Eu estava fazendo uma captura de pacotes como parte de um projeto de desenvolvimento e vi algum tráfego estranho vindo da minha máquina no arquivo de captura.
A cada 3600 segundos, uma solicitação NAT-PMP está sendo enviada para o IP "1.1.168.192". (Divertido, parece que algo deixou a endiansa errada.)
Estou preocupado que a máquina possa ter malware, mas as verificações de malware não relatam nada.
Eu iniciei uma captura de pacotes filtrando apenas os pacotes NAT-PMP em questão, e os pacotes estão saindo quase a cada hora, mas não de forma confiável a cada hora.
O próprio Wireshark não pode me dizer qual processo está enviando os pacotes. TCPView poderia funcionar, mas eu teria que ter certeza de que estou na máquina quase exatamente quando os pacotes saem, porque a lista não mantém conexões fechadas ou inativas por muito tempo. Com os pacotes não saindo de forma confiável a cada hora, é uma proposta frustrante.
Sugestões sobre como descobrir qual processo está enviando esses pacotes em um intervalo amplo?
Você pode realizar isso facilmente com o Monitor de processo da SysInternals . Execute-o como administrador e configure-o da seguinte maneira:
Você pode ativar o wire-wire para mostrar as portas de origem e de destino.
filtre por UDP e encontre qual processo está ligado à porta.
Você pode usar netstat -b para listar todas as portas com processos vinculados.