资源监视器中这些奇怪的 IP 地址连接是什么?

资源监视器中这些奇怪的 IP 地址连接是什么?

我决定查看资源监视器(在 Windows 7 任务管理器的“性能”选项卡上),并在“网络”部分注意到“系统”映像名称不断与随机 IP 地址建立大量连接(每次约 5 个),它会显示“发送”速度为 1-500 字节/秒。它们会保持连接 1-2 分钟。

-所有网络浏览器均已关闭

因此,我做的第一件事就是从 network-tools.com 对其中一些 IP 地址进行跟踪。8/10 位于美国境外,未解析任何主机名。在我跟踪的 10 个 IP 地址中,2 个位于美国,4 个显示源自中国,另外 4 个分别来自阿尔及利亚、俄罗斯、巴基斯坦和韩国。(!)

因此,我接下来要做的事情是关闭无线网卡,观察连接消失,然后重新打开网卡,在 30 秒内,系统会创建更多随机连接,并且 IP 地址与第一次不同。

我接下来要做的就是打开任务管理器,显示所有用户的进程,然后我杀死了几乎所有不是(看起来像)Windows 进程的进程。

我打开了 Wi-Fi,30 秒内,随机 IP 地址再次连接,每次约 1 分钟,新的 IP 地址不断出现。

我偶尔会在这台机器上使用 BitTorrent,但在我通过任务管理器后,确实没有运行任何与 BitTorrent 相关的进程,而且 BitTorrent 一开始就没有打开。

那么,您知道这些连接有什么用途吗?我已经在这台电脑上使用 Ad-Aware Free 和 AVG Free 有一段时间了,而且一直都是最新的。

更新:我多次运行 netstat,设置了不同的选项,包括 netstat -a。即使我打开了网络资源监视器,可以看到系统进程下显示大约 5 个随机 IP 地址,netstat 也没有显示包含任何这些 IP 地址的连接。

另一个有趣的更新:昨天,当存在随机 IP 时,我下载并安装了 spyboy s&d。随机连接停止了,从那以后我就再也没有见过它们。这发生在我使用 spybot s&d 进行扫描之前。“完整扫描”只显示了 1 个 cookie。

答案1

听起来好像你有一个蠕虫,它正在扫描随机 IP 地址以寻找可以传播到的潜在目标。

答案2

它只是远程机器试图连接并访问您的某个端口。如果您是同级网络的一部分(如 Torrent 或 Tor 等),原因可能是真实且可以接受的,否则它只是一些恶意机器试图获取后门。它们会一直 ping 互联网以获取访问权限。

不要恐慌!

此类连接有超时限制,一旦宽限期结束,它们将自动关闭。

您可以使用TCP 监控程序TCPView v3.05 中的此功能可帮助您进一步检查问题。某些站点可能仍有未终止的连接,这些连接可能会在一段时间后消失。

需要注意的情况是,您在 TCPView 上看到这样的连接或状态为“LISTENING”或“ESTABLISHED”的可疑 IP。否则,您会看到它们一个接一个地消失,或者一次消失一堆。

还有更多, TCP查看器

TCPView v3.05

答案3

仅供参考-我使用 Bitdefender 并且拥有 Windows 11。

我不明白您所说的奇怪的 IP 地址连接是什么意思。您问的是这些连接是什么,但却没有给我们提供足够的信息。

如果我理解正确的话,您说有十个随机 IP 地址以每秒 1-500 字节的速度从您的计算机发送到位于美国、中国、阿尔及利亚、俄罗斯、巴基斯坦和韩国的远程计算机。您还提到,这种交换耗时 1-2 分钟。快速计算表明,1 字节/秒的速度下 1 分钟代表检索了 60 字节(60 秒 * 1)的数据,500 字节/秒的速度下 2 分钟代表检索了 60Kb(120 秒 * 500)的数据。远程计算机似乎从您的计算机检索了非常少量的信息。信息可能是任何内容,但通常都有正当理由。

您的硬件、应用程序和系统可能来自这些不同的国家。例如,用于控制打印机的驱动程序可能来自这些来源和位置中的任何一个。我曾经买了一台我认为有缺陷的 Lexmark 打印机。报告后,我收到了一台来自巴基斯坦的替换品。

位置不会告诉我们受这些过程影响的计算机资源。我更想知道资源监视器中 IP 地址旁边会出现什么图像。网络选项卡是唯一提到 IP 地址(本地和远程)的地方。

你从哪里得到的时间?你自己计时了吗?这行不通!虽然这些进程似乎保持连接 1-2 分钟,但在任务管理器或资源监视器显示该进程已终止之前,系统可能需要一点时间来处理信息。即使它在不久前结束,你仍然可能看到它在运行。因此,所需的时间还取决于您的系统和计算机的性能。任务管理器或资源管理器可能还忙于检索和处理来自系统的其他数据,没有时间更新列表,但它会更新。

本地应用、系统、硬件设备驱动程序或受信任的远程计算机无需打开浏览器即可启动进程。进程一直在您不知情的情况下启动并在后台运行。您可能没有使用浏览器,但这不会阻止系统、应用或计算机上的驱动程序启动与系统、应用或驱动程序相关的进程。即使您关闭调制解调器或将其从墙上插座断开,当您的系统、应用或驱动程序启动在互联网上搜索升级的进程时,进程仍可能继续发生。这取决于它们是如何设计的以处理这种情况。

您使用 network-tools.com 跟踪 IP 地址。由于缺少主机名,您似乎无法通过 network-tools.com 获取公司名称。您是否知道,您可以通过直接在 Google 的地址栏中输入远程 IP 地址来搜索 Google,它会为您提供公司的名称及其位置。有了这些信息,您可以轻松地在 Google 上搜索他们的网站以获取更多信息并找到该公司的实际地址。如果您的应用程序均不来自他们或其关联公司之一,并且该过程与系统无关,那么我可能会对远程用户的意图有点怀疑。

我目前没有在计算机上安装游戏,但我有一个名为WildTangent 辅助服务在我的运行进程列表中。我曾经在计算机上安装了一些 WildTangent 游戏,但后来卸载了它们。这说明我的计算机上还留有卸载过程中未删除的安装组件,并且无论出于何种原因,它都会继续在我的计算机上运行进程。由于游戏已被卸载,与 WildTangent 相关的进程无法执行太多操作。用于启动这些进程的文件只是无缘无故地占用了硬盘空间。

相关内容