我今天注意到我连接的所有网络接口(环回、2 个 VMWare 网络适配器、以太网和 wifi)上都有大量流量。
Wireshark 主页显示流量图。除 WiFi 外,所有接口上的流量都非常相似(如果不是相同的话)
这似乎很奇怪,因为我没有使用 VMWare,也不认为我应该在环回上安装任何东西。深入研究后,我发现所有 MDNS、NBNS 和 LLMNR 流量分别来自 UDP 端口 5353、137 和变量,并且都在查询BRW30F7727FAC8E- 一个我不知道的主机。
MDNS、NBNS 和 LLMR 流量 - 忽略由于 IP 校验和卸载导致的错误
使用 netstat,我能够看到 PID 2424(DNS 客户端)和 PID 4(系统)已绑定到 UDP 5353 和 137 上的所有接口。
C:\>netstat -abno | grep 5353
UDP 0.0.0.0:5353 *:* 2424
UDP [::]:5353 *:* 2424
C:\>netstat -abno | grep 137
UDP 169.254.103.175:137 *:* 4
UDP 169.254.178.212:137 *:* 4
UDP 192.168.2.14:137 *:* 4
UDP 192.168.47.1:137 *:* 4
UDP 192.168.159.1:137 *:* 4
所以现在我想知道为什么系统本身会不断查询这个未知主机,以及 DNS 客户端是否自行或代表另一个进程(可能是系统?)发出这些请求。
我可以通过BRW30F7727FAC8E在主机文件中进行黑洞处理使其消失,这现在给我带来了一些有趣的流量,我看到我的机器上尝试连接到BRW30F7727FAC8Etcp 515 和 80 的端口范围不断增加。根据在线资源,tcp 端口 515 与恶意软件和打印机假脱机程序有关。
流量跟随主机文件黑洞。我将未知主机分配给 127.0.0.2
所以我的问题是,是否有人知道我该如何继续追踪这种流量的根本原因并尝试从源头上阻止它?
谢谢。
注意:我检查了我的 DNS 缓存,没有发现任何内容。
答案1
主机名BRW<macaddress>与 Brother 打印机使用的默认主机名模式相匹配,并且日志中显示的所有流量(SNMP 查询、尝试连接到 LPR 端口)都是 Windows 打印后台处理程序的典型流量,它尝试使用传统lpr 协议。
(lpr 是一个非常简单的协议,没有带内反馈,而是希望客户端使用 SNMP 查询打印机状态。如果展开查询,您将看到许多 OID 都与打印相关。)
打开control.exe printers→ “打印服务器属性” → “端口”,您将找到此主机名的“端口”定义。(端口可以存在但没有相应的打印机,但由于 Windows 不断与其联系,因此很可能存在是安装了打印机,甚至可能有一些作业在排队。)