У меня есть ноутбук под управлением Windows 7 Home Premium и сетевой накопитель QNAP TS-412. По какой-то причине мой ноутбук иногда начинает бомбардировать NAS через TCP-порты 445, 139, 80 и UDP-порт 1900. Затем окно NAS блокирует IP-адрес моего ноутбука на эти порты в течение 5 минут. "Атака" не продолжается после снятия запрета. Эти инциденты всегда случаются около 5-7 вечера каждые несколько дней. На ноутбуке установлены Microsoft Security Essentials с новейшими определениями вирусов, и я не установил никакого программного обеспечения из сомнительных источников. Я не получал активного доступа к NAS, когда происходили инциденты.

Сервер NAS отправляет мне оповещения по электронной почте, когда это происходит. Вот пример:

 Server Name: Purnukka
 IP Address: 192.168.0.1
 Date/Time: 2013/09/18 08:19:03
 Level:  Warning
 [Security] Access Violation from 192.168.0.106 with TCP (port=80)

192.168.0.106 - это IP-адрес моего ноутбука, проверенный по таблице DHCP моего маршрутизатора.

Это общая проблема? Как я могу узнать, какая программа или системный процесс отвечает?

|источник

1 ответ1

0

Выполнение захвата пакетов на ноутбуке с помощью Wireshark для трафика между ним и сетевым хранилищем может объяснить что-то, по крайней мере, для порта 80, поскольку запрос, вероятно, будет открытым текстом и даст представление о том, что и почему предпринимается.

Несмотря на то, что заражение вредоносным ПО всегда является обоснованным подозрением, я подозреваю, что существует приложение, связанное с мультимедиа и / или синхронизацией / обменом файлами, которое запланировало обновление / поиск сетевых ресурсов. Однако это может быть трудно отследить, если только вы не настроите какой-либо инструмент для постоянного контроля открытых соединений. Один простой, но грубый, уродливый и неоптимальный способ - запускать следующую команду на ноутбуке в то время, когда возникает проблема.

netstat -no 1 | findstr "192.168.0.1" | findstr "445 139 80 1900" > logfile.txt

Затем вы увидите из выходного logfile.txt идентификатор процесса (последний номер в строке), который инициирует эти подключения и может попытаться найти его из списка процессов диспетчера задач (вам нужно добавить столбец PID там из View -> Select columns... если его там уже нет). Это явно завершится ошибкой, если процесс завершится сразу после попытки подключения, но в этом случае вы можете попробовать добавить -b к параметрам netstat (т.е. netstat -nob 1 | ...) - необходимо запустить cmd.exe с правами администратора. для того, чтобы работать, хотя.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .