Como o seu roteador realiza a inspeção de pacotes com monitoração de estado, há três motivos possíveis para a exibição de portas "abertas" com fluxos de tráfego saindo do roteador:
- Você tem o dispositivo configurado em uma DMZ e todo o tráfego não solicitado é direcionado para ele,
- Você criou uma regra de encaminhamento de porta, que permite que essa porta seja direcionada para um sistema específico, para tráfego não solicitado,
- Ou a porta que você está vendo não está realmente aberta, mas em uso por uma conexão existente solicitada pela LAN. A porta não aceitará tráfego não solicitado, mas é acessível ao seqüestro de conexão TCP tentativas de ataque (apesar de serem muito difíceis de conseguir atualmente).
Se nenhuma condição 1 ou 2 for verdadeira, a conexão foi feita de dentro da sua LAN.
Como você tem informações de log limitadas e (principalmente) equipamentos de rede não gerenciados, a maneira mais fácil de determinar o cliente e o processo de LAN, para uma rede doméstica, seria simplesmente visitar cada terminal e determinar se o terminal está conectado a um servidor remoto nessa porta.
você pode fazer isso de uma instância elevada do powershell, com o comando:
netstat -abno | findstr <portnum>
ou se o IP remoto for conhecido:
netstat -abno | findstr <RemoteIPAddr>
A partir daí, depois de encontrar a conexão do cliente, você poderá anotar a ID do processo, que poderá procurar no Process Explorer ou no Gerenciador de Tarefas, para determinar o executável que está causando a conexão.