断网情况下，使用抓包工具检测被 Google 3 个 IP 刷屏是怎么情况

2014-12-09 15:21:57 +08:00

andybest

使用 wireshark 未加任何 filter 的情况下抓包分析，系统是运行在虚拟机中的 win7，未启动任何其他程序
出现大量可能是来自 Google 三个 IP 的 tcp retransmission，IP分别为：
24.244.4.50
24.244.4.76
173.194.33.135

但奇怪的是网络并未连接

也就是系统仅启动 wireshark ，没有网络连接的情况下（该虚拟机的母机未联网），每秒大概20条这样的信息速度刷屏

这种情况是否正常？如何进一步分析出怎么造成这种情况的？

3425 次点击

所在节点

问与答

10 条回复

mringg

2014-12-09 15:25:30 +08:00

你后台有goagent?肯定是有进程在访问google

mringg

2014-12-09 15:26:48 +08:00

对了，通过端口号，查查进程

andybest

2014-12-09 15:35:09 +08:00

@mringg 非常感谢，可以在每条 tcp retransmission 信息中看到例如：

src port:80 （或者443）也就是确定包来自 80/443 http端口
dst port:49190 /49188 / 49190 /49167 /49189 ...

如何根据 dst port 查出对应我本机的哪个进程？

andybest

2014-12-09 15:40:59 +08:00

netstat -aon|findstr 49188 用这种方式查没有任何结果

jasontse

2014-12-09 15:50:33 +08:00

Google Update Service

andybest

2014-12-09 16:10:04 +08:00

@jasontse 该虚拟机上就安装了一个 Chrome ，卸载后仍然是狂刷不止

mringg

2014-12-09 17:05:15 +08:00

这个应该查看源端口吧，80，443

mringg

2014-12-09 17:07:47 +08:00

我有晕了T_T

mringg

2014-12-09 17:09:24 +08:00

这个端口用完了可能就被释放了，你多试几次

mringg

2014-12-09 17:11:14 +08:00

应该是目的端口，刚才迷糊了

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/152627

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.