3

Службы Windows работают внутри хост-процессов. Наблюдая за трафиком с помощью монитора ресурсов Windows 8, я вижу трафик, генерируемый svchost.exe (netsvcs) . Похоже, что он направлен на IP-адрес, контролируемый крупным провайдером из Хорватии.

Адрес 213.191.147.215.

Трафик, генерируемый svchost.exe (NetworkService) , направлен на (очень похожий) 213.191.147.216. Обнюхивание с помощью Wireshark показывает, что HTTP-запросы к 213.191.147.216 включают /msdownload/... в URL.

GET /msdownload/update/v3/static/trustedr/en/authrootstl.cab?edc2fcdacea5cc1a HTTP/1.1
Connection: Keep-Alive
Accept: */*
User-Agent: Microsoft-CryptoAPI/6.3
Host: ctldl.windowsupdate.com

HTTP/1.1 200 OK
Cache-Control: max-age=604800
Content-Type: application/octet-stream
Last-Modified: Fri, 04 Oct 2013 00:14:07 GMT
Accept-Ranges: bytes
ETag: "80f18a496c0ce1:0"
Server: Microsoft-IIS/7.5
X-Powered-By: ASP.NET
Content-Length: 54009
Date: Tue, 22 Oct 2013 12:44:14 GMT
Connection: keep-alive

Это приводит меня к выводу, что оба они являются членами CDN Microsoft в Хорватии.

Я попытался отключить службу Windows Update, но загрузка с .215 продолжалась. Это хлопотно; Летом я скачал более 200 Мб через 3G в течение 10 минут, прежде чем заметил, что происходит. Это было только через несколько минут после того, как я заплатил за 1 ГБ трафика своему провайдеру. Мне действительно не нравится, когда Microsoft тратит впустую мои деньги после того, как мне явно сказали НЕ загружать какие-либо обновления в фоновом режиме.

Сегодня я заметил это снова. Пока я не подключаюсь через мобильный телефон, я бы хотел узнать решение проблемы раз и навсегда.

Поскольку я не чувствую желания отключать сервисы в случайном порядке, надеясь, что я попаду на тот, который генерирует трафик, я бы предпочел определить, какой сервис создает трафик.

Как определить, какая фоновая служба инициировала загрузку? Как определить, какие фоновые службы генерируют сетевой трафик?

2 ответа2

4

Я использую TCPView от Sysinternals (MS Technet) для просмотра информации о подключении в реальном времени в Windows. это включает процесс, который инициирует поток.

http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx

если трафик поступает из процесса SvcHost, запишите PID процесса и запустите

tasklist /SVC > c:\tasks.txt

в командной строке. откройте файл и запишите службы, которые используют этот PID. один из них является виновником. Вы должны иметь возможность отключить многие из них в services.msc.

если трафик поступает из PID 4 (системный процесс), вы, вероятно, не сможете легко копать глубже, но вы, вероятно, сможете определить поток, вызывающий трафик, с помощью Process Explorer также из SysInternals и оттуда dll, составляющих его стек. Однако на основании этой информации вы можете сделать очень мало.

удачи.

0

Из-за Host: ctldl.windowsupdate.com Я бы сказал, что это служба Windows Update, которая сканирует ваш компьютер на наличие обновлений.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .