我在电脑上安装了 GlassWire,以便监控传入和传出的网络连接,并且我还定期使用 VPN(这两个细节似乎无关紧要,但稍后会变得有用),
很多时候,无论我当时在做什么,我都会在 GlassWire 中注意到 NT 内核和系统正在联系(上传数据但没有得到响应)各种本地和非本地 IP 地址,例如 10.0.0.5(我的电话)、10.0.0.3(我家局域网上的电脑的 IP)、10.8.0.136(我家 VPN 局域网上的电脑的 IP)以及多播 IP(224.0.0.252)。
它还与微软和谷歌拥有的一些公共 IP 地址建立了一些连接,但最让我担心的是,我注意到它连接的大多数非本地 IP 地址都是我自己在当天早些时候甚至前一天连接过的 VPN 服务器的 IP 地址。
有时我可以看到它似乎与我的提供商拥有的大约 300 个 VPN 服务器中的每一个都建立了连接。
它为什么要建立这些连接,我很好奇,为什么 NT 内核和系统要查询我过去连接过的 VPN 服务器的 IP 地址?有谁知道“NT 内核和系统”的实际用途,我想知道这是某种遥测功能还是不太可能的恶意事件?我担心它会联系所有这些 IP 地址,我希望它不会将它们记录在某处。
如果有人比我更了解这个程序的功能,可以告知我,我将不胜感激。
答案1
您所看到的是网络发现的正常行为,全名 简单服务发现协议。
由于 VPN 创建的网络在大多数方面的行为与本地网络完全相同,因此 Windows 会定期在网络上发出发现消息,以验证它所知道的所有其他计算机的状态,以及查找新的计算机、设备和服务。
您看到的IP224.0.0.252地址是
链路本地多播名称解析,从而实现网络发现。