟต์แวร์ NVIDIA(NVIDIA software) บางตัว และกำจัดบริการนั้น ซึ่งมีการสื่อสารบนเครือข่ายอยู่ตลอดเวลา แม้ว่าฉันจะไม่เคยใช้งานเลยก็ตาม นั่นคือตัวอย่างหนึ่งของการเจาะลึกเข้าไปในแต่ละกระบวนการ ไม่เพียงแต่ช่วยให้คุณระบุมัลแวร์ที่เป็นไปได้ แต่ยังลบบริการที่ไม่จำเป็นที่แฮ็กเกอร์อาจใช้ประโยชน์ได้

ประการที่สอง คุณควรค้นหาที่อยู่ IP หรือชื่อ DNS(IP address or DNS name)ที่แสดงในช่องที่อยู่ (Address)คุณสามารถตรวจสอบเครื่องมือ เช่นDomainToolsซึ่งจะให้ข้อมูลที่คุณต้องการ ตัวอย่างเช่น ภายใต้กิจกรรมเครือข่าย(Network Activity)ฉันสังเกตว่ากระบวนการ steam.exe(steam.exe process)กำลังเชื่อมต่อกับ ที่ อยู่IP 208.78.164.10 (IP address 208.78.164.10)เมื่อฉันเสียบมันเข้ากับเครื่องมือที่กล่าวถึงข้างต้น ฉันดีใจที่รู้ว่าโดเมนนั้นถูกควบคุมโดยValveซึ่งเป็นบริษัทที่เป็นเจ้าของSteam

ที่อยู่ IP ของใคร

หากคุณเห็นที่อยู่ IP(IP address)กำลังเชื่อมต่อกับเซิร์ฟเวอร์ในจีนหรือรัสเซีย(China or Russia)หรือตำแหน่งแปลก ๆ คุณอาจมีปัญหา โดยปกติแล้ว Googling กระบวนการจะนำคุณไปสู่บทความเกี่ยวกับวิธีลบซอฟต์แวร์ที่เป็นอันตราย

โปรแกรมบุคคลที่สาม

Resource Monitorนั้นยอดเยี่ยมและให้ข้อมูลมากมายแก่คุณ แต่มีเครื่องมืออื่นๆ ที่สามารถให้ข้อมูลเพิ่มเติมแก่คุณได้เล็กน้อย เครื่องมือสองอย่างที่ฉันแนะนำคือTCPViewและCurrPorts ทั้งสองมีลักษณะเหมือนกันทุกประการ ยกเว้นว่าCurrPortsให้ข้อมูลแก่คุณมากขึ้น นี่คือภาพหน้าจอของ TCPView:

tcpview

แถวที่คุณสนใจเป็นส่วนใหญ่คือแถวที่มีสถานะ(State)เป็นESTABLISHED คุณสามารถคลิกขวาที่แถวใดก็ได้เพื่อสิ้นสุดกระบวนการหรือปิดการเชื่อมต่อ นี่คือภาพหน้าจอของ CurrPorts:

เคอรีพอร์ต

ดูการเชื่อมต่อที่ จัดตั้ง(ESTABLISHED)ขึ้นอีกครั้งเมื่อเรียกดูผ่านรายการ ดังที่คุณเห็นจากแถบเลื่อนที่ด้านล่าง มีคอลัมน์อีกมากมายสำหรับแต่ละกระบวนการในCurrPorts คุณสามารถรับข้อมูลมากมายโดยใช้โปรแกรมเหล่านี้

บรรทัดคำสั่ง

ในที่สุดก็มี บรรทัด คำสั่ง (command line)เราจะใช้ คำสั่ง netstatเพื่อให้ข้อมูลโดยละเอียดเกี่ยวกับการเชื่อมต่อเครือข่ายปัจจุบันทั้งหมดที่ส่งออกไปยังไฟล์TXT (TXT file)ข้อมูลดังกล่าวเป็นส่วนย่อยของสิ่งที่คุณได้รับจากResource Monitorหรือโปรแกรมของบริษัทอื่น ดังนั้นจึงมีประโยชน์เฉพาะสำหรับช่างเทคนิคเท่านั้น

นี่คือตัวอย่างด่วน ขั้นแรก(First)ให้เปิดพรอมต์คำสั่งของผู้ดูแลระบบ แล้วพิมพ์(Administrator command prompt and type)คำสั่งต่อไปนี้:

netstat -abfot 5 > c:\activity.txt

คำสั่ง netstat

รอ(Wait)ประมาณหนึ่งหรือสองนาที แล้วกดCTRL + Cบนแป้นพิมพ์เพื่อหยุดการจับภาพ คำสั่ง netstat ด้านบนจะ เก็บข้อมูล การเชื่อมต่อเครือข่าย(network connection) ทั้งหมด ทุกๆ ห้าวินาที และบันทึกลงในไฟล์(text file)ข้อความ ส่วน – abfotเป็นพารามิเตอร์จำนวนมากเพื่อให้เราได้รับข้อมูลเพิ่มเติมในไฟล์ นี่คือความหมายของแต่ละพารามิเตอร์ ในกรณีที่คุณสนใจ

วิธีใช้คำสั่ง netstat

เมื่อคุณเปิดไฟล์ คุณจะเห็นข้อมูลเดียวกับที่เราได้รับจากอีกสองวิธีข้างต้น: ชื่อกระบวนการ(process name)โปรโตคอล หมายเลขพอร์ตในเครื่องและระยะไกลIP Address/DNS nameสถานะการเชื่อมต่อ(connection state) ID กระบวนการ ฯลฯ .

เอาต์พุต netstat

อีกครั้ง(Again)ข้อมูลทั้งหมดนี้เป็นขั้นตอนแรกในการพิจารณาว่ามีบางสิ่งที่คาว(something fishy)เกิดขึ้นหรือไม่ คุณจะต้องใช้Googling เป็นจำนวนมาก แต่เป็นวิธีที่ดีที่สุดที่จะทราบว่ามีใครแอบดูคุณอยู่หรือไม่ หรือมัลแวร์กำลังส่งข้อมูลจากคอมพิวเตอร์ของคุณไปยังเซิร์ฟเวอร์ระยะไกล หากคุณมีคำถามใด ๆ โปรดแสดงความคิดเห็น สนุก!



ธงชัย สันตติวงศ์

About the author

ฉันเป็นผู้เชี่ยวชาญด้านคอมพิวเตอร์ที่มีประสบการณ์มากกว่า 10 ปี และฉันเชี่ยวชาญในการช่วยเหลือผู้คนในการจัดการคอมพิวเตอร์ในสำนักงาน ฉันได้เขียนบทความเกี่ยวกับหัวข้อต่างๆ เช่น วิธีเพิ่มประสิทธิภาพการเชื่อมต่ออินเทอร์เน็ต วิธีตั้งค่าคอมพิวเตอร์เพื่อประสบการณ์การเล่นเกมที่ดีที่สุด และอื่นๆ หากคุณกำลังมองหาความช่วยเหลือเกี่ยวกับงานหรือชีวิตส่วนตัวของคุณ เราคือคนสำหรับคุณ!


Related posts