Utente Windows: sta avendo molte connessioni TCP attive normali?

0

È normale? Le porte possono essere "pericolose"?

Ho 9 tcp in stato di ascolto, 4 in uno stato close_wait e 4 in uno stato stabilito.

Alcuni di loro si dirigono verso processi dispari usando PID come tab.exe di default. Molti di loro provengono da IObit negli stati: close_wait e stabiliti.

Qualcosa di cui sono preoccupato è che alcuni dei PID non vengono visualizzati nel task manager, non sono sicuro che si tratti di un mio indirizzo locale con lo stesso tipo: 135, 445, 554 ... ecc ... cosa significano quei numeri alla fine?

L'esempio sarebbe: (indirizzo locale) 0.0.0.0:135 all'indirizzo straniero 0.0.0.0 Lo stato è in ascolto, il PID è 940 ma non riesco a trovare il PID, quindi non sono sicuro di quale processo lo sta causando e che sembra strano

Ok, ora so davvero cos'è il TCP, ma mi chiedo ancora perché il PID non viene visualizzato sul task manager per alcune delle connessioni?

    
posta luke 23.08.2013 - 20:46
fonte

2 risposte

2

Può essere perfettamente normale ma può anche essere pericoloso. Il: numero dopo un indirizzo IP è il numero di porta. Vorrei indagare sui processi che li possiedono. Usa qualcosa come Process Explorer di SysInternal e assicurati di eseguirlo in modalità amministratore per assicurarti di ottenere tutti i processi. A volte i processi possono essere annidati all'interno di un altro e non necessariamente appaiono sempre nel normale Task Manager.

Se sono tutti processi che conosci, non sarei preoccupato.

    
risposta data 23.08.2013 - 22:47
fonte
2

Qualsiasi porta # potrebbe essere usata pericolosamente. Un numero di porta è solo un campo nel livello di trasporto utilizzato per il multiplexing dei messaggi in arrivo sulla scheda di rete al servizio di livello applicazione corretto. Concesso per la connessione ai servizi comuni, esiste un numero di porta noto e standarizzato; ad esempio, se ci si connette a un server Web tramite HTTP senza specificare un numero di porta, il server Web viene eseguito sulla porta 80 (sebbene la connessione dalla propria estremità sia una porta assegnata dal sistema operativo casuale #). Puoi cercare servizi ben noti nella lista IANA .

Ad esempio, hai citato port 135 . In Windows, questa è una porta comune per la risoluzione endpoint di epmap / DCE, che viene utilizzata per chiamate di procedura remota per la gestione di standard servizi Windows (ad esempio, come server DHCP, server DNS, WINS, SMB, ecc.). Certo, il malware può anche scegliere di usare anche la porta 135 .

    
risposta data 23.08.2013 - 23:11
fonte

Leggi altre domande sui tag