Отслеживание потребления трафика службами
 

Приветствую!
Есть проблема с бесконтрольным потреблением службами трафика интернет. Пробовал разное ПО для отслеживания, например мониторинг сети встроенный в Kaspersky Endpoint Security (официальный) показывает что трафик потребляет процесс "Host Process for Windows Services", а какая конкретно служба - не показывает, соответственно не ясно какую службу надо приструнить. Пробовал NetWorx - та же история, подробностей по службам нет. Что можете подсказать?

JohnySC, в Creators Update 1703 для большинства служб отдельные процессы https://vk.com/wall-81672804_3794 (так что это вам еще один повод обновиться)

А так, идентифицируете список служб под конкретным svchost и выделяете их в отдельные процессы - вероятных кандидатов сначала или/и методом половинного деления
Да, с пробелом после "=".

Вернуть под svchost:

Спасибо, попробую. Но думаю вопрос не решится, по причине того, что выше описанные проги, даже не предоставляют информации какой конкретно процесс svchost занимается скачиванием.

Process Explorer?

Есть, и как он мне может помочь?

Там есть конечно Network Receives Bytes, но оно считает за время работы программы и также без разбивки по службам. Уже смотрю эти показания с неделю, но так и не отловил пока кандидатов, т.к. это происходит похоже чаще в момент простоя компьютера.

Ну да-да, можно сидеть и пялить в монитор часами ожидая когда там кто начнет качать... Не уж-то никакого ПО для этого нет?

JohnySC, Вы хотите такую программу, которая Вам выдаст подробный отчёт о том кто когда и сколько скачал?

Ну конечно, это ж не такая уж и сложная задача, вот у каспера например, это же есть, но почему по службам не смогли разбить, хз

JohnySC,

• TCPView
• CurrPorts

Добавляете необходимые колонки и сортируете полученные данные необходимым вам способом.

Поясните плиз, может чего не понимаю - там же только активные соединения - там нет трафика. Я ж говорю, что не могу увидить похоже из-за того, что активизируется эта служба при простое, так что если я сижу и смотрю, то ничего подозрительного не происходит в данный момент

Думаю Вам сюда, что бы не повторят все здесь.
http://forum.ru-board.com/topic.cgi?...c=5493&start=0

hookyurij, это невежливо. С таким же успехом можно было дать ссылку на Гугл (http://www.google.ru/). Вопрос был чётко сформулирован, соответственно имеет чёткий ответ. Вы же посылаете человека шерстить многостраничную тему на другом форуме. Он там зарегистрируется и останется, а мы так и не узнаем правильного ответа. Будьте любезны сами найти и выложить здесь ответ, если он существует.

Я думаю, что вопрос JohnySC достаточно сложен, так как он хочет получить расклад именно по службам, а не только по процессам.
JohnySC, установите (обновите) последнюю версию десятки (1703). Она хороша тем, что в ней процессов стало больше, а служб (на один процесс) меньше. Это облегчит Вам поиск именно службы. Правда я не вижу поводов для беспокойства. Ну потребляется трафик, что в этом страшного? У Вас интернет спутниковый помегабайтный? Если безлимит, то нет проблем.

у меня периодически (в разъездах на месяц-два) интернет только мобильный, и соответственно это очень критично. Был бы безлимит - такие вопросы конечно меня б не интересовали. Про обновление - попробую, конечно отпишусь как что

JohnySC,

Попробуйте рекомендации. Проследите, есть ли проблема.

• How to Restrict & Monitor Mobile Data Usage on Windows 8.1
• How to Limit Windows 10 Data Use Over a Metered Connection
• Фишки Windows: контроль трафика магазинных приложений

JohnySC, если вы свой интернет раздаёте с телефона (точка доступа Wi-Fi), то просто назначьте эту сеть как лимитную и потребление трафика резко снизится. Если телефон подключается кабелем или используется модем, то сеть и так является лимитной по умолчанию.
Ещё сэкономить трафик можно с помощью Оперы, включив блокировку рекламы и режим турбо. Не знаю в каких регионах Вы бываете в командировках, но в европейской части России мобильный интернет по карману не бьёт, если конечно не смотреть фильмы десятками. А если и смотреть, то трафик самой системы ничтожен по сравнению с браузерным.
Это я уверенно говорю потому, что многие мои знакомые живут в частном секторе где интернет только мобильный, у большинства десятка, пока никто не жаловался на несанкционированную утечку трафика, обычно не хватает именно по причине активного просмотра онлайн видео.

назначено
мне не нужно экономить трафик - это я и так умею, мне нужно чтоб его не тратила бесконтрольно система, или какие-то службы не системные, это мне и нужно выяснить. Остальное к теме не относится.

мой обычный расход трафика 100-300 Мб в день, а службы/процессы умудряются потратить до 4Гб за несколько часов, что является больше чем половиной моего месячного трафика

Да, эти рекомендации давно выполнял уже, пока конкретного результата не заметил.
Обновление до Creators Update 1703 поставил, понаблюдаю

JohnySC, поставьте Comodo Firewall, в нём есть подробная статистика по процессам и трафику. Если что-то не понравится, то можно заблокировать "наглеца".

И вообще, он очень богат всяческими настройками. Можно включить режим обучения, тогда по каждому поводу будут задаваться вопросы. Думаю, Вам понравится. :)

В принципе Вам уже там ответили чем посмотреть. Как промежуточная информация
Защита от Windows 10
Защита персональных данных в Windows 10. Подробный анализ.

Затем Вы плавно перейдете сюда
Тонкая настройка брандмауэра Windows

Можете ради интереса пройти путь этих людей, а можете просто настроить свой брандмауэр согласно советам.
Есть например программа
simplewall

Я же вам объяснил, как сделать для каждой службы отдельный процесс.

TCPView запустить и оставить.

Ну запустил я TCPView и оставил. Запустил браузер, посерфил, закрыл. Где статистика в TCPView? :dont-know

да, вот мне тож этот вопрос не ясен.
Пока развлекаюсь наблюдением за ProcessExplorer и ProcessHacker, в моем случае функционал практически аналогичен, но на всяк случай держу оба открытыми. А вообще все твари попрятались, видать поняли, что я за ними слежу :-)

Александр К., JohnySC, вопрос был про службы и их процессы, а не браузер в режиме открыл-закрыл. Ощущение, что это какой-то троллинг. Проблема у вас, не у меня.

нет, вы видимо не поняли вопрос. Вопрос в том, что какой-то процесс качает трафик, я не знаю в какой именно момент, и не знаю какой процесс, как мне может TCPView помочь? Где ж троллинг? Мы пытаемся понять, что вы про него хотели сказать, если посмотреть соединения, так не сидеть же сутками уставившись в него? Может ни я ни Александр К., не поняли что-то, вот и пишем как мы видим, а что вы хотели нам советовать там увидеть мы и не поняли, вот о чем мы.

JohnySC, я нашёл для Вас программу контроля трафика — https://www.netlimiter.com.
В настройках включаете и весь трафик как на ладони.
В моём случае потребителем трафика (за период мониторинга) оказался процесс с PID 8292 В диспетчере задач можно выяснить, что это служба "Оптимизация доставки".

NetLimiter сохраняет статистику завершённых процессов, так что отловить всех "пожирателей интернета" не представляет труда. :)

JohnySC,

Программа NetBalancer.
How to Monitor the Bandwidth Consumption of Individual Applications

Вся катавасия из-за того, что вы изначально неточно сформулировали свою цель.
А вы совершаете эти 4 ошибки на форумах?

Спасибо, поставил, слежу дальше. Мне вот у NetWorx еще понравилась функция уведомлений на достижение определенного количества трафика за час допустим. Удобно, поставил, к примеру, 100Мб и если превысит, уже вижу уведомление. Правда есть и минус в ней - нет фильтра на исключение некоторых приложений, например нельзя исключить из подсчета каспера, а он агрегирует весь поток через себя, и получается в сумме с ним удвоение общего количества, но это не страшно, можно учесть, и лимит ставить в двойном размере.

Извиняюсь конечно, но на мой взгляд, все точно, поясните.

Для это цели и я, и Вадим предложили вам TCPView. Утилита от Марка, безусловно, одно из лучших решений. А потом начали выясняться куча деталей и подробностей, поэтому совершенно неудивительно, что вас уже заподозрили в троллинге.

Давайте еще раз - я еще раз перед всеми очень извиняюсь, я никого не троллю, но я правда не понимаю как TCPView может помочь. Какая-то служба что-то скачала бесконтрольно, что я могу увидеть в TCPView?

Так, ну уже вижу, что NetLimiter к сожалению не подходит, т.к. он не сохраняет какая служба качала, после того как эта служба завершилась. Раскрывая "Хост процесс для служб Windows" я через какое-то время не вижу ни одного процесса внутри, так что не ясно кто там чего накачал

JohnySC, не за что извиняться. Нас с Вами в троллинге обвиняют сами тролли. Накидали ссылок, мол сами разберётесь. Если бы могли сами разобраться, то не пришли на форум за советом.

Казбек, Vadikan, будьте любезны доходчиво объяснить, со скриншотами, как TCPView показывает потреблённый трафик, в том числе трафик завершённых процессов. Покажите как настроить TCPView, чтобы было понятно даже ламерам типа меня. Пожалуйста, без ссылок на сторонние ресурсы, прямо здесь, в теме в двух словах с картинками.

Ну да, не показывает даже PID. :(

с NetBalancer обнаруживаются две проблемы:
1) он весь трафик складывает на каспера, можно его конечно закрыть, но не решение
2) он также как и NetLimiter забывает все про процесс при его перезапуске или закрытии

Собственно результаты с ProcessExplorer и ProcessHacker тоже хороши, но они не показывают закрытые процессы.
А вот NetWorx и мониторинг сети в каспере отлично показывают закрытые процессы, но не показывают детализацию по службам.
Кстати NetWorx пользую версии 5.5.5 - последнюю бесплатную.

Завершенные процессы TCPView не показывает. Но я и не считал это необходимым условием для отслеживания трафика служб в условиях изначально озвученной задачи. На день-два может выявить. Если нужно протоколирование в течение недель, нужно другое ПО.

Напомню, что изначально вопрос вообще сводился к разбиению служб на процессы, и я дал исчерпывающий ответ.
.

А теперь посмотрите мое сообщение 10 и посмотрите, когда мы узнали, что автору нужно отслеживать данные относительно процесса, который уже завершился.

вроде со всеми непонятками разобрались, давайте все-таки, может у кого есть что по существу проблемы высказаться

Все участники этой темы давно уже всё поняли что хочет автор. Лично мне этот вопрос тоже интересен, но больше теоретически, для собственного развития, так как утечка трафика в десятке лично меня не беспокоит. А вдруг забеспокоит? Уверен, другим форумчанам это тоже будет интересно и полезно.
Итак, мы можем найти ответ или будем цепляться к каждой букве в первом сообщении?
С высоты своей низкой колокольни я не вижу способа выяснить какая служба сколько трафика потребляет, особенно когда она уже завершила работу.
Что скажете, уважаемые Vadikan и Казбек?

NirSoft NetworkTrafficView покажет на какие IP идут скачивания, потребление трафика, и уже потом через брандмауэр их блочить...

KopBuH91, насколько понял - это аналог TCPView, и закрытые процессы оттуда просто исчезают

JohnySC,

Поставленную задачу может решить Microsoft Network Monitor 3.4
Программа ведёт непрерывное логирование. Позволяет создавать всевозможные правила фильтрации и добавлять колонки для группировки данных по почти нескончаемуму числу параметров.

Запускать программу стоит от имени Администратора. Так же настройте размер лог-файла, в который будет вестись запись событий, и его расположение. После завершения процессов вся информация о них сохраняется.

Оставляете запущенной Microsoft Network Monitor. Потом сохраняете лог-файл и ищите виновника или сразу ищите виновника, пользуясь необходимыми фильтрами и иерархической структурой процессов слева.

Так а где тут смотреть трафик? Т.е. сколько (килобайт, мегабайт и т.д.) скачал или отдал определенный процесс?

Для целей мониторинга трафика, не постоянно, изредка, в определённых целях использую TMeter

Upd: Правда для одной, поставленной автором топика, задачи - программа покажется перегруженным "монстром".

Что бы вы не запутались сделаем так:

1. после того, как мониторинг закончен, выбираете нужный процесс (пройдитесь по ним и смотрите в область Frame Summury: где полотно будет самое длинное или одно из самых длинных на том процессе и останавливаетесь).
2. Скрытый текст

   
3. качаете и устанавливаете
4. открываете сохранённый фрагмент из общего лога, не закрывая основное окно
5. Скрытый текст

   
6. Смотрите, сколько "поглотил" этот процесс, делаете соответствующий вывод о виновнике.

Спасибо всем за участие, насчет TMeter и Microsoft Network Monitor пока отложил, т.к. вернулся к безлимитному интернету. Тему пока не закрываю, т.к. к лимитному еще вернусь, и продолжу расследования. На данный момент пока выработал такую стратегию:
1) В NetWorx есть возможность исполнения действий в зависимости от часового потребления трафика. Соответственно я определился, что мне в час хватает 100Мб, а далее показывается уведомление, и автоматически отключается сеть командой в PowerShell:
Disable-NetAdapter -Name "Wireless" -Confirm:$false
2) Те процессы, которые в это время что-то качали, остаются открытыми, ведь они не докачали то, что хотели, и соответственно их видно в ProcessExplorer и в ProcessHacker при сортировке по столбцам "Network Receive Bytes".
3) В последнее время мне два раза попадалась служба BITS на такой подлянке. Что она пытается качать видно по команде:
bitsadmin /List /AllUsers /Verbose
В последнее время ловились обновления Adobe и Dropbox. Саму службу BITS совсем отключать не хочу, она ведь для обновлений нужна, включаю ее в то время, когда есть безлимитный трафик.

Для этого есть лимитные подключения

знаю, но этой службе пофиг, мое подключение всегда помечено как лимитное, и ей это не мешает качать. Пока заскриптовал ее запуск во время безлимита и останов в остальное время