我有一台运行 Windows 7 Home Premium 的笔记本电脑和一台 QNAP TS-412 网络存储单元。出于某种原因,我的笔记本电脑有时会开始在 TCP 端口 445、139、80 和 UDP 端口 1900 上轰炸 NAS。然后 NAS 盒会禁止我的笔记本电脑的 IP 地址访问这些端口 5 分钟。解除禁令后,“攻击”不会继续。这些事件总是每隔几天在下午 5-7 点左右发生。笔记本电脑安装了 Microsoft Security Essentials,病毒定义是最新的,我没有安装任何来自可疑来源的软件。事件发生时,我并没有以任何方式主动访问 NAS。
当发生这种情况时,NAS 服务器会通过电子邮件向我发送警报。以下是示例:
Server Name: Purnukka
IP Address: 192.168.0.1
Date/Time: 2013/09/18 08:19:03
Level: Warning
[Security] Access Violation from 192.168.0.106 with TCP (port=80)
192.168.0.106 是我的笔记本电脑的 IP,已从我的路由器的 DHCP 表验证。
这是一个常见问题吗?如何找出哪个程序或系统进程导致了这个问题?
答案1
正在做使用 Wireshark 在笔记本电脑上捕获数据包它和 NAS 盒之间的流量可能会解释一些事情,至少对于端口 80 来说,因为请求可能是明文的,并提供有关尝试什么以及为什么尝试的线索。
尽管恶意软件感染始终是合理的怀疑,但我怀疑的是,有一个与多媒体和/或文件同步/共享相关的应用程序已安排更新/搜索网络资源。不过,除非您设置某种工具来不断监控开放的连接,否则可能很难跟踪它。一种简单但粗暴、丑陋且不太理想的方法是在问题发生时在笔记本电脑上运行以下命令。
netstat -no 1 | findstr "192.168.0.1" | findstr "445 139 80 1900" > logfile.txt
然后,您将从输出中看到logfile.txt启动这些连接的进程的 ID(行上的最后一个数字),并可以尝试从任务管理器进程列表中找到它(如果尚未存在,则需要从->添加PID列)。如果进程在连接尝试后立即退出,这显然会失败,但在这种情况下,您可以尝试添加到(即)的参数中- 不过,需要以管理员权限运行 cmd.exe 才能使其正常工作。ViewSelect columns...-bnetstatnetstat -nob 1 | ...