Identificando o serviço do Windows gerando tráfego de rede

Navegue suas respostas
3

Os serviços do Windows são executados nos processos do host. Observando o tráfego usando o Monitor de Recursos do Windows 8, vejo o tráfego gerado por svchost.exe (netsvcs) . Parece ser direcionado para um endereço IP controlado por um grande ISP croata.

O endereço é 213.191.147.215.

O tráfego gerado por svchost.exe (NetworkService) é direcionado para um (muito parecido) 213.191.147.216. Sniffing with Wireshark revela que as solicitações HTTP para 213.191.147.216 incluem /msdownload/... na URL. 

GET /msdownload/update/v3/static/trustedr/en/authrootstl.cab?edc2fcdacea5cc1a HTTP/1.1
Connection: Keep-Alive
Accept: */*
User-Agent: Microsoft-CryptoAPI/6.3
Host: ctldl.windowsupdate.com

HTTP/1.1 200 OK
Cache-Control: max-age=604800
Content-Type: application/octet-stream
Last-Modified: Fri, 04 Oct 2013 00:14:07 GMT
Accept-Ranges: bytes
ETag: "80f18a496c0ce1:0"
Server: Microsoft-IIS/7.5
X-Powered-By: ASP.NET
Content-Length: 54009
Date: Tue, 22 Oct 2013 12:44:14 GMT
Connection: keep-alive

Isso me leva a concluir que ambos são membros de uma CDN da Microsoft na Croácia.

Eu tentei desativar o serviço Windows Update, mas o download de .215 continuou. Isso é problemático; durante o verão, eu tinha mais de 200 MB baixados em 3G em 10 minutos antes de perceber o que estava acontecendo. Isso foi apenas alguns minutos depois que eu paguei por 1GB de tráfego para o meu provedor. Eu realmente não gosto que a Microsoft desperdice meu dinheiro depois de ter sido explicitamente avisada para NÃO baixar nenhuma atualização em segundo plano.

Hoje eu reparei isso novamente. Enquanto eu não estou conectando via celular neste momento, eu adoraria saber a solução para o problema de uma vez por todas.

Como não tenho a intenção de desativar os serviços aleatoriamente, esperando atingir o que gera tráfego, prefiro identificar qual serviço está gerando tráfego.

Como identifico qual serviço de segundo plano iniciou o download? Como identifico quais serviços de segundo plano estão gerando tráfego de rede?

    
por Ivan Vučica 22.10.2013 / 14:51

2 respostas

4

Eu uso o TCPView da Sysinternals (MS Technet) para visualizar informações de conexão em tempo real no Windows. inclui o processo que inicia o fluxo.

link

se o tráfego estiver vindo de um processo SvcHost, anote o PID do processo e execute 

tasklist /SVC > c:\tasks.txt

em um prompt de comando. abra o arquivo e anote os serviços que compartilham esse PID. um deles é o culpado. você deve ser capaz de desativar muitos deles em services.msc.

se o tráfego vier do PID 4 (processo do sistema), você provavelmente não conseguirá se aprofundar mais facilmente, mas provavelmente poderá identificar o encadeamento que causa o tráfego com o Process Explorer também da SysInternals, e a partir daí as dlls que compõem sua pilha. há muito pouco que você pode fazer com base nessas informações, no entanto.

boa sorte.

    
por 22.10.2013 / 16:04
0

Por causa de Host: ctldl.windowsupdate.com , eu diria que este é o serviço do Windows Update que verifica o seu PC para atualizações.

    
por 22.10.2013 / 16:57

Tags

Por que este arquivo não está conseguindo criar links simbólicos? Unset Environment Variable no Mac