저는 최근에 Netflow를 사용하여 홈 네트워크 트래픽을 집중적으로 모니터링하고 있습니다.
오늘 저는 Windows 11 랩톱에서 이상한 멀티캐스트가 나오는 것을 발견했습니다(켜져 있었지만 무인 상태였습니다). 이 노트북에는 AVG와 Malwarebytes가 설치되어 있습니다.
Netflow 보고 간격 시간으로 인해 이러한 항목은 모두 10초 이내에 나타납니다.
| 멀티캐스트 주소 | 소스 포트 | 대상 포트 | 패킷 바이트 크기 |
|---|---|---|---|
| 192.168.1.255 | 57716 | 3289 | 252 |
| 192.168.1.255 | 57708 | 22222 | 336 |
| 192.168.1.255 | 57700 | 22222 | 336 |
| 255.255.255.255 | 10004 | 10004 | 666 |
포트를 조사했지만 설명 가능한 항목을 찾을 수 없습니다. 3289는 특정 Epson 장치에 사용되는 것 같습니다. 하나만 있는데 USB로 직접 연결만 해서 그 당시에는 연결이 되지 않았을 겁니다.
22222는 일부 트로이 목마가 사용하는 것으로 보이지만 왜 트로이 목마가 로컬 네트워크로 이 포트에 멀티캐스트를 수행하는지 이해할 수 없습니다.
그리고 10004도 실제로 많은 정보를 제공하지 않습니다.
나는 아직 이것에 대해 약간 새로운 것이므로 명백한 것을 놓치면 죄송합니다.
당시에는 컴퓨터에서 포트 로거가 실행되지 않았지만 어젯밤부터 포트 로거를 설정하여 다시 발생하는지 확인하고 요청을 생성하는 실행 파일을 추적했습니다. 지금까지 행운이 없습니다.
귀하의 의견에 감사드립니다!
답변1
포트 3289 모듈이나 프린터의 상태를 획득하고 설정하는 데 주로 사용되는 ENPC 프로토콜에 사용됩니다. 적어도 Epson 프린터에서는 사용되는 것 같습니다(링크).
포트 22222 많은 제품에서 사용될 수 있지만 여러 트로이 목마에서도 사용될 수 있습니다. 합법적인 사용자는 Redgate 라이센스 클라이언트와 EasyEngine입니다. 설치되어 있지 않더라도 컴퓨터가 자동으로 감염되었다는 의미는 아닙니다.
포트 10004 EMC 복제 관리자 및 일부 BitTorrent 클라이언트에서 사용되는 것으로 알려져 있습니다.
위의 정보는 불완전하며 모든 제품은 규칙과 표준에 주의를 기울이지 않고 원하는 포트를 사용하기로 결정할 수 있습니다. 더 많은 추적 소프트웨어를 사용하고 이러한 포트에서 수신 대기 중인 프로그램을 검색하는 것이 첫 번째 단계입니다.
답변2
결국 cPort를 실행하여 이 동작을 재현할 수 있었습니다. 사용자 로그인 시 자주 발생하는 것처럼 보였지만(항상 그런 것은 아님) 약간 무작위로 발생했습니다(때때로 한 시간에 한 번 정도 발생했지만 발생하지 않고 오랜 시간이 걸릴 수 있음).
UDP 포트는 dasHost.exe에 의해 바인딩됩니다. 그리고 이 포트들은 모두 동시에 브로드캐스트되는 것 같습니다. "Universal Print"에서 (적어도 부분적으로) 나오는 것으로 보입니다. 이것은 UDP 브로드캐스트의 타이밍과 거의 정확하게 일치하는 Windows 이벤트 뷰어의 유일한 항목입니다(다른 이벤트가 가까이 오지 않음).
이러한 방송에는 항상 두 가지 정보 이벤트가 수반됩니다. 첫 번째는 다음과 같습니다.
원본 Universal Print에서 이벤트 ID 1에 대한 설명을 찾을 수 없습니다. 이 이벤트를 발생시키는 구성 요소가 로컬 컴퓨터에 설치되어 있지 않거나 설치가 손상되었습니다. 로컬 컴퓨터에 구성 요소를 설치하거나 복구할 수 있습니다.
이벤트가 다른 컴퓨터에서 시작된 경우 표시 정보는 이벤트와 함께 저장되어야 했습니다.
이벤트에는 다음 정보가 포함되었습니다.
장치가 AAD/도메인 가입 또는 작업 공간 가입이 아닙니다. mcpmanagementservice.dll
원하는 메시지에 대한 로캘별 리소스가 없습니다.
그런 다음:
원본 Universal Print에서 이벤트 ID 1에 대한 설명을 찾을 수 없습니다. 이 이벤트를 발생시키는 구성 요소가 로컬 컴퓨터에 설치되어 있지 않거나 설치가 손상되었습니다. 로컬 컴퓨터에 구성 요소를 설치하거나 복구할 수 있습니다.
이벤트가 다른 컴퓨터에서 시작된 경우 표시 정보는 이벤트와 함께 저장되어야 했습니다.
이벤트에는 다음 정보가 포함되었습니다.
초기화에 성공했습니다. 활성화=false, CloudPrintSolution=알 수 없음, DiscoveryEndpoint=, OAuthAuthority=, OAuthClientId=, DiscoveryResourceId=, PrintResourceId= mcpmanagementservice.dll
원하는 메시지에 대한 로캘별 리소스가 없습니다.
Epson 포트인 이 POV의 3289 방송을 이해할 수 있습니다. 다른 것들은 아직 확실하지 않지만 출처를 아는 것이 조금 더 나아졌습니다. 나는 여전히 더 많은 정보를 얻기 위해 더 깊이 파고들려고 노력할 것입니다.