Y a-t-il une manière de déterminer quel service (dans svchost.exe) fait une connexion sortante ?
Je refais ma configuration de pare-feu avec des politiques plus de rigueur et je voudrais déterminer la provenance (et/ou la destination) de quelques connexions sortantes.
J'ai une question parce qu'elles viennent de svchost.exe et vont aux fournisseurs de la livraison de contenu/application de Web - ou semblable :
5 IP in range: 82.96.58.0 - 82.96.58.255 --> Akamai Technologies akamaitechnologies.com
3 IP in range: 93.150.110.0 - 93.158.111.255 --> Akamai Technologies akamaitechnologies.com
2 IP in range: 87.248.194.0 - 87.248.223.255 --> LLNW Europe 2 llnw.net
205.234.175.175 --> CacheNetworks, Inc. cachefly.net
188.121.36.239 --> Go Daddy Netherlands B.V. secureserver.net
Est-il ainsi possible de savoir quel service fait une connexion particulière ? Ou quelle est votre recommandation au sujet des règles appliquées à ?
(Pare-feu de Comodo et Windows 7)
Mise à jour :
netstat - l'ano et le tasklist /svc m'aident mais ils sont beaucoup de services dans un svchost.exe ainsi c'est toujours une question. d'ailleurs les noms de service retournés par « tasklist /svc » ne sont pas lisibles facile.
(Toutes les connexions sont HTTP (le port 80) mais je ne pense pas que c'est approprié)
J'ai trouvé qu'une méthode dans cette réponse de défaut de serveur (au sujet des services et de l'utilisation de mémoire) cette je pourrait employer pour analyser individuellement l'utilisation de réseau des services (avec tout outil de réseau)
Dédoublez chaque service pour courir dans son propre processus de SVCHOST.EXE et le service consommant les cycles d'unité centrale de traitement sera facilement évident dans le gestionnaire de tâches ou l'explorateur de processus (l'espace après que « = » soit exigé) :
Les config Servicename Type= de Sc possèdentFaites ceci dans une ligne de commande fenêtre ou mettez-le dans un manuscrit de BATTE. Des privilèges administratifs sont exigés et une reprise de l'ordinateur est exigée avant qu'elle entre en vigueur.
L'état original peut être reconstitué par :
Part de Servicename Type= de config de Sc
essai utilisant le tasklist /svc et le netstat ou le netstat - de la ligne de commande. Ceci te montrera les programmes qui emploient svchost.exe et les ports étant. Utilisant les numéros d'accès, vous pouvez pouvoir rechercher le protocole qui emploie généralement le nombre http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers.
SysInternals traitent l'explorateur peut faire ceci pour vous.
Ouvrez les propriétés de processus de l'exemple de svchost.exe que vous essayez d'analyser. Cliquez sur dessus le double de TCP/IP tableau cliquent sur dessus la connexion que vous voulez découvrir pour évoquer une trace de pile de la connexion. Vous devriez pouvoir tracer la pile de nouveau au DLL qui met en application le service. Voici un extrait à partir du dossier d'aide sur le sujet de Properites de processus :
TCP/IP :
Tous les points finaux actifs de TCP et d'UDP possédés par le processus sont montrés à cette page.
Sur Windows XP SP2 et plus haut cette page inclut un bouton de pile qui ouvre un dialogue qui montre la pile du fil qui a ouvert le point final choisi à l'heure de l'ouvert. C'est utile pour identifier le but des points finaux dans le processus de système et les processus de Svchost parce que la pile inclura le nom du conducteur ou l'entretiendra qui est responsable du point final
Également sur des symboles de configuration
Configurez les symboles : sur Windows NT et plus haut, si vous voulez que l'explorateur de processus résolve les adresses pour des adresses de début de fil dans l'étiquette de fils du dialogue de processus de propriétés et la fenêtre de pile de fil puis configurent des symboles par le premier téléchargement que les outils d'élimination des imperfections pour Windows empaquettent du site Web de Microsoft et de l'installer dans son annuaire de défaut. Ouvrez le dialogue de symboles de configuration et spécifiez le chemin au dbghelp.dll qui est dans l'annuaire d'outils d'élimination des imperfections et ayez les symboles de téléchargement de moteur de symbole sur demande de Microsoft à un annuaire sur votre disque en entrant dans une ficelle de serveur de symbole pour le chemin de symbole. Par exemple, pour avoir le téléchargement de symboles à l'annuaire de c:\symbols vous entreriez dans cette ficelle :
srv* c:\symbols * http://msdl.microsoft.com/download/symbols
Note : Vous pouvez devoir courir l'explorateur de processus comme administrateur pour pouvoir voir la pile du fil.
Employez le gestionnaire de tâches pour regarder les colonnes de PID pour chaque processus dans la liste de processus. Puis netstat de course - ano pour regarder les connexions actives et le PID associé (= identificateur de processus).
