TcpViewを使ってみた
最近、詳解インシデントレスポンスを読んでます。不審な接続に注意を払えと
本書に書いてあったのでWindowsでnetstatをわかりやすく表示してくれるツールを探していました。
googleさんに聞いてみるとTcpViewと呼ばれるツールがわかりやすそうだったので使ってみました。
以下のリンクからダウンロードできます。 docs.microsoft.com
RemoteAddressやRemort Portはもちろん、Process NameやProcess IDも同時に見れて表示にわかりやすいです。
header部分にはtcpやudpなどプロトコルで簡単にフィルターができるようになっています。
通信をダブルクリックするとその通信を実行しているアプリケーションは何か表示してくれます。
通信を右クリック→whoisを選択すると通信しているドメインのwhoisを引いてくれるようです。
Ctrl+sで現在表示している通信をcsv形式で保存もできるようです。
cmdからnetstatコマンドで通信一覧を表示するより、かなりわかりやすいのではないでしょうか。
こういったツールを積極的に使っていきたいです。