Quản Trị Mạng - Khi tốc độ kết nối Internet của máy tính trở nên chậm bất thường thì bạn sẽ làm cách nào để kiểm tra chuyện gì đang xảy ra trong hệ thống của mình? Đó có thể là do hiện tượng nghẽn hoặc chậm đường truyền từ phía nhà cung cấp – ISP, hoặc là máy tính của bạn đang bị nhiễm virus, phần mềm độc hại...
Trong bài viết dưới đây, chúng tôi sẽ giới thiệu với các bạn một số thao tác cơ bản để kiểm tra xem cổng (port) nào đang mở, các kết nối đang được thực hiện giúp bạn biết chắc chắn điều gì đang xảy ra với tốc độ Internet của mình.
Kiểm tra các kết nối đang hoạt động với PowerShell (hoặc Command Prompt)
Tùy chọn này sử dụng lệnh netstat để tạo danh sách mọi thứ đã sử dụng kết nối Internet trong một khoảng thời gian nhất định. Bạn có thể thực hiện việc này trên bất kỳ PC nào chạy Windows, từ Windows XP Service Pack 2 cho đến Windows 10. Và, bạn có thể thực hiện việc này bằng PowerShell hoặc Command Prompt. Lệnh này hoạt động giống nhau với cả hai công cụ này.
Nếu bạn đang sử dụng Windows 8 hoặc 10, hãy kích hoạt PowerShell với quyền admin bằng cách nhấn Windows + X, sau đó chọn “PowerShell (Admin)” từ menu Power User. Nếu đang sử dụng Command Prompt thay thế, bạn cũng phải chạy CMD với quyền admin. Nếu đang sử dụng Windows 7, bạn cần nhấn Start, nhập “PowerShell” vào hộp tìm kiếm, nhấp chuột phải vào kết quả, sau đó chọn “Run as administrator”.
Tại dấu nhắc lệnh, hãy nhập lệnh sau, rồi nhấn Enter.
netstat -abf 5 > activity.txt
Tùy chọn –a yêu cầu lệnh hiển thị tất cả các kết nối và cổng lắng nghe. Tùy chọn –b thêm ứng dụng nào đang tạo kết nối vào kết quả. Tùy chọn –f hiển thị tên DNS đầy đủ cho mỗi tùy chọn kết nối, để bạn có thể dễ dàng hiểu nơi thực hiện các kết nối. Tùy chọn 5 yêu cầu lệnh thực hiện thăm dò 5 giây/lần đối với các kết nối (để dễ dàng theo dõi những gì đang diễn ra hơn). Sau đó, biểu tượng “>” được sử dụng để lưu kết quả vào file văn bản có tên “activity.txt”.
Sau khi ra lệnh, hãy đợi vài phút, rồi nhấn Ctrl + C để dừng ghi dữ liệu.
Khi ngừng ghi dữ liệu, bạn cần mở file activity.txt để xem kết quả. Bạn có thể mở file trong Notepad ngay lập tức từ lời nhắc PowerShell bằng cách chỉ cần nhập “activity.txt” rồi nhấn Enter.
File văn bản được lưu trữ trong thư mục \Windows\System32 nếu bạn muốn tìm file sau đó hoặc mở nó trong một trình soạn thảo khác.
File activity.txt liệt kê tất cả các tiến trình trên máy tính (trình duyệt, IM client, chương trình email, v.v...) đã tạo kết nối Internet trong thời gian bạn để lệnh chạy. Điều này bao gồm cả các kết nối đã thiết lập và các cổng mở mà ứng dụng hoặc dịch vụ đang lắng nghe lưu lượng truy cập. File cũng liệt kê các tiến trình được kết nối với những trang web nào.
Nếu bạn nhìn thấy tên tiến trình hoặc địa chỉ trang web không quen thuộc, bạn có thể tìm kiếm thông tin trên Google và xem nó là gì. Nếu nó có vẻ là một trang web xấu, bạn có thể sử dụng tiếp Google để tìm cách loại bỏ.
Kiểm tra kết nối đang hoạt động bằng cách sử dụng TCPView
Tiện ích TCPView tuyệt vời có trong bộ công cụ SysInternals cho phép bạn nhanh chóng xem chính xác những tiến trình đang kết nối với những tài nguyên nào trên Internet và thậm chí cho phép bạn kết thúc tiến trình, đóng kết nối hoặc thực hiện tra cứu Whois nhanh chóng để biết thêm thông tin. Đây chắc chắn là lựa chọn đầu tiên bạn nên nghĩ tới khi cần chẩn đoán sự cố hoặc chỉ cố gắng lấy thêm thông tin về máy tính.
Lưu ý: Khi tải TCPView lần đầu tiên, bạn có thể thấy rất nhiều kết nối từ [System Process] đến tất cả các loại địa chỉ Internet, nhưng điều này thường không phải là vấn đề. Nếu tất cả các kết nối ở trạng thái TIME_WAIT, điều đó có nghĩa là kết nối đang bị đóng và không có tiến trình để gán kết nối, vì vậy chúng sẽ được gán cho PID 0 vì không có PID nào để gán.
Điều này thường xảy ra khi bạn load TCPView lên sau khi đã kết nối với nhiều thứ, nhưng nó sẽ biến mất sau khi tất cả các kết nối đóng và bạn vẫn mở TCPView.
Khi bạn khởi động TCPView, nó sẽ liệt kê tất cả các điểm cuối TCP và UDP đang hoạt động, phân giải tất cả các địa chỉ IP thành tên miền. Bạn có thể sử dụng nút thanh công cụ hoặc mục menu để chuyển đổi hiển thị các tên đã phân giải. TCPView hiển thị tên của tiến trình sở hữu mỗi điểm cuối, bao gồm cả tên service (nếu có).
Theo mặc định, TCPView cập nhật mỗi giây, nhưng bạn có thể sử dụng mục menu Options > Refresh Rate để thay đổi tốc độ. Các điểm cuối thay đổi trạng thái từ bản cập nhật này sang bản cập nhật tiếp theo được đánh dấu bằng màu vàng, những điểm bị xóa được hiển thị bằng màu đỏ và các điểm cuối mới được hiển thị bằng màu xanh lục.
Bạn có thể đóng các kết nối TCP/IP đã thiết lập (những kết nối được gắn nhãn trạng thái ESTABLISHED) bằng cách chọn File > Close Connections hoặc bằng cách nhấp chuột phải vào kết nối và chọn Close Connections từ menu ngữ cảnh kết quả.
Bạn có thể lưu cửa sổ đầu ra của TCPView vào một file bằng cách sử dụng mục menu Save.
Sử dụng CurrPorts
Bên cạnh đó, các bạn có thể tham khảo và sử dụng 1 công cụ miễn phí hỗ trợ – CurrPorts, với chức năng chính là hiển thị tất cả các cổng TCP/IP và UDP trên máy tính. Khi CurrPorts hiển thị từng cổng trong danh sách, chúng ta có thể biết được toàn bộ thông tin và dữ liệu có liên quan bằng cách copy tới clipboard hoặc lưu thành file HTML, file XML hoặc file text thông thường. Bên cạnh đó, chương trình còn hỗ trợ chế độ sắp xếp lại danh mục hiển thị các cột thông tin theo ý muốn của người dùng:
CurrPorts có thể hoạt động tương thích với nhiều nền tảng hệ điều hành Windows như NT, 2000, XP, Server 2003, Server 2008, Vista, và Windows 7.