Как отловить TCP-пакет в Windows?

Question

У меня есть сервер Windows 2003, и я вижу в своих журналах брандмауэра некоторые запрещенные TCP-пакеты: около 1-5 в час.

Это выглядит так:

18:20:37 tcp 192.168.xx.y(4994) -> 104.28.25.67(80), 1 пакет 18:39:15 tcp 192.168.xx.z(3823) -> 212.30.134.166(80), 1 пакет 18:39:36 tcp 192.168.xx.z(3842) -> 212.30.134.167(80), 1 пакет

Я думаю, что это какой-то процесс Windows, может быть, с помощью Центра обновления Windows или аналогичный, но я хочу знать точно.

Tcpview может показывать имя процесса и соединение, но не может войти в систему и невозможно смотреть на экран в течение нескольких часов, чтобы поймать этот процесс.

Сетевой монитор Microsoft не записывает имя процесса или PID - только сетевые подключения. Внутренняя регистрация брандмауэра также не записывает имя процесса.

Кто знает программное обеспечение, такое как tcpview, которое может регистрировать сетевые пакеты и записывать имя процесса (PID) исходящих соединений?

Answer 1

похоже, что tcpvcon.exe может помочь))) пакет, как это покажет все соединения:

:b1 эхо.% date%% time% ----------- "% temp%\tcp.log" tcpvcon.exe -n -c >> "% temp%\tcp.log" ping 127.0 .0.0> nul goto b1