Недавно я активно отслеживал трафик своей домашней сети (используя Netflow).
Сегодня я заметил какой-то странный многоадресный трафик с ноутбука с Windows 11 (он был оставлен включенным, но без присмотра). На этом ноутбуке установлены AVG и Malwarebytes.
Все эти записи появляются в течение 10 секунд из-за интервала времени отчетности Netflow.
| Многоадресный адрес | Исходный порт | Порт назначения | Размер пакета в байтах |
|---|---|---|---|
| 192.168.1.255 | 57716 | 3289 | 252 |
| 192.168.1.255 | 57708 | 22222 | 336 |
| 192.168.1.255 | 57700 | 22222 | 336 |
| 255.255.255.255 | 10004 | 10004 | 666 |
Я исследовал порты, но не могу найти ничего вразумительного - похоже, что 3289 используется для определенных устройств Epson. У меня есть только один, но я подключаю его только напрямую через USB, и в то время он не был подключен.
Похоже, что порт 22222 используется некоторыми троянами, но я не понимаю, зачем трояну делать многоадресную рассылку на этот порт в локальную сеть?
Да и 10004 тоже не дает много информации.
Я все еще новичок в этом деле, так что извините, если я упускаю что-то очевидное.
В то время на машине не работал порт-логгер, но я настроил его с прошлой ночи, чтобы попытаться увидеть, как это происходит снова, и отследить исполняемый файл, порождающий запрос. Пока безуспешно.
Спасибо за ваш вклад!
решение1
Порт 3289 используется для протокола ENPC, который в основном используется для получения статуса и настройки модуля или принтера. Кажется, он используется по крайней мере принтерами Epson (связь).
Порт 22222 может использоваться многими продуктами, но также и несколькими троянами. Законными пользователями являются клиент лицензирования Redgate и EasyEngine. Если они у вас не установлены, это не означает автоматически, что ваш компьютер заражен.
Порт 10004 Известно, что он используется EMC Replication Manager и некоторыми клиентами BitTorrent.
Обратите внимание, что приведенная выше информация неполная, и что любой продукт может решить использовать любой порт, который ему нравится, не обращая внимания на соглашения и стандарты. Использование большего количества отслеживающего программного обеспечения и поиск программ, которые прослушивают эти порты, является первым шагом.
решение2
В конце концов мне удалось воссоздать это поведение с запущенным cPorts. Похоже, это часто происходит при входе пользователя в систему (но не всегда), а затем немного хаотично (иногда примерно раз в час, но может и долгое время не происходить).
Порты UDP привязаны к dasHost.exe. И эти порты, похоже, все транслируются в одно и то же время. Похоже, что это происходит (по крайней мере частично) из "Universal Print". Это единственная запись в моем Windows Event Viewer, которая почти точно соответствует времени этих трансляций UDP (без других событий, которые могли бы быть близки).
Эти передачи всегда сопровождаются двумя информационными событиями, во-первых:
Описание для Event ID 1 из источника Universal Print не найдено. Либо компонент, вызывающий это событие, не установлен на локальном компьютере, либо установка повреждена. Вы можете установить или восстановить компонент на локальном компьютере.
Если событие возникло на другом компьютере, отображаемую информацию необходимо было сохранить вместе с событием.
В мероприятии была предоставлена следующая информация:
Устройство не присоединено ни к AAD/домену, ни к рабочему месту. mcpmanagementservice.dll
Отсутствует локальный ресурс для требуемого сообщения.
а потом:
Описание для Event ID 1 из источника Universal Print не найдено. Либо компонент, вызывающий это событие, не установлен на локальном компьютере, либо установка повреждена. Вы можете установить или восстановить компонент на локальном компьютере.
Если событие возникло на другом компьютере, отображаемую информацию необходимо было сохранить вместе с событием.
В мероприятии была предоставлена следующая информация:
Инициализация выполнена успешно. Enabled=false, CloudPrintSolution=Unknown, DiscoveryEndpoint=, OAuthAuthority=, OAuthClientId=, DiscoveryResourceId=, PrintResourceId= mcpmanagementservice.dll
Отсутствует локальный ресурс для требуемого сообщения.
Я могу понять трансляцию 3289 с этой точки зрения, поскольку это порт Epson, в других я все еще не уверен, но я чувствую себя немного лучше, зная источник. Я все еще, вероятно, попытаюсь копать дальше для получения дополнительной информации.