Descobrir porque meu laptop está inundando meu NAS

Question

Descobrir porque meu laptop está inundando meu NAS

#1 resposta do (0 votos)

0

Eu tenho um laptop com o Windows 7 Home Premium e uma unidade de armazenamento de rede QNAP TS-412. Por alguma razão, meu laptop aparentemente às vezes começa a bombardear o NAS nas portas TCP 445, 139, 80 e na porta UDP 1900. A caixa NAS então bane o endereço IP do meu laptop para essas portas por 5 minutos. O "ataque" não continua depois que a proibição é suspensa. Estes incidentes acontecem sempre por volta das 17:00 às 19:00, todos os dias. O laptop tem o Microsoft Security Essentials com definições de vírus atualizadas e eu não instalei nenhum software de fontes questionáveis. Eu não estava acessando ativamente o NAS de qualquer maneira quando os incidentes ocorreram.

O servidor NAS envia alertas por e-mail quando isso acontece. Aqui está um exemplo:

 Server Name: Purnukka
 IP Address: 192.168.0.1
 Date/Time: 2013/09/18 08:19:03
 Level:  Warning
 [Security] Access Violation from 192.168.0.106 with TCP (port=80)

192.168.0.106 é o IP do meu laptop, verificado na tabela DHCP do meu roteador.

Isso é um problema comum? Como posso descobrir qual programa ou processo do sistema é responsável?

networking windows-7 nas

por Kaivosukeltaja 18.09.2013 / 07:04

1 resposta

Tags networking windows-7 nas

Onde está localizado o arquivo de configuração do Karma? Defina CSV como importação padrão em uma planilha

score 0 · Answer 1

Fazer captura de pacotes no laptop com o Wireshark no tráfego entre ele e a caixa NAS pode explicar alguma coisa, pelo menos para porta 80, pois a solicitação provavelmente seria clara e forneceria uma pista sobre o que e por que está sendo tentada.

Embora a infecção por malware seja sempre uma suspeita válida, suspeito que exista um aplicativo relacionado a multimídia e / ou sincronização / compartilhamento de arquivos que tenha agendado a atualização / pesquisa de recursos de rede. Pode ser difícil rastreá-lo, a menos que você configure algum tipo de ferramenta para monitorar constantemente as conexões abertas. Uma maneira simples, porém grosseira, feia e pouco ideal é ter o seguinte comando em execução no laptop quando o problema tende a acontecer.

netstat -no 1 | findstr "192.168.0.1" | findstr "445 139 80 1900" > logfile.txt

Em seguida, você veria a saída logfile.txt do ID do processo (o último número na linha) que inicia essas conexões e poderia tentar encontrá-lo na lista de processos do Gerenciador de Tarefas (é necessário adicionar a coluna PID lá de View - > Select columns... se ainda não estiver lá). Isso falhará claramente se o processo for encerrado logo após a conexão, mas, nesse caso, você pode tentar adicionar -b aos parâmetros de netstat (ou seja, netstat -nob 1 | ... ) - precisa executar o cmd.exe com privilégios de administrador para esse para trabalhar, no entanto.