在过去几个月里,我第一次在我的 wireshark pcap 文件中看到,有大量数据通过 TCP 端口 60000、60002、60004、60008 传输。其中一个 IP 地址属于 otx.alienvault.com。但根据这&这网站端口 60000 被木马/后门/深喉等使用。我无法追踪使用此端口的应用程序。
3295 2021-09-02 06:50:19.696773242 99.XX.XX.XX 100.XX.XX.XXX TCP 74 443 → 60000 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1440 SACK_PERM=1 TSval=143274654 TSecr=613246749 WS=512
在这链接一建议“追踪哪些机器正在监听或使用这些端口,并将这些连接/端口映射回其进程 ID。”但我不知道该怎么做。
3391 2021-09-02 06:50:19.817344087 99.XX.XX.XX 100.XX.XX.XXX TLSv1.3 1494 Application Data [TCP segment of a reassembled PDU]
这些是不同的端口 60000、60002、60004、60008。我完全是门外汉。请帮帮我。
显示的 MAC 地址不是我的笔记本电脑的 MAC 地址。这些是网络中某些设备的 MAC 地址。以太网 II,源:XX:XX:XX:XX:38:8e (XX:XX:XX:XX:38:8e),目标:XX:XX:XX:XX:09:a9 (XX:XX:XX:XX:09:a9)