我有 Windows 2003 服务器,我在防火墙日志中看到一些被拒绝的 TCP 数据包:大约每小时 1-5 个。
它看起来像这样:
18:20:37 tcp 192.168.xx.y(4994) -> 104.28.25.67(80),1 个数据包 18:39:15 tcp 192.168.xx.z(3823) -> 212.30.134.166(80),1 个数据包 18:39:36 tcp 192.168.xx.z(3842) -> 212.30.134.167(80),1 个数据包
我认为,这是一些 Windows 进程,可能是通过 Windows Update 或类似程序,但我想确切了解一下。
Tcpview 可以显示进程名称和连接,但无法记录,而且不可能花几个小时查看屏幕来捕捉该进程。
Microsoft 网络监视器不写入进程名称或 PID - 仅写入网络连接。内部防火墙日志记录也不写入进程名称。
谁知道像 tcpview 这样的软件,可以记录网络数据包并写入传出连接的进程名称(PID)?
答案1
似乎 tcpvcon.exe 可以帮助)))这样的批处理将显示所有连接:
:b1 echo.%date% %time% -----------"%temp%\tcp.log" tcpvcon.exe -n -c >> "%temp%\tcp.log" ping 127.0.0.0>nul 转到 b1