Назад | Перейти на главную страницу

Как определить, какой процесс отправляет UDP-пакеты один раз в час?

Я выполнял захват пакетов в рамках проекта разработки и увидел в файле захвата странный трафик, исходящий с моей машины.

Примерно каждые 3600 секунд запрос NAT-PMP отправляется на IP "1.1.168.192". (Довольно забавно, похоже, что-то не так с порядком байтов.)

Я обеспокоен тем, что на машине потенциально может быть вредоносное ПО, но сканирование вредоносных программ ничего не сообщает.

Я начал захват пакетов, отфильтровывая только рассматриваемые пакеты NAT-PMP, и пакеты уходят почти каждый час, но не каждый час надежно.

Сам Wireshark не может сказать мне, какой процесс отправляет пакеты. TCPView может работать, но я должен быть уверен, что я нахожусь на машине почти точно, когда пакеты уходят, потому что список не сохраняет закрытые или неактивные соединения очень долго. Поскольку пакеты не отправляются надежно каждый час, это разочаровывает.

Предложения, как определить, какой процесс отправляет эти пакеты с большим интервалом?

Вы можете легко сделать это с помощью SysInternals ' Монитор процесса. Запустите его от имени администратора, затем настройте следующим образом:

  1. На Фильтр щелкните меню Фильтр...
  2. В первом раскрывающемся списке выберите Операция. Выбрать Является для условия соответствия, затем в пустом раскрывающемся списке выберите UDP Отправить, затем щелкните Добавить.

  1. Опять же, в первом раскрывающемся списке выберите Дорожка. Выбрать Содержит для условия совпадения, затем введите свой целевой IP-адрес в раскрывающемся списке с произвольным текстом, затем нажмите Добавить.

  1. Нажмите хорошо чтобы активировать новый фильтр.
  2. Позвольте Process Monitor работать, пока он не найдет соответствующий трафик.

  1. Щелкните правой кнопкой мыши любую соответствующую запись и выберите Свойства, затем щелкните Обработать Вкладка, чтобы просмотреть процесс, связанный с исходящим трафиком UDP.

Вы можете включить проводную акулу для отображения портов источника и назначения.

https://ask.wireshark.org/questions/1604/source-and-destination-ports-as-seperate-columns

фильтруйте по UDP и найдите, какой процесс привязан к порту.

Ты можешь использовать netstat -b перечислить все порты со связанными процессами.