web-dev-qa-db-ja.com

1時間に1回UDPパケットを送信しているプロセスを特定する方法は?

私は開発プロジェクトの一環としてパケットキャプチャを行っていましたが、キャプチャファイルで自分のマシンからの奇妙なトラフィックがいくつか見られました。

約3600秒ごとに、NAT-PMP要求がIP "1.1.168.192"に送信されています。 (おかしなことに、エンディアンが間違っているように見えます。)

マシンにマルウェアが含まれている可能性があるのではないかと心配していますが、マルウェアスキャンでは何も報告されません。

問題のNAT-PMPパケットのみをフィルタリングしてパケットキャプチャを開始したところ、パケットは毎時ほぼで送信されていますが、毎時間確実ではありません。

Wireshark自体では、どのプロセスがパケットを送信しているかはわかりません。 TCPViewは機能する可能性がありますが、リストがクローズまたは非アクティブな接続を非常に長く保持しないため、パケットが送信されるときはほぼ正確にマシンにいることを確認する必要があります。パケットが1時間ごとに確実に送信されるわけではないので、それは苛立たしい提案です。

どのプロセスがこれらのパケットを広い間隔で送信しているかを把握する方法についての提案はありますか?

3
fdmillion

これは、SysInternalsの Process Monitor で簡単に実現できます。管理者として実行し、次のように構成します。

  1. FilterメニューでFilter ...をクリックします
  2. 最初のドロップダウンボックスで、Operationを選択します。一致条件としてIsを選択し、空のドロップダウンボックスでUDP Sendをクリックし、追加をクリックします。

enter image description here

  1. この場合も、最初のドロップダウンボックスでPathを選択します。一致条件としてContainsを選択し、フリーテキストドロップダウンに宛先IPアドレスを入力して、追加

enter image description here

  1. [〜#〜] ok [〜#〜]をクリックして、新しいフィルターをアクティブにします。
  2. 一致するトラフィックが見つかるまでプロセスモニターを実行します。

enter image description here

  1. 一致するエントリを右クリックしてPropertiesを選択し、Processタブをクリックして、アウトバウンドUDPトラフィックに関連するプロセスを表示します。

enter image description here