Я выполнял захват пакетов в рамках проекта разработки и увидел в файле захвата странный трафик, исходящий с моей машины.
Примерно каждые 3600 секунд запрос NAT-PMP отправляется на IP "1.1.168.192". (Довольно забавно, похоже, что-то не так с порядком байтов.)
Я обеспокоен тем, что на машине потенциально может быть вредоносное ПО, но сканирование вредоносных программ ничего не сообщает.
Я начал захват пакетов, отфильтровывая только рассматриваемые пакеты NAT-PMP, и пакеты уходят почти каждый час, но не каждый час надежно.
Сам Wireshark не может сказать мне, какой процесс отправляет пакеты. TCPView может работать, но я должен быть уверен, что я нахожусь на машине почти точно, когда пакеты уходят, потому что список не сохраняет закрытые или неактивные соединения очень долго. Поскольку пакеты не отправляются надежно каждый час, это разочаровывает.
Предложения, как определить, какой процесс отправляет эти пакеты с большим интервалом?
Вы можете легко сделать это с помощью SysInternals ' Монитор процесса. Запустите его от имени администратора, затем настройте следующим образом:
Вы можете включить проводную акулу для отображения портов источника и назначения.
https://ask.wireshark.org/questions/1604/source-and-destination-ports-as-seperate-columns
фильтруйте по UDP и найдите, какой процесс привязан к порту.
Ты можешь использовать netstat -b
перечислить все порты со связанными процессами.