V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
andybest
V2EX  ›  问与答

断网情况下,使用抓包工具检测被 Google 3 个 IP 刷屏是怎么情况

  •  
  •   andybest · 2014-12-09 15:21:57 +08:00 · 3442 次点击
    这是一个创建于 3669 天前的主题,其中的信息可能已经有所发展或是发生改变。
    使用 wireshark 未加任何 filter 的情况下抓包分析,系统是运行在虚拟机中的 win7,未启动任何其他程序
    出现大量可能是来自 Google 三个 IP 的 tcp retransmission,IP分别为:
    24.244.4.50
    24.244.4.76
    173.194.33.135

    但奇怪的是网络并未连接

    也就是系统仅启动 wireshark ,没有网络连接的情况下(该虚拟机的母机未联网),每秒大概20条这样的信息速度刷屏

    这种情况是否正常?如何进一步分析出怎么造成这种情况的?

    
    10 条回复    2014-12-09 17:11:14 +08:00
    mringg
        1
    mringg  
       2014-12-09 15:25:30 +08:00 via Android   ❤️ 1
    你后台有goagent?肯定是有进程在访问google
    mringg
        2
    mringg  
       2014-12-09 15:26:48 +08:00 via Android   ❤️ 1
    对了,通过端口号,查查进程
    andybest
        3
    andybest  
    OP
       2014-12-09 15:35:09 +08:00
    @mringg 非常感谢,可以在每条 tcp retransmission 信息中看到例如:

    src port:80 (或者443)也就是确定包来自 80/443 http端口
    dst port:49190 /49188 / 49190 /49167 /49189 ...

    如何根据 dst port 查出对应我本机的哪个进程?
    andybest
        4
    andybest  
    OP
       2014-12-09 15:40:59 +08:00
    netstat -aon|findstr 49188 用这种方式查没有任何结果
    jasontse
        5
    jasontse  
       2014-12-09 15:50:33 +08:00 via iPad
    Google Update Service
    andybest
        6
    andybest  
    OP
       2014-12-09 16:10:04 +08:00
    @jasontse 该虚拟机上就安装了一个 Chrome ,卸载后仍然是狂刷不止
    mringg
        7
    mringg  
       2014-12-09 17:05:15 +08:00 via Android
    这个应该查看源端口吧,80,443
    mringg
        8
    mringg  
       2014-12-09 17:07:47 +08:00 via Android
    我有晕了T_T
    mringg
        9
    mringg  
       2014-12-09 17:09:24 +08:00 via Android
    这个端口用完了可能就被释放了,你多试几次
    mringg
        10
    mringg  
       2014-12-09 17:11:14 +08:00 via Android
    应该是目的端口,刚才迷糊了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5563 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 06:57 · PVG 14:57 · LAX 22:57 · JFK 01:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.