Obtém o nome do processo acessando determinado IP

Question

Obtém o nome do processo acessando determinado IP

#1 resposta do (1 votos)

1

Eu preciso do nome do processo que está tentando acessar os IPs externos. Esses processos podem ser malware ou atualizações, eles são de curta duração, portanto, netstat ou monitor de recursos não podem ser usados. Eu tentei MS Message Analyzer, mas eu recebo resultados ruins (processo ocioso é listado mais). Existe outra ferramenta ou procedimento que eu poderia tentar?

Segui este artigo para configurar o Analizador de Mensagens.

Esta é a saída do netmon:

All Traffic

My Traffic

Unavailable (3020)

Unavailable (1788)

taskhost.exe (704)

Unavailable (600) +

Unavailable (3048)

Unavailable (360)

IPv4 (xx.xx.xx.xx - 23.0.174.16) ConvID = 162

IPv4 (xx.xx.xx.xx - 23.0.174.8) ConvID = 166

IPv4 (xx.xx.xx.xx - 23.0.174.19) ConvID = 171

IPv4 (xx.xx.xx.xx - 23.0.174.27) ConvID = 175

IPv4 (xx.xx.xx.xx - 23.0.174.35) ConvID = 181

IPv4 (xx.xx.xx.xx - 5.22.191.202) ConvID = 195

IPv4 (xx.xx.xx.xx - 5.22.191.201) ConvID = 199

IPv4 (xx.xx.xx.xx - 5.22.191.233) ConvID = 203

IPv4 (xx.xx.xx.xx - 5.22.191.227) ConvID = 207

IPv4 (xx.xx.xx.xx - 5.22.191.217) ConvID = 211

IPv4 (xx.xx.xx.xx - 193.77.14.137) ConvID = 232

IPv4 (xx.xx.xx.xx - 193.77.14.171) ConvID = 236

Eu não entendo isso no monitor de recursos. Esses IP's são estranhos, eu não navego no servidor durante o monitoramento.

networking windows windows-server-2008 windows-server-2008-r2 net

por malibeg 02.12.2015 / 09:18

1 resposta

Tags networking windows windows-server-2008 windows-server-2008-r2 net

NGINX: Evitar que os usuários visualizem o site na porta (example.com:5000) As RDS CALs sem Software Assurance podem ser migradas de um servidor local para uma VM do Azure?

score 1 · Accepted Answer

Você pode usar o Process Monitor (procmon) para isso. Link para o download: link

Depois de abri-lo, defina alguns filtros apenas para o conteúdo da rede. Se você tiver várias interfaces de rede, poderá usá-las:

Operation | is | TCP Send | then Include

Operation | is | UDP Send | then Include

Path | contains | 127.0.0.1 | then Exclude

(Eu estou supondo que você não se importa em acessar o endereço de loopback)

Se você tiver apenas uma interface de rede ou apenas uma que lhe interessa, poderá definir o filtro como:

Path | begins with | x.x.x.x | then include

Onde x.x.x.x é o endereço IP da interface local.

Você pode filtrá-lo ainda mais a partir daqui, excluindo processos bons conhecidos ou excluindo pacotes de solicitações de DNS / acks / etc. Você pode deixá-lo rodar pelo tempo que quiser, mas fique de olho no uso da memória. Por padrão, ele manterá 199 milhões de eventos no loop e você pode querer aumentar ou diminuir esse valor. No final do dia, você pode navegar pela lista manualmente ou ir para Ferramentas - > Resumo da rede e filtre por endereços IP individuais.