我最近一直在密切监控我的家庭网络流量(使用 Netflow)。
今天我注意到一台 Windows 11 笔记本电脑发出了一些奇怪的多播(它处于开机状态,但无人看管)。我在这台笔记本电脑上安装了 AVG 和 malwarebytes。
由于网络流报告间隔时间,这些条目均在 10 秒内出现。
多播地址 | 源端口 | 目的端口 | 数据包字节大小 |
---|---|---|---|
192.168.1.255 | 57716 | 3289 | 252 |
192.168.1.255 | 57708 | 22222 | 336 |
192.168.1.255 | 57700 | 22222 | 336 |
255.255.255.255 | 10004 | 10004 | 666 |
我研究过端口,但找不到任何可以解释的东西——3289 似乎用于某些 Epson 设备。我只有一个,但我只通过 USB 直接连接,当时它还没有连接。
22222 似乎被一些木马使用,但我不明白为什么木马会向本地网络的这个端口进行多播?
而 10004 实际上也没有提供太多信息。
我对此还不太熟悉,所以如果我遗漏了一些显而易见的东西,我很抱歉。
当时我机器上没有运行端口记录器,但我从昨晚开始就设置了它,试图再次看到这种情况并追踪产生请求的可执行文件。到目前为止还没有运气。
感谢您的输入!
答案1
答案2
我最终能够在运行 cPorts 的情况下重新创建这种行为 - 它似乎在用户登录时经常发生(但并非总是如此),然后有点随机地发生(有时大约每小时一次,但可能会很长时间不发生)。
UDP 端口由 dasHost.exe 绑定。这些端口似乎都是同时广播的。它似乎(至少部分)来自“Universal Print”。这是我的 Windows 事件查看器中唯一与这些 UDP 广播的时间几乎完全对应的条目(没有其他事件接近)。
这些广播总是伴随着两个信息事件,首先:
无法找到来自源 Universal Print 的事件 ID 1 的描述。引发此事件的组件未安装在您的本地计算机上,或者安装已损坏。您可以在本地计算机上安装或修复该组件。
如果事件源自另一台计算机,则显示信息必须与事件一起保存。
此次活动包含以下信息:
设备未加入 AAD/域或工作场所。mcpmanagementservice.dll
所需消息的区域特定资源不存在
进而:
无法找到来自源 Universal Print 的事件 ID 1 的描述。引发此事件的组件未安装在您的本地计算机上,或者安装已损坏。您可以在本地计算机上安装或修复该组件。
如果事件源自另一台计算机,则显示信息必须与事件一起保存。
此次活动包含以下信息:
初始化成功。Enabled=false、CloudPrintSolution=Unknown、DiscoveryEndpoint=、OAuthAuthority=、OAuthClientId=、DiscoveryResourceId=、PrintResourceId= mcpmanagementservice.dll
所需消息的区域特定资源不存在
从这个角度看,我可以理解 3289 广播,因为它是 Epson 端口,其他的我仍不确定,但知道来源后感觉好多了。我仍然可能会进一步挖掘更多信息。