我正在做一个数据包捕获作为开发项目的一部分,在捕获文件中看到一些奇怪的stream量来自我的机器。
大约每3600秒,一个NAT-PMP请求被发送到IP“1.1.168.192”。 (有趣的,看起来像有东西是错的。)
我担心机器可能有恶意软件,但恶意软件扫描报告什么都没有。
我开始了一个数据包捕获,只过滤掉有问题的NAT-PMP数据包,数据包几乎每隔一小时就会发生一次,但是不是每隔一小时就会发生一次。
Wireshark本身不能告诉我哪个进程正在发送数据包。 TCPView可以工作,但是我不得不确定我在数据包发送时几乎正好在机器上,因为列表并没有保留很长时间的closures或不活动的连接。 由于数据包每隔一小时都不可靠,这是一个令人沮丧的提议。
有关如何确定哪个进程以较大间隔发送这些数据包的build议?
您可以使用SysInternals的Process Monitor轻松完成此任务。 以pipe理员身份运行它,然后configuration它如下:
您可以启用Wire Shark来显示源端口和目标端口。
https://ask.wireshark.org/questions/1604/source-and-destination-ports-as-seperate-columns
通过UDP进行过滤,并查找绑定到端口的进程。
您可以使用netstat -b
列出所有绑定进程的端口。