Поскольку ваш маршрутизатор выполняет Stateful Packet Inspection, существует три возможных причины увидеть "открытые" порты с потоками трафика, выходящими из маршрутизатора:
- Устройство настроено в демилитаризованной зоне, и весь незапрошенный трафик направляется на него,
- Вы создали правило переадресации портов, которое позволяет направлять этот порт в привязку к конкретной системе для незапрошенного трафика,
- Или порт, который вы видите, на самом деле не открыт, а используется существующим соединением, запрошенным из локальной сети. Порт не будет принимать незапрошенный трафик, но доступен для попыток атаки с использованием TCP-соединения (хотя в наши дни это очень сложно осуществить).
Если ни одно из условий 1 или 2 не выполняется, то соединение было установлено изнутри вашей локальной сети.
Поскольку у вас есть ограниченная информация журнала и (в основном) неуправляемое сетевое оборудование, самый простой способ определить клиента и процесс локальной сети для домашней сети - просто посетить каждый терминал и определить, подключен ли терминал к удаленному серверу на этот порт.
Вы можете сделать это из экземпляра PowerShell с повышенными правами с помощью команды:
netstat -abno | findstr <portnum>
или если известен удаленный IP:
netstat -abno | findstr <RemoteIPAddr>
Оттуда, как только вы нашли клиентское соединение, вы можете записать идентификатор процесса, который затем можно найти в Process Explorer или Task Manager, чтобы определить исполняемый файл, вызывающий соединение.
