В моем pcap-файле wireshark впервые за последние несколько месяцев я увидел передачу большого количества данных через TCP-порты 60000, 60002, 60004, 60008. Один боковой IP-адрес принадлежит otx.alienvault.com. Но согласно это & Этот Порт веб-сайта 60000 используется троянами/бэкдорами/глубокой глоткой и т. д. Я не могу отследить приложение, использующее этот порт.
3295 2021-09-02 06:50:19.696773242 99.XX.XX.XX 100.XX.XX.XXX TCP 74 443 → 60000 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS =1440 SACK_PERM=1 TSval=143274654 TSecr=613246749 WS=512
На Этот link one предлагает «Отследить, какие машины прослушивают или используют эти порты, и сопоставить эти соединения / порты с их идентификатором процесса». Но как не знаю.
3391 2021-09-02 06:50:19.817344087 99.XX.XX.XX 100.XX.XX.XXX TLSv1.3 1494 Application Data [TCP-сегмент повторно собранного PDU]
Это были разные порты 60000, 60002, 60004, 60008. Я совсем профан. Пожалуйста, помоги мне.
Отображаемые MAC-адреса не являются MAC-адресом моего ноутбука. это MAC-адреса некоторых устройств в сети.
Ethernet II, источник: XX:XX:XX:XX:38:8e (XX:XX:XX:XX:38:8e), Dst: XX:XX:XX:XX:09:a9 (XX:XX:XX: ХХ:09:а9)
