Рейтинг:0

Как узнать, какие порты использует процесс?

флаг it

При тестировании нашего программного обеспечения крупный корпоративный заказчик смог обнаружить стороннее лицензионное программное обеспечение, использующее порт 137.

До этого момента мы знали только о лицензионном программном обеспечении, использующем порт 443.

Я изучил это с помощью netstat, Get-NetTCPConnection и TCPView, но я могу найти активность процесса только на порту 443.

Когда я спросил об этом лицензионную компанию, они подтвердили, что используют 137 для получения UUID для определенных типов лицензий.

У меня нет опыта работы с сетями, и я надеюсь, что вы можете сказать мне, как увидеть это поведение для себя.

joeqwerty avatar
флаг cv
`1.` Клиент сказал, что видел такое поведение, и лицензирующая компания сказала, что это правда.Зачем вам это нужно видеть своими глазами? `2.` Что клиент хочет, чтобы вы сделали по этому поводу?
NinjaLlama avatar
флаг it
1. Я хочу его увидеть, потому что не знал, что он используется. Не хочу, чтобы наше программное обеспечение снова делало то, чего мы не ожидаем. 2. Клиент не разрешает использовать этот порт.
dave_thompson_085 avatar
флаг jp
Порт 137 — это netbios-ns (служба имен netbios), и хотя и TCP, и UDP зарезервированы, Windows использует только UDP, поэтому вы никогда не увидите «соединение» с использованием этого порта (UDP не имеет соединений). `netstat -nao` или tcpview с включенным 'показывать неподключенные конечные точки' (и, желательно, выключенным 'разрешать адреса') должны показать это; они делают в моей системе (дом W10). Однако использование этой службы проходит через псевдопроцесс 4 (Система), поэтому я не думаю, что вы увидите, какие программы ее используют.
Tilman Schmidt avatar
флаг bd
Вам нужно уточнить, что вы подразумеваете под программным обеспечением, «использующим порт». Это может быть интерпретировано либо как «прием подключений к порту», ​​либо как «установление подключений к этому порту в какой-либо другой службе», либо как то и другое. В зависимости от того, какое значение вы имеете в виду, вам нужны разные инструменты, и вы можете вообще пропустить второй случай, потому что использование может зависеть от конкретных условий.
NinjaLlama avatar
флаг it
@TilmanSchmidt Он отправляет пакеты через порт 137. Я смог увидеть это с помощью SmartSniff при выполнении программного обеспечения.
Tilman Schmidt avatar
флаг bd
Это не имеет смысла. Порт - это то, через что вы "отправляете" пакеты. Это атрибут на стороне источника или назначения TCP-соединения. Существенная разница заключается в том, принимает ли приложение входящие соединения через порт или выполняет исходящие соединения с портом.
NinjaLlama avatar
флаг it
Возможно, это не имеет смысла, потому что я не понимаю, о чем говорю. После небольшого исследования я считаю, что он делает исходящие соединения. Порт 137 не открыт на брандмауэрах или маршрутизаторах, но я получаю пакеты с помощью SmartSniff.Это заставляет меня поверить, что, поскольку я обнаруживаю пакеты, они исходящие, потому что я не думаю, что они могут быть входящими из-за закрытого порта.
Рейтинг:0
флаг us

Вы можете использовать монитор ресурсов. Он покажет каждое TCP-соединение и какая программа прослушивает какой порт.

Альтернативой было бы использование нетстат в командной строке.

NinjaLlama avatar
флаг it
Хорошо, я попробую Resource Monitor, чтобы обнаружить это поведение. Я уже пробовал netstat и не смог увидеть использование порта 137 этим программным обеспечением.
NinjaLlama avatar
флаг it
Я запустил монитор ресурсов и запустил приложение. Я все еще вижу только порт 443, а также снова netstat.
Рейтинг:0
флаг gr

Попробуйте этот инструмент массовый осмотр

Это приложение представляет собой инструмент проверки процессов на основе хоста для целей анализа вредоносных программ. Скриншот, у него есть мониторинг сетевой активности процесса live\History, надеюсь, это поможет :).

Рейтинг:0
флаг cn

У Nirsoft.net есть инструмент для этого, который называется Умный нюх. У вас должно быть NPCap или установлен WinPcap для его использования. SmartSniff записывает каждое соединение, которое делает ваш компьютер, и отображает одну строку для каждого соединения. В столбце «Удаленный порт» вы должны в какой-то момент увидеть подключение к какому-либо хосту через порт 137 и какой процесс инициировал это подключение. Существуют параметры фильтрации, а также другие параметры конфигурации, которые могут выявить то, что вы ищете.

По умолчанию он не собирает информацию о процессе, поэтому вам необходимо настроить его:

  • После установки NPCap запустите SmartSniff.
  • Нажмите F6, чтобы остановить активные захваты
  • Откройте меню параметров:
    • Выберите «Параметры захвата» внизу
    • При необходимости измените на «Драйвер захвата пакетов WinPcap» и закройте меню.
  • Откройте меню параметров:
    • Выберите «Получить информацию о процессе при захвате пакетов» и нажмите «ОК».
  • Нажмите F5, чтобы снова начать захват. SmartSniff выглядит так:

.

NinjaLlama avatar
флаг it
Спасибо за подробный ответ. Я следил за этим и вижу то же использование порта 443, которое я видел раньше и ожидал. Я понятия не имею, где они находят использование этого порта 137.
NinjaLlama avatar
флаг it
После длительной диагностики я смог использовать этот инструмент, чтобы обнаружить, что мой трафик netbios-ns возникает после завершения загрузки PDF-файла в элементе управления WebBrowser. Теперь нужно просто выяснить, почему это происходит и могу ли я это остановить.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.