Puncte:0

Cum să vezi ce porturi folosește un proces?

drapel it

În timpul testării software-ului nostru, un client corporativ mare a putut detecta software-ul de licențiere terță parte folosind portul 137.

Până în acest moment, am fost conștienți doar de software-ul de licență care folosește portul 443.

M-am uitat la asta cu netstat, Get-NetTCPConnection și TCPView, dar nu pot găsi activitate de proces decât pe portul 443.

Când am întrebat compania de licențiere despre acest lucru, ei au recunoscut că folosesc 137 pentru a obține UUID-ul pentru anumite tipuri de licență.

Nu am experiență în rețele și sper că îmi puteți spune cum să văd acest comportament pentru mine.

joeqwerty avatar
drapel cv
`1.` Clientul a spus că a văzut acest comportament, iar compania de licențiere a spus că este adevărat.De ce trebuie să-l vezi singur? `2.` Ce vrea clientul să faci în privința asta?
NinjaLlama avatar
drapel it
1. Vreau să-l văd pentru că nu știam că este folosit. Nu vreți să fiți orbit de software-ul nostru care face din nou lucruri la care nu ne așteptăm. 2. Clientul nu va permite utilizarea acestui port.
dave_thompson_085 avatar
drapel jp
Portul 137 este netbios-ns (serviciu de nume netbios) și, deși atât TCP, cât și UDP sunt rezervate, Windows folosește doar UDP, așa că nu veți vedea niciodată o „conexiune” folosind acest port (UDP nu are conexiuni). `netstat -nao` sau tcpview cu 'show unconnected endpoints' _on_ (și de preferință 'resolve addresses' off) ar trebui să-l arate; fac pe sistemul meu (W10 acasă). Cu toate acestea, utilizarea acestui serviciu trece prin pseudo-procesul 4 (Sistem), așa că nu cred că veți vedea ce program(e) îl utilizează.
Tilman Schmidt avatar
drapel bd
Trebuie să fiți mai precis ce înțelegeți prin software-ul „folosind un port”. Poate fi interpretat fie ca „acceptarea conexiunilor pe port”, fie „realizarea conexiunilor la acel port pe un alt serviciu”, sau ambele. În funcție de sensul la care vă referiți, aveți nevoie de instrumente diferite și este posibil să pierdeți cu totul al doilea caz, deoarece utilizarea poate depinde de condiții specifice.
NinjaLlama avatar
drapel it
@TilmanSchmidt Trimite pachete prin portul 137. L-am putut vedea folosind SmartSniff în timp ce treceam prin execuția software-ului.
Tilman Schmidt avatar
drapel bd
Asta nu are sens. Un port este nimic prin care „trimiți” pachete „prin”. Este un atribut pe partea sursă sau destinație a unei conexiuni TCP. Este o diferență esențială dacă o aplicație acceptă conexiuni de intrare pe un port sau realizează conexiuni de ieșire către un port.
NinjaLlama avatar
drapel it
Poate că nu are sens pentru că nu înțeleg despre ce vorbesc. După un pic de cercetare, cred că face conexiuni de ieșire. Portul 137 nu este deschis pe firewall-uri sau routere, dar preiau pachete folosind SmartSniff.Acest lucru mă face să cred că, din moment ce detectez pachete, acestea sunt trimise pentru că nu cred că ar putea fi primite din cauza portului închis.
Puncte:0
drapel cn

Nirsoft.net are un instrument pentru acest lucru numit Smart Sniff. Tu trebuie sa ai NPCap sau WinPcap instalat pentru a-l folosi. SmartSniff înregistrează fiecare conexiune pe care o face computerul și afișează o linie per conexiune. În coloana Port la distanță, ar trebui să vedeți la un moment dat o conexiune la o gazdă pe portul 137 și care proces a inițiat acea conexiune. Există opțiuni de filtrare, precum și alte opțiuni de configurare care pot dezvălui ceea ce cauți.

În mod implicit, nu captează informații despre proces, așa că va trebui să o configurați:

  • După ce NPCap este instalat, lansați SmartSniff.
  • Apăsați F6 pentru a opri capturile active
  • Deschideți meniul Opțiuni:
    • Selectați „Opțiuni de captură” în partea de jos
    • Dacă este necesar, treceți la „Driver de captură de pachete WinPcap” și închideți meniul
  • Deschideți meniul Opțiuni:
    • Selectați „Preluare informații despre proces în timp ce capturați pachetele” și faceți clic pe OK.
  • Apăsați F5 pentru a începe capturarea din nou. SmartSniff arată astfel:

.

NinjaLlama avatar
drapel it
Multumesc pentru raspunsul detaliat. Am urmărit acest lucru și am văzut aceeași utilizare a portului 443 pe care am văzut-o înainte și mă așteptam. Habar n-am unde găsesc această utilizare a portului 137.
NinjaLlama avatar
drapel it
După o diagnosticare îndelungată, am putut folosi acest instrument pentru a descoperi că traficul meu netbios-ns are loc după ce un pdf s-a terminat de încărcat într-un control WebBrowser. Acum să-mi dau seama de ce se întâmplă asta și dacă pot să-l opresc.
Puncte:0
drapel gr

Încercați acest instrument crowdinspect

Această aplicație este un instrument de inspecție a proceselor bazat pe gazdă în scopuri de analiză a malware Captură de ecran, are monitorizare live\History a procesului de rețea, sper să vă ajute :).

Puncte:0
drapel us

Puteți utiliza Monitorul resurselor. Va afișa fiecare conexiune TCP și ce program ascultă pe ce port.

Alternativa ar fi folosirea netstat în promptul de comandă.

NinjaLlama avatar
drapel it
Ok, voi încerca Resource Monitor pentru a detecta acest comportament. Am încercat deja netstat și nu am putut vedea nicio utilizare a portului 137 din acest software.
NinjaLlama avatar
drapel it
Am pornit monitorizarea resurselor și am rulat aplicația. Încă văd doar portul 443 pe acesta, precum și netstat din nou.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.