我使用 Wireshark 可以看到,每 5 分钟我的计算机就会通过 udp/8253 连接到 ip 165.254.162.243。这种情况已经持续了几个月。我无法确定哪个应用程序或进程正在建立此连接。我使用 Wireshark 捕获流量,我所能看到的是:... 用户数据报协议,源端口:62841,目标端口:8253 数据(20 字节)数据:a67c0100000100000000000000269700000010001 [长度:20]
接着是来自 165.254.162.243 的回复:... 用户数据报协议,源端口:8253,目标端口:62841 数据(36 字节)数据:a67c8100000100010000000000269700000010001c00c0001... [长度:36]
我尝试终止进程并查看流量是否停止,但没有任何结果。IP 地址似乎是科罗拉多州恩格尔伍德的动态分配地址。
我现在正在运行一个 Perl 脚本,每 0.1 秒记录一次“ ”的输出netstat -a -n -p tcp -b
,希望记录下罪魁祸首。到目前为止还没有成功,0.1 秒的间隔似乎错过了连接(由 Wireshark 记录)。
关于如何缩小建立这些连接的应用程序的范围,有什么建议吗?
答案1
让我们来看看...
这IP 地址 165.254.162.243位于 AS14627,这是一家名为 Vitalwerks 的公司。WHOIS 告诉我他们有整个/24。
通过谷歌的简单浏览,我发现 Vitalwerks 是无IP网站,一家动态 DNS 提供商。
您是否安装了该公司的动态 DNS 更新工具或任何其他软件?如果是,您很可能会发现它就是源头。
如果你有不是,那么你可能会发现来源是恶意软件。几年前,你可能还记得,微软在美国联邦法院获得授权对 noip.com 域名进行过度扣押为了阻止使用某些子域的僵尸网络。