我想使用 Sysmon 来记录不成功的 TCP/IP 连接尝试。
例如,使用以下配置:
<NetworkConnect onmatch="include">
<DestinationPort condition="is">22</DestinationPort>
</NetworkConnect>
我确实看到了成功的连接,例如
ssh [email protected]
记录为
Network connection detected (rule: NetworkConnect)
然而,如果握手不成功(例如由于尝试被丢弃或重置),则不会记录该尝试。
是否可以使用 Sysmon 记录 TCP/IP 连接尝试?如果不行,有什么好方法可以实现这一点?
答案1
您可以尝试 procmon(也可以从 sysinternal 获得),它可以记录服务器进程的所有活动。或者您可以安装来自微软的 netmonitor,它可以帮助您查看与您的进程相关的网络流量。