为什么有这么多 svchost 建立到 Isilon 的连接?

tag-icon tag-icon windows-server-2012-r2 tcpip netstat isilon
为什么有这么多 svchost 建立到 Isilon 的连接?

我们的客户端有一个 Isilon(仅用于 smb),上面连接了几个节点。当我运行 TCPView 时,我不明白为什么 svchost 服务建立了连接,以及为什么有这么多连接:

在此处输入图片描述

以及ip 10.64.4.212:

在此处输入图片描述

我运行 svchost 分析器来查看背后的具体服务是什么,结果是:

然后,当我连接到使用相同操作系统 Win2012R2 和 Isilon 的其他客户端服务器时,我看不到这些连接。有人能告诉我是否出了什么问题吗?为什么 svchost 与 Isilon 建立了这么多连接?

在此处输入图片描述

答案1

您可以判断这是 RPC 流量,因为它与 TCP 端口 135 上的 RPC 端点映射器建立连接,随后又与高编号端口建立连接,例如 48471。

您可以使用端口查询并亲自查询远程设备上的 RPC 端点映射器,看看在端口 48471 上注册了什么 RPC 端点。我猜会是萨姆相关,例如进行用户名/组成员身份查找。

这也应该在网络跟踪中显现出来。(Netmon、Wireshark、netsh.exe)

相关内容