端口 3289、22222 和 10004 上进行多播的原因可能是什么?

端口 3289、22222 和 10004 上进行多播的原因可能是什么?

我最近一直在密切监控我的家庭网络流量(使用 Netflow)。

今天我注意到一台 Windows 11 笔记本电脑发出了一些奇怪的多播(它处于开机状态,但无人看管)。我在这台笔记本电脑上安装了 AVG 和 malwarebytes。

由于网络流报告间隔时间,这些条目均在 10 秒内出现。

多播地址 源端口 目的端口 数据包字节大小
192.168.1.255 57716 3289 252
192.168.1.255 57708 22222 336
192.168.1.255 57700 22222 336
255.255.255.255 10004 10004 666

我研究过端口,但找不到任何可以解释的东西——3289 似乎用于某些 Epson 设备。我只有一个,但我只通过 USB 直接连接,当时它还没有连接。

22222 似乎被一些木马使用,但我不明白为什么木马会向本地网络的这个端口进行多播?

而 10004 实际上也没有提供太多信息。

我对此还不太熟悉,所以如果我遗漏了一些显而易见的东西,我很抱歉。

当时我机器上没有运行端口记录器,但我从昨晚开始就设置了它,试图再次看到这种情况并追踪产生请求的可执行文件。到目前为止还没有运气。

感谢您的输入!

答案1

端口 3289 用于 ENPC 协议,主要用于获取模块或打印机的状态和设置。它似乎至少被 Epson 打印机使用(关联)。

端口 22222 可被许多产品使用,但也可被多种木马使用。合法用户是 Redgate 许可客户端和 EasyEngine。如果您没有安装它们,则并不意味着您的计算机已感染病毒。

端口 10004 已知被 EMC Replication Manager 和一些 BitTorrent 客户端使用。

请注意,以上信息并不完整,任何产品都可以决定使用任何它喜欢的端口,而不必关注惯例和标准。使用更多跟踪软件并搜索正在监听这些端口的程序是第一步。

答案2

我最终能够在运行 cPorts 的情况下重新创建这种行为 - 它似乎在用户登录时经常发生(但并非总是如此),然后有点随机地发生(有时大约每小时一次,但可能会很长时间不发生)。

UDP 端口由 dasHost.exe 绑定。这些端口似乎都是同时广播的。它似乎(至少部分)来自“Universal Print”。这是我的 Windows 事件查看器中唯一与这些 UDP 广播的时间几乎完全对应的条目(没有其他事件接近)。

这些广播总是伴随着两个信息事件,首先:

无法找到来自源 Universal Print 的事件 ID 1 的描述。引发此事件的组件未安装在您的本地计算机上,或者安装已损坏。您可以在本地计算机上安装或修复该组件。

如果事件源自另一台计算机,则显示信息必须与事件一起保存。

此次活动包含以下信息:

设备未加入 AAD/域或工作场所。mcpmanagementservice.dll

所需消息的区域特定资源不存在

进而:

无法找到来自源 Universal Print 的事件 ID 1 的描述。引发此事件的组件未安装在您的本地计算机上,或者安装已损坏。您可以在本地计算机上安装或修复该组件。

如果事件源自另一台计算机,则显示信息必须与事件一起保存。

此次活动包含以下信息:

初始化成功。Enabled=false、CloudPrintSolution=Unknown、DiscoveryEndpoint=、OAuthAuthority=、OAuthClientId=、DiscoveryResourceId=、PrintResourceId= mcpmanagementservice.dll

所需消息的区域特定资源不存在

从这个角度看,我可以理解 3289 广播,因为它是 Epson 端口,其他的我仍不确定,但知道来源后感觉好多了。我仍然可能会进一步挖掘更多信息。

相关内容