У меня есть сервер Windows 2003, и я вижу в своих журналах брандмауэра некоторые запрещенные TCP-пакеты: около 1-5 в час.
Это выглядит так:
18:20:37 tcp 192.168.xx.y(4994) -> 104.28.25.67(80), 1 пакет 18:39:15 tcp 192.168.xx.z(3823) -> 212.30.134.166(80), 1 пакет 18:39:36 tcp 192.168.xx.z(3842) -> 212.30.134.167(80), 1 пакет
Я думаю, что это какой-то процесс Windows, может быть, с помощью Центра обновления Windows или аналогичный, но я хочу знать точно.
Tcpview может показывать имя процесса и соединение, но не может войти в систему и невозможно смотреть на экран в течение нескольких часов, чтобы поймать этот процесс.
Сетевой монитор Microsoft не записывает имя процесса или PID - только сетевые подключения. Внутренняя регистрация брандмауэра также не записывает имя процесса.
Кто знает программное обеспечение, такое как tcpview, которое может регистрировать сетевые пакеты и записывать имя процесса (PID) исходящих соединений?