LAN-клиент пытается подключиться ко многим неизвестным IP-адресам при загрузке

Question

У меня Zywall 110 Firewall. Просматривая журналы, я видел случайные всплески попыток подключения к неизвестным внешним IP-адресам с одного клиентского компьютера локальной сети. Я заметил, потому что я увидел бы ряд последовательных

Session Limit - Maximum session per host (1000) was exceeded. [count=x] localIP RemoteIP

Это произойдет в течение минуты и вызовет около 25 уведомлений за инцидент. Одно уведомление для каждого внешнего IP-адреса, к которому пытаются подключиться.

Я разговаривал с оператором терминала, и время, по-видимому, наступает, когда пользователь перезагружает терминал, и он сначала возвращается в оперативный режим. Я подозревал вредоносное ПО или вирус, но при сканировании не возникает ничего подозрительного.

Есть идеи, что может быть причиной этого, или какая дополнительная информация мне нужна для устранения неполадок?

Answer 1

Чтобы исключить неправильно настроенный сетевой адаптер, вы должны сделать следующее: Предполагая, что у вас есть живая загрузка USB или CD, попробуйте запустить клиентскую загрузку и посмотреть, сможете ли вы повторить поведение. Если нет, используйте wireshark для контроля соединений.

Какие протоколы пытается использовать клиент?