Souhaitez-vous voir avec quels appareils votre ordinateur communique actuellement et supprimer tout ce qui ne vous convient pas ? Windows inclut des utilitaires natifs et dispose également de TCPView de Sysinternals, un outil léger qui affiche les connexions en temps réel et vous permet d'agir dessus sans vous battre avec la console.
Dans les scénarios domestiques ou professionnels, savoir qui parle à qui est essentiel pour diagnostiquer les pannes, ajuster les règles du pare-feu ou bloquer les réseaux indésirables. TCPView et son homologue console, Tcpvcon, offrent une visibilité immédiate au niveau du processus.; et si vous préférez la méthode traditionnelle, netstat reste un outil de base pour les inventaires rapides à partir du terminal.
TCPView : qu'est-ce que c'est et pourquoi est-il plus utile qu'un vidage netstat ?
TCPView est un utilitaire gratuit de Microsoft Sysinternals qui affiche en temps réel tous les points de connexion TCP et UDP sur l'ordinateur, avec adresses locales/distantes, ports et statuts (ESTABLISHED, TIME_WAIT, etc.). Contrairement à la liste textuelle, son interface permet de localiser l'activité de chaque processus en un coup d'œil.
Un avantage différentiel est que TCPView indique le nom du processus propriétaire et, le cas échéant, le service associéAvec cela, vous voyez non seulement l'IP/le port, mais également quel exécutable a ouvert le socket, ce qui est essentiel pour affiner les diagnostics ou rechercher des logiciels malveillants.
L'application actualise la vue toutes les secondes par défaut, bien que Vous pouvez modifier la fréquence dans Options | Fréquence de mise à jourDe plus, le codage couleur facilite la lecture : les nouvelles connexions en vert, les changements d’état en jaune et les fermetures en rouge.
Au-delà de l'observation, TCPView vous permet d'agir : Fermez les connexions TCP établies à partir de Fichier | Fermer les connexions ou avec le menu contextuelIl est idéal pour couper les communications inattendues pendant que vous recherchez ou ajustez les politiques de sécurité.
Si vous devez laisser un enregistrement, le programme enregistrer la sortie dans un fichier avec le menu EnregistrerVous pouvez également activer ou désactiver la résolution du nom de domaine à partir de la barre d'outils ou du menu, selon que vous préférez des noms d'hôtes lisibles par l'homme ou des adresses IP numériques.
L'outil est portable, ne nécessite pas d'installation et peut être exécuté instantanément à l'aide de Sysinternals LiveLe téléchargement actuel est d'environ 15 Mo ; dans le passé, il était plus petit (par exemple, 208 Ko dans certains packages), mais a toujours été léger et prêt à l'emploi.
A titre de référence historique, le projet porte la signature de Mark Russinovich et sa documentation a été récemment mise à jour. Cela implique une maintenance active de la part de l'équipe Sysinternals et restera une pièce fiable dans votre kit d'audit.
Compatibilité, téléchargement et exécution
TCPView fonctionne sur une large gamme de systèmes : Windows 8.1 et versions ultérieures sur le client y Windows Server 2012 ou version ultérieure sur le serveurIl couvre donc la plupart des environnements de bureau et de serveur actuels.
Vous pouvez télécharger l'utilitaire à partir du site Web officiel de Microsoft ou lancez-le à la volée avec Sysinternals Live Si vous ne souhaitez rien télécharger, lorsque vous décompressez, vous trouverez l'interface graphique (Tcpview.exe) et la version console (Tcpvcon.exe), qui partagent les fonctionnalités de base.
Pour observer toute l’activité, exécutez-le avec des privilèges élevésL'ouvrir en tant qu'administrateur vous permet d'afficher les processus et services système qui pourraient autrement être masqués en raison d'un manque d'autorisations.
Comment utiliser TCPView étape par étape
Lorsque vous démarrez l'application, vous verrez une liste de points de terminaison actifs avec colonnes indiquant le processus, le protocole, les adresses/ports et l'étatLe tri par processus ou par port vous aide à regrouper et à détecter des modèles inhabituels en quelques secondes.
Si vous préférez lire les hôtes en clair, activez la résolution de noms. Si vous souhaitez une précision forensique ou éviter les latences DNS, désactiver cette option pour travailler avec des IPDans les audits critiques, les chiffres éliminent l’ambiguïté.
L'interface met en évidence l'activité à chaque rafraîchissement. Une alternance importante de vert et de rouge peut indiquer des reconnexions agressives, des réanalyses ou des tentatives de connexion récurrentes. à partir d'une application, des signes qui devraient être étudiés.
Détectez-vous du trafic indésirable ? Sélectionnez une ou plusieurs lignes dans l'état ÉTABLIE et Fermez le socket avec Fichier | Fermer les connexions ou faites un clic droit. N'oubliez pas qu'il s'agit d'une mesure temporaire : l'application source peut se reconnecter si elle est toujours active.
Pour la documentation ou le travail en équipe, enregistrer un vidage de fenêtre à partir du menu EnregistrerCes preuves sont très utiles pour la corrélation avec les journaux de pare-feu, IDS/IPS ou EDR et, le cas échéant, pour un rapport d'incident.
Tcpvcon : la puissance de TCPView sur la ligne de commande
Si vous êtes plus à l'aise avec les scripts, la planification périodique ou les serveurs sans interface graphique, Tcpvcon offre la même observabilité depuis la consoleLa syntaxe est simple et vous permet d'exporter les résultats pour analyse ou SIEM.
Utilisation de base : tcpvcon Avec cela, vous pouvez lister l'état par processus ou par identifiant, et appliquer les modificateurs les plus utiles dans l'audit quotidien.
Modificateurs en vedette : -a affiche tous les points de terminaison (sans cela, vous verrez principalement les connexions TCP établies), -c imprimer au format CSV pour Excel ou SIEM, et -n évite la résolution de nom pour réduire la latence et gagner en précision.
Un cas typique : vous avez un PID suspect et vous souhaitez voir son activité sans résoudre les noms. Courir tcpvcon -a -n 784 se concentrer sur leurs relations; avec cela, vous entrez dans les détails du processus et évitez le bruit des autres exécutables.
Netstat : commandes clés, comparaison et considérations sur les performances
Netstat est le vétéran qui est toujours là : vous permet d'inspecter les connexions TCP/UDP actives, les ports d'écoute, l'état, les statistiques et la table de routage. Sa sortie est statique (elle se met à jour au redémarrage), mais elle reste très précieuse.
Commandes de référence rapide : netstat (lister les connexions et les ports avec les noms), netstat -n (IP et ports numériques), netstat -a (toutes les connexions et l'écoute), netstat -b (nécessite un administrateur ; associe des exécutables).
Lors de sessions longues, vous pouvez simuler une mise à jour continue avec netstat -n 7 pour actualiser toutes les 7 secondes. Et si vous avez besoin de détails par processus, ajoutez -o pour afficher le PID et le corréler avec le Gestionnaire des tâches.
La syntaxe générale autorise plusieurs paramètres : netstat Utilisez-les judicieusement et uniquement lorsqu’ils ajoutent de la valeur à l’analyse.
Impact sur les performances : si vous utilisez trop netstat (exécutions continues ou exécutions avec trop de paramètres à haute fréquence), peut consommer des ressources importantesRecommandations : Limitez-vous à des cas spécifiques, demandez uniquement les informations nécessaires, évitez les intervalles très courts et envisagez des outils de surveillance spécifiques si vous avez besoin d'un suivi en temps réel.
Avantages mis en évidence : visibilité des connexions actives, surveillance en temps opportun de l'utilisation du réseau, identifier les connexions suspectes, résoudre les incidents et surveiller les sessions entre les clients et les serveurs pour détecter toute persistance anormale.
Il propose également des statistiques par protocole (netstat -s), par interface (netstat -e) Y la table de routage avec netstat -r; avec cela, vous pouvez voir les itinéraires actifs et évaluer si quelque chose ne correspond pas à votre topologie et, si nécessaire, modifier la priorité des interfaces.
Inconvénients et limitations : il ne crypte pas les données et ne possède pas d'interface graphique, sa sortie Cela peut être complexe à interpréter Pour les profils non techniques, et n'est pas évolutif pour les grands réseaux. Dans les systèmes modernes, de nombreuses tâches sont transférées vers PowerShell ou des outils plus performants, mais netstat reste utile à première vue.
Utilisation sous Windows étape par étape : ouvrez CMD ou Terminal en tant qu'administrateur, exécutez netstat un photo rapide, Ajouter -n si vous voulez des IP/ports numériques et filtrer par statut avec findstr si vous recherchez, par exemple, des relations établies.
Exemples pratiques qu’il est utile d’avoir sous la main : netstat -ano (ports ouverts + PID), netstat -a (toutes les connexions), netstat | findstr ESTABLISHED (seulement établi) ou netstat -f (FQDN). Dans certains tutoriels, vous verrez netstat -p IP se concentrer sur IPv4; Sous Windows, le filtre habituel est par protocole spécifique (par exemple TCP/UDP), mais l'idée de restreindre la sortie est valable pour un débogage plus rapide.
Scénarios réels avec TCPView, Tcpvcon et Netstat
Détection de spam sortant : si votre FAI bloque le port 25 pour l'envoi de courrier en masse, Lancez TCPView sur chaque PC pendant une minute Il vous aide à identifier le coupable en affichant plusieurs destinations distantes sur le port 25/587 avec une activité constante.
Machine infectée vs machine propre : Sur une machine compromise, vous verrez plusieurs connexions SMTP simultanées; chez un sujet sain, l'activité sera stable et sans pics anormaux. Une fois le PID suspect identifié, utilisez tcpvcon -a -n 784 pour lister vos prises depuis la console et complétez les preuves, et révisez avec RootkitRevealer si vous suspectez la présence de rootkits.
Exposition indue par NAT/transfert de port : si vous observez connexions éphémères provenant d'adresses IP inconnues Avec un faible volume de données, il peut s'agir de parasites Internet, de scanners ou de tentatives d'intrusion. Vérifiez votre pare-feu, fermez les redirections inutiles et renforcez votre périmètre dès que possible.
Trafic système légitime : voir les connexions associées au PID 4 (Système) vers les contrôleurs de domaine Il ne s'agit pas de logiciels malveillants. Comparez les heures, les ports et les protocoles avec les fonctions du serveur avant de tirer des conclusions hâtives.
Alertes IDS/IPS : Si votre solution de sécurité signale, par exemple, SERVEUR-WEBAPP Linksys série E HNAP TheMoon (tentative RCE), indique des analyses ou des attaques contre des appareils vulnérables. Cela ne signifie pas que votre hôte Windows est compromis, mais que vous devez vérifier votre exposition externe.
Bonnes pratiques lors de la recherche : geler les preuves Sauvegarder la sortie TCPView et les journaux du pare-feu/IDS, vérifier les services ouverts avec netstat/Tcpvcon et les comparer à la configuration attendue, examiner les règles NAT et vérifie les chemins et les signatures des exécutables dans les processus suspects. Fermer les sockets depuis l'interface peut vous donner un peu de répit pendant la mise en œuvre de mesures durables.
Des outils complémentaires pour un audit complet
Pour élargir votre champ de vision, combinez-le avec d'autres utilitaires. TCPView vous donne le « qui et maintenant » au niveau du processus, tandis que d’autres articles traitent de l’exposition et de l’analyse approfondie du trafic.
Capture et analyse de paquets : TCPDump/WinDump (ligne de commande pour vider les paquets ; WinDump nécessite WinPcap/Npcap) et Wireshark (interface graphique permettant de décortiquer les protocoles dans les moindres détails).
Découverte et exposition des services : Nmap est le scanner de port de référence pour découvrir les hôtes, les ports ouverts, les services et même déduire le système d'exploitation ; idéal pour valider ce que vous exposez réellement.
Réseaux sans fil et tests d'intrusion : Aircrack Il est utilisé pour évaluer la force des clés WEP/WPA/WPA2 et analyser les paquets Wi-Fi, et Kali Linux rassemble des dizaines d'outils de tests de pénétration, dont beaucoup disposent d'une interface graphique en plus d'une console.
Autres alternatives et « tout en un » : dans différents scénarios, elles peuvent ajouter de la valeur ipRoute2 (Linux), GlassWire (surveillance et gestion du pare-feu avec un accent sur la confidentialité), Moniteur de disponibilité Uptrends (suivi du site et des performances avec alertes), Germain UX (observabilité orientée secteur), Atera (Suite RMM avec accès à distance), Requin des nuages (analyse et partage de capture), iptraf/iftop (trafic en temps réel par interface) et ss (Statistiques de socket), une alternative moderne et plus propre à netstat sur Linux.
FAQ rapide
Ça peut être utilisé netstat Pour détecter un port utilisé par un logiciel malveillant ? Exécutez netstat -ano pour lister les connexions actives avec leurs PID. Si vous voyez des ports ou des destinations inconnus, vérifiez le processus dans le Gestionnaire des tâches ou avec TCPView et exécutez un antivirus pour confirmer.
Ça sert netstat surveiller en temps réel ? Ce n'est pas conçu pour ça, mais vous pouvez le simuler avec netstat -n pour rafraîchir toutes les X secondes ; pour un temps réel efficace, s'appuyer sur des outils tiers.
Que dois-je faire si je vois IP distantes inconnuesÉtats-Unis netstat -aof pour obtenir le FQDN et le PID, revoir le processus associé et si cela sent étrange, bloquez l'IP dans le pare-feu Windows, exécutez une analyse AV/EDR et déconnectez l'ordinateur du réseau jusqu'à ce que la situation s'améliore.
Aide netstat avec des goulots d'étranglement ? Oui : avec netstat -e y netstat -s vous pouvez voir volume et erreurs par protocoleSi vous détectez des pics ou des pannes anormaux, cela indique une congestion ou des problèmes sur un segment.
Notes mineures qui apparaissent souvent dans les articles et que vous pouvez ignorer
Sur certaines pages, vous verrez des liens contextuels ou promotionnels qui n'ont aucun rapport direct avec l'audit de connexion, tels que Qu'est-ce que KMSpico?, Solutions aux erreurs du Microsoft Store o Listes de programmes vocaux pour les jeuxIls n'affectent pas l'utilisation de TCPView, Tcpvcon ou Netstat, concentrez-vous donc sur les sections techniques.
TCPView brille par son mélange de visibilité et d’action immédiate.Visualisez les processus, les états et les destinations en direct, fermez les sockets si nécessaire et laissez une trace dans un fichier. En combinant Tcpvcon pour les scripts et Netstat pour les inventaires spécifiques, ainsi que des captures et des analyses sélectives, vous pouvez rapidement passer du soupçon à la preuve, que ce soit sur un PC personnel ou un serveur critique.
