有沒有辦法追蹤源頭,或是找到 Windows 中大量資料包的來源?關於可以做到這一點的程序有什麼建議嗎?
答案1
在逐個資料包的基礎上,您可以使用 Wireshark 等協定分析器檢查來源位址字段,也可以使用 netstat 或 @JKM 提到的 TCPView 等工具查看所有連線。然後,您可以使用 dig、nslookup 和 whois 等工具來確定有關連接到您的主機的信息,或者使用 Tracert 來確定它們與您之間的可能路徑之一。 NetFlow/NTOP、MRTG 等技術和 Snort 等 IDPS 可以收集統計信息,以便您可以確定是否有任何來源向您的伺服器帶來異常流量,但這些都需要設置一些網路基礎設施。
然而,此資訊可能無法真正為您提供實際主機的 IP 位址。代理/隧道連接技術(Web 代理、暗網(TOR、I2P 等)、ssh 中繼、VPN 等)通常會重寫每個資料包中的來源IP 以提供自己的IP,以便透過代理將回覆轉送回來。民族國家和網路服務供應商有一定能力看到足夠的圖片,有時可以找到實際的來源,但對於大多數住宅使用者來說,這是不可能的。
答案2
TCP視圖可以向您顯示電腦資料包的來源。但是,它需要首先運行並追蹤傳入的數據,它無法顯示歷史記錄。
答案3
您可以安裝非常強大的資料包嗅探器Wireshark(以前稱為空靈)。
Wireshark 將向您顯示網路流量的準確細分。但是,它只能顯示傳入或傳出您的電腦的流量,而不能顯示來自其他電腦的流量。