Вы заметили, что ноутбук стал странно себя вести: то ли антивирус ругнётся, то ли трафик подозрительно ползёт вверх, когда вы ничего не качаете. Открываете «Монитор ресурсов» или netstat — а там процесс, который лезет куда-то в сеть. Встаёт вопрос: что именно он передаёт, кому и зачем. Обычный антивирус не всегда даёт ответ, а иногда и вовсе молчит. Тут на помощь приходит Wireshark — анализатор трафика, который покажет каждый пакет и разложит его по полочкам.
В этой статье я объясню, как с помощью Wireshark найти подозрительный процесс, понять, что он делает в сети, и принять решение — удалять, лечить или оставлять в покое. Без теории ради теории, только практика.
- Что понадобится перед запуском
- Шаг 1. Запуск захвата трафика
- Шаг 2. Фильтрация по процессу
- Способ 1. Фильтр по IP-адресу и порту
- Способ 2. Фильтр по имени процесса (только Windows + Npcap)
- Шаг 3. Анализ содержимого пакетов
- Шаг 4. Что искать в подозрительном трафике
- Шаг 5. Экспорт данных для дальнейшего анализа
- Сравнение подходов: Wireshark vs альтернативы
- Что делать в зависимости от ситуации
- Частые ошибки при анализе
- Практические рекомендации
- Итог
Что понадобится перед запуском
Для начала убедитесь, что у вас есть три вещи:
- Установленный Wireshark — скачивайте с официального сайта
wireshark.org. Не ставьте с сторонних ресурсов, это банальная предосторожность. - Права администратора — без них Wireshark не сможет захватывать пакеты на интерфейсе.
- Понимание, какой процесс вы ищете — хотя бы имя исполняемого файла или PID, чтобы не тонуть в потоке всего трафика системы.
Если вы ещё не определили подозрительный процесс, откройте диспетчер задач (Windows) или терминал с top / htop (Linux) и посмотрите, кто потребляет сеть. На Windows это видно во вкладке «Процессы» в мониторе ресурсов. На Linux — через nethogs или ss -tunap. Когда имя процесса известно, можно идти в Wireshark.
Шаг 1. Запуск захвата трафика
Запустите Wireshark от имени администратора. Вы увидите список сетевых интерфейсов. Выберите тот, через который идёт активное соединение — обычно это ваш Wi-Fi или Ethernet-адаптер. Нажмите на акулу (Start capturing packets).
Сразу после запуска хлынет поток пакетов. Это нормально — система постоянно чем-то обменивается. Но нам нужен трафик конкретного процесса, поэтому первое, что нужно сделать — отфильтровать лишнее.
Шаг 2. Фильтрация по процессу
Wireshark не показывает напрямую привязку пакетов к процессам в реальном времени (в отличие от, скажем, TCPView). Но мы можем работать иначе.
Способ 1. Фильтр по IP-адресу и порту
Сначала узнайте, с какими адресами обменивается подозрительный процесс. На Windows это удобно сделать через командную строку:
netstat -anobФлаг -o покажет PID процесса, -b — имя исполняемого файла. На Linux:
ss -tunap | grep имя_процессаВы получите что-то вроде:
TCP 192.168.1.15:52344 185.220.101.3:443 ESTABLISHED 4872Здесь 4872 — это PID, а 185.220.101.3:443 — удалённый адрес и порт. Теперь в Wireshark введите фильтр:
ip.addr == 185.220.101.3 && tcp.port == 48344Это покажет только пакеты между вашим компьютером и конкретным сервером. Если адресов несколько — добавьте через ИЛИ:
ip.addr == 185.220.101.3 || ip.addr == 45.33.32.156Способ 2. Фильтр по имени процесса (только Windows + Npcap)
Если при установке Wireshark был выбран Npcap (он идёт по умолчанию), можно использовать фильтр по PID напрямую:
npid == 4872Это самый удобный способ, но он работает не на всех конфигурациях. Если Wireshark ругается на синтаксис — используйте первый способ.
Шаг 3. Анализ содержимого пакетов
Когда трафик отфильтрован, пора смотреть, что внутри. Вот на что обращать внимание:
- DNS-запросы — если процесс резолвит подозрительные домены, вы увидите это в фильтре
dns. Обращайте внимание на длинные рандомные поддомены — это признак туннелирования данных. - HTTP-трафик — фильтр
httpпокажет заголовки, URL, передаваемые данные. Если процесс шлёт POST-запросы на незнакомый сервер — это красный флаг. - TLS/SSL — современный трафик почти весь зашифрован. Вы увидите только адрес и порт назначения. Но даже это информативно: если процесс лезет на IP, которого нет в базе легитимных сервисов — стоит насторожиться.
- Нестандартные порты — если процесс использует порты, нетипичные для своей задачи (например, веб-браузер шлёт данные на порт 4444), это повод копнуть глубже.
Чтобы увидеть данные в читаемом виде, кликните правой кнопкой на пакет → Follow → TCP Stream. Откроется окно с полным содержимым сессии. Для HTTP вы увидите всё как есть — заголовки, параметры, тело ответа. Для TLS — только бинарный мусор, но можно увидеть SNI (Server Name Indication) в Client Hello — там будет имя сервера, к которому идёт обращение.
Шаг 4. Что искать в подозрительном трафике
Не весь непонятный трафик — вредоносный. Вот конкретные признаки, которые должны насторожить:
- Регулярные соединения с IP-адресами, которые не принадлежат известным сервисам (проверяйте через
whoisили VirusTotal). - Широковещательный трафик или соединения с множеством разных IP за короткий промежуток времени — возможен поиск уязвимых хостов в сети.
- Передача большого объёма данных на внешний сервер, особенно если процесс не должен этого делать (например, системный процесс svchost.exe, который отправляет гигабайты данных).
- DNS-запросы к доменам с высокой энтропией имени — случайный набор символов вместо читаемого имени.
- Подключение к известным вредоносным IP — проверяйте через базы угроз, например на
abuseipdb.comилиvirustotal.com.
Шаг 5. Экспорт данных для дальнейшего анализа
Если нужно сохранить результаты для передачи специалисту или для истории:
- Остановите захват (кнопка с красным квадратом).
- Примените нужный фильтр, чтобы в файл попал только релевантный трафик.
- File → Export Specified Packets.
- Выберите формат — обычно PCAPNG, он поддерживается всеми анализаторами.
- Сохраните файл. Его можно потом открыть на другом компьютере или загрузить в онлайн-сервисы анализа.
Сравнение подходов: Wireshark vs альтернативы
Wireshark — мощный инструмент, но не единственный. Вот когда что использовать:
| Инструмент | Когда использовать | Сложность | Главный плюс |
|---|---|---|---|
| Wireshark | Глубокий анализ пакетов, нужно понять содержимое трафика | Высокая | Полный дамп пакетов, декодирование сотен протоколов |
| TCPView (Windows) | Быстро увидеть, кто сейчас подключен к сети | Низкая | Привязка соединений к процессам в реальном времени |
| Process Explorer | Нужно понять, какие сетевые ресурсы использует конкретный процесс | Средняя | Интеграция с детальной информацией о процессе |
| netstat / ss | Быстрая проверка активных соединений без графики | Низкая | Доступен везде, не требует установки |
| Fiddler / Charles | Анализ HTTP/HTTPS-трафика с расшифровкой | Средняя | Удобный просмотр веб-запросов и ответов |
Что делать в зависимости от ситуации
Ситуация 1: нашли подозрительный трафик, но не уверены, вирус ли это.
Сохраните дамп, проверьте IP-адреса через VirusTotal и AbuseIPDB. Если адрес числится в базах — отключите процесс и проверьте систему антивирусом с актуальными базами. Не удаляйте процесс сразу — сначала убедитесь, что это не критически важный системный компонент.
Ситуация 2: процесс шлёт данные на легитимный сервер, но слишком много.
Это может быть обновление, синхронизация или телеметрия. Проверьте, какой сервис владеет IP (через whois). Если это облачный сервис — возможно, всё в порядке. Если нет — ограничьте доступ процесса через брандмауэр и понаблюдайте, восстановится ли работоспособность системы.
Ситуация 3: трафик идёт на неизвестный сервер по нестандартному порту.
Это самый подозрительный случай. Заблокируйте исходящее соединение через брандмауэр, проверьте файл процесса через VirusTotal. Если файл не подписан цифровой подписью или подпись не от известного разработчика — вероятность вредоносного ПО высока.
Частые ошибки при анализе
- Запуск захвата без фильтра. Вы получите тысячи пакетов в секунду и не сможете найти нужное. Всегда применяйте фильтр сразу после начала захвата.
- Удаление процесса до анализа. Если это вредоносное ПО, вы потеряете возможность понять, куда оно отправляло данные и что успело передать. Сначала — анализ, потом — действия.
- Игнорирование DNS-трафика. Многие смотрят только на TCP/UDP, но именно DNS часто выдаёт вредоносные процессы через подозрительные домены.
- Установка Wireshark с неофициальных источников. Сторонние сборки могут содержать вредоносные модификации. Только официальный сайт.
- Попытка расшифровать TLS без ключей. Без настройки логирования ключей клиента или перехвата через прокси вы не увидите содержимое HTTPS-трафика. Не тратьте время — работайте с метаданными (IP, порты, SNI, объём трафика).
Практические рекомендации
- Всегда используйте фильтры с самого начала — это экономит часы работы.
- Сохраняйте дамп перед принятием решений — потом может не быть возможности повторить захват.
- Проверяйте IP-адреса через минимум два источника (VirusTotal + AbuseIPDB или аналоги).
- Если не уверены — изолируйте процесс через брандмауэр, а не удаляйте. Это безопаснее.
- Документируйте находки: скриншоты, фильтры, список подозрительных адресов. Это поможет при передаче дела специалисту.
Итог
Wireshark — это не магия, а инструмент, который даёт вам то, чего не покажет ни один антивирус: полную картину того, что происходит в сети вашего компьютера. Вы увидите каждый пакет, каждый DNS-запрос, каждую попытку соединения. Главное — не пытаться анализировать весь трафик сразу, а сразу сужать фокус фильтрами по IP, порту или PID процесса.
Алгоритм простой: определили подозрительный процесс → узнали его адреса через netstat → отфильтровали трафик в Wireshark → проанализировали содержимое → проверили IP по базам угроз → приняли решение. Если на каком-то шаге застряли — сохраните дамп и покажите тому, кто в этом разбирается лучше. Не нужно быть сетевым инженером, чтобы обнаружить проблему — достаточно знать, куда смотреть.