我最近一直在大量監控我的家庭網路流量(使用 Netflow)。
今天,我注意到來自 Windows 11 筆記型電腦的一些奇怪的多播(它保持開啟狀態,但無人值守)。我在這台筆記型電腦上安裝了 AVG 和惡意軟體位元組。
由於網路流量報告間隔時間,這些條目都會在 10 秒內出現。
| 群播位址 | 來源連接埠 | 目的端口 | 封包位元組大小 |
|---|---|---|---|
| 192.168.1.255 | 57716 | 3289 | 第252章 |
| 192.168.1.255 | 57708 | 22222 | 第336章 |
| 192.168.1.255 | 57700 | 22222 | 第336章 |
| 255.255.255.255 | 10004 | 10004 | 第666章 |
我研究了這些端口,但找不到任何解釋 - 3289 似乎用於某些 Epson 設備。我只有一個,但我只透過USB直接連接它,當時它還沒有連接。
22222 似乎被某些木馬使用,但我不明白為什麼木馬會向本地網路的該連接埠進行多播?
而且 10004 也不能提供太多資訊。
我對此仍然有點陌生,如果我遺漏了一些明顯的東西,我很抱歉。
當時我的機器上沒有運行連接埠記錄器,但我從昨晚開始就設定了它,試圖再次看到它發生並追蹤產生請求的可執行檔。到目前為止還沒有運氣。
感謝您的輸入!
答案1
答案2
我最終能夠在cPorts 運行時重新創建這種行為- 它似乎經常在用戶登錄時發生(但並非總是如此),然後有點隨機(有時大約每小時一次,但它可能會持續很長時間而不發生)。
UDP 連接埠由 dasHost.exe 綁定。這些連接埠似乎都是同時廣播的。它似乎來自(至少部分)來自“Universal Print”。這是我的 Windows 事件檢視器中唯一與這些 UDP 廣播的時間幾乎完全對應的條目(沒有其他事件接近)。
這些廣播總是伴隨著兩個訊息事件,首先:
找不到來源 Universal Print 中事件 ID 1 的描述。您的本機上未安裝引發此事件的元件,或安裝已損壞。您可以在本機上安裝或修復該元件。
如果事件源自另一台計算機,則顯示資訊必須與事件一起保存。
活動包含以下資訊:
設備未加入 AAD/域或加入工作區。 mcp管理服務.dll
所需訊息的區域設定特定資源不存在
進而:
找不到來源 Universal Print 中事件 ID 1 的描述。您的本機上未安裝引發此事件的元件,或安裝已損壞。您可以在本機上安裝或修復該元件。
如果事件源自另一台計算機,則顯示資訊必須與事件一起保存。
活動包含以下資訊:
初始化成功。已啟用=假、CloudPrintSolution=未知、DiscoveryEndpoint=、OAuthAuthority=、OAuthClientId=、DiscoveryResourceId=、PrintResourceId= mcpmanagementservice.dll
所需訊息的區域設定特定資源不存在
我可以從這個 POV 中理解 3289 廣播,因為它是 Epson 端口,其他的我仍然不確定,但我感覺更好地了解了起源。我仍然可能會嘗試進一步挖掘以獲取更多資訊。