最近、自宅のネットワーク トラフィックを (Netflow を使用して) 徹底的に監視しています。
今日、Windows 11 ラップトップから奇妙なマルチキャストが来ていることに気付きました (電源は入っていましたが、放置されていました)。このラップトップには AVG と malwarebytes がインストールされています。
これらのエントリはすべて、NetFlow レポート間隔時間により 10 秒以内に表示されます。
| マルチキャストアドレス | 送信元ポート | 宛先ポート | パケットバイトサイズ |
|---|---|---|---|
| 192.168.1.255 | 57716 | 3289 | 252 |
| 192.168.1.255 | 57708 | 22222 | 336 |
| 192.168.1.255 | 57700 | 22222 | 336 |
| 255.255.255.255 | 10004 | 10004 | 666 |
ポートを調べたのですが、説明できるものが見つかりません。3289 は、特定の Epson デバイスで使用されているようです。私はポートを 1 つだけ持っていますが、USB 経由で直接接続しているだけなので、その時点では接続されていなかったはずです。
22222 は一部のトロイの木馬によって使用されているようですが、トロイの木馬がなぜこのポートからローカル ネットワークにマルチキャストを行うのか理解できません。
そして、10004 も実際にはあまり多くの情報を提供しません。
私はまだこの分野に不慣れなので、何か明らかなことを見逃していたらごめんなさい。
当時、マシン上でポート ロガーを実行していませんでしたが、昨夜からポート ロガーを設定して、同じことが再び発生するかどうかを確認し、リクエストを生成した実行可能ファイルを追跡しようとしました。今のところ、うまくいきません。
ご意見ありがとうございます!
答え1
ポート 3289 ENPCプロトコルは主にモジュールやプリンタの状態を取得したり設定したりするために使われます。少なくともエプソンのプリンタでは使われているようです(リンク)。
ポート 22222 多くの製品で使用されますが、いくつかのトロイの木馬でも使用されます。正当な使用者は Redgate ライセンス クライアントと EasyEngine です。これらがインストールされていない場合でも、必ずしもコンピューターが感染しているわけではありません。
ポート 10004 EMC Replication Manager および一部の BitTorrent クライアントで使用されることが知られています。
上記の情報は不完全であり、どの製品も規則や標準に注意を払わずに任意のポートを使用することを決定できることに注意してください。より多くの追跡ソフトウェアを使用して、これらのポートをリッスンしているプログラムを検索することが最初のステップです。
答え2
最終的に、cPorts を実行してこの動作を再現することができました。これは、ユーザー ログイン時に頻繁に発生するようです (常に発生するわけではありません)。その後、ランダムに発生します (1 時間に 1 回程度の場合もありますが、長時間発生しないこともあります)。
UDP ポートは dasHost.exe によってバインドされています。これらのポートはすべて同時にブロードキャストされているようです。これは (少なくとも一部は) 「Universal Print」から来ているようです。これは、これらの UDP ブロードキャストのタイミングにほぼ正確に一致する Windows イベント ビューアー内の唯一のエントリです (近いイベントは他にありません)。
これらの放送には必ず 2 つの情報イベントが付随します。まず、次のとおりです。
ソース Universal Print からのイベント ID 1 の説明が見つかりません。このイベントを発生させるコンポーネントがローカル コンピューターにインストールされていないか、インストールが破損しています。ローカル コンピューターにコンポーネントをインストールするか、修復することができます。
イベントが別のコンピューターで発生した場合は、表示情報をイベントとともに保存する必要がありました。
イベントには以下の情報が含まれていました:
デバイスは AAD/ドメインに参加しておらず、ワークプレイスにも参加していません。mcpmanagementservice.dll
目的のメッセージのロケール固有のリソースが存在しません
その後:
ソース Universal Print からのイベント ID 1 の説明が見つかりません。このイベントを発生させるコンポーネントがローカル コンピューターにインストールされていないか、インストールが破損しています。ローカル コンピューターにコンポーネントをインストールするか、修復することができます。
イベントが別のコンピューターで発生した場合は、表示情報をイベントとともに保存する必要がありました。
イベントには以下の情報が含まれていました:
初期化に成功しました。Enabled=false、CloudPrintSolution=不明、DiscoveryEndpoint=、OAuthAuthority=、OAuthClientId=、DiscoveryResourceId=、PrintResourceId= mcpmanagementservice.dll
目的のメッセージのロケール固有のリソースが存在しません
この観点から、3289 の放送はエプソンのポートなので理解できますが、他のものはまだよくわかりませんが、起源がわかったので少し安心しました。さらに情報を得るために、さらに詳しく調べるつもりです。