如何确定哪个进程每小时发送一次UDP数据包?
fdm*_*ion 4 networking windows udp packet-capture
作为开发项目的一部分,我正在执行数据包捕获,并在捕获文件中看到来自我的机器的一些奇怪的流量。
大约每 3600 秒,一个 NAT-PMP 请求被发送到 IP“1.1.168.192”。(有点有趣,看起来字节序出错了。)
我担心这台机器可能有恶意软件,但恶意软件扫描没有报告任何内容。
我开始了一个数据包捕获,只过滤出有问题的 NAT-PMP 数据包,数据包几乎每小时都发出,但不是每小时都可靠。
Wireshark 本身无法告诉我哪个进程正在发送数据包。TCPView 可以工作,但我必须确保我几乎在数据包发出时我在机器上,因为列表不会长时间保留关闭或不活动的连接。由于数据包不是每小时都可靠地发出,这是一个令人沮丧的提议。
关于如何确定哪个进程在很宽的时间间隔内发送这些数据包的建议?
您可以使用 SysInternals 的Process Monitor轻松完成此操作。以管理员身份运行,然后配置如下:
- 在过滤器菜单上单击过滤器...
- 在第一个下拉框中,选择Operation。匹配条件选择Is,然后在空白下拉框中选择UDP Send,然后单击Add。
- 同样,在第一个下拉框中,选择Path。为匹配条件选择包含,然后在自由文本下拉列表中输入您的目标 IP 地址,然后单击添加。
- 单击确定以激活新过滤器。
- 让 Process Monitor 运行,直到找到匹配的流量。
- 右键单击任何匹配的条目并选择Properties,然后单击Process选项卡以查看与出站 UDP 流量关联的进程。
小智 -1
您可以启用 Wire Shark 显示源端口和目标端口。
https://ask.wireshark.org/questions/1604/source-and-destination-ports-as-seperate-columns
通过 UDP 过滤并查找绑定到该端口的进程。
您可以使用netstat -b列出具有绑定进程的所有端口。
| 归档时间: |
|
| 查看次数: |
4622 次 |
| 最近记录: |