Echipa mea de securitate a companiei m-a informat că stația mea de lucru trimite ping la unele adrese IP „pe lista neagră”. Instrumentul de securitate pentru întreprinderi care raportează aceste informații se află în locul firewall-ului obișnuit Windows, dar se pare că nu poate spune care proces este vinovat.
Dispozitivul l-am reconstruit acum aproximativ șase luni din același motiv și sunt destul de sigur că este doar o aplicație care folosește o rețea de livrare de conținut care se întâmplă să fi fost folosită și de unele programe malware la un moment dat; de aici IP-urile blocate.
În mod normal, în această situație, o combinație de Wireshark, netstat, TCPView și alte instrumente m-ar ajuta să stabilesc ce proces generează traficul. Cu toate acestea, pentru cererile de eco ICMP, se pare că procesul sursă este întotdeauna un DLL de sistem.
Unele căutare pe Google au condus la o pagină care are unele sfaturi despre cum să restrângeți procesul verificând care au încărcat icmp.dll sau iphlpapi.dll.În prezent, am încărcate zeci de procese cu iphlpapi.dll, așa că încercarea de a restrânge care ar putea trimite aceste solicitări va dura destul de mult.
O altă problemă este că aceste solicitări ICMP sunt trimise foarte rar. Poate de câteva ori pe zi. Deci, în momentul în care mă uit, s-ar putea ca procesul să nu ruleze.
Ceea ce îmi trebuie cu adevărat este un instrument pe care îl pot lăsa în funcțiune, care va căuta cereri ICMP către aceste adrese IP și, de îndată ce vor fi văzute, va identifica procesul care le-a făcut. Există așa ceva? Există o altă abordare cu efort redus de care îmi lipsește?
