Як зловити пакет tcp у Windows?

У мене є сервер Windows 2003, і я бачу в своїх журналах брандмауера кілька відмовлених пакетів tcp: приблизно 1-5 на годину.

Це виглядає так:

18:20:37 tcp 192.168.xx.y (4994) -> 104.28.25.67 (80), 1 пакет 18:39:15 tcp 192.168.xx.z (3823) -> 212.30.134.166 (80), 1 пакет 18:39:36 tcp 192.168.xx.z (3842) -> 212.30.134.167 (80), 1 пакет

Я думаю, що це якийсь процес Windows, можливо, оновлення Windows або щось подібне, але я хочу точно знати.

Tcpview може відображати ім'я процесу та з'єднання, але не може увійти в систему, і неможливо кілька годин дивитись на екран, щоб зафіксувати цей процес.

Монітор мережі Microsoft не записує назву процесора або мережеві з'єднання лише PID Внутрішній журнал брандмауера також не записує ім'я процесу.

Хто знає таке програмне забезпечення, як tcpview, відьма може вести журнал мережевих пакетів і записувати ім'я процесу (PID) вихідних з'єднань?

— b4444
джерело

схоже, що tcpvcon.exe може допомогти))) пакетна група показує всі з'єднання:

: b1 echo.% date%% time% ----------- "% temp% \ tcp.log" tcpvcon.exe -n -c >> "% temp% \ tcp.log" ping 127.0 .0.0> nul goto b1

— b4444
джерело

Ви можете показати приклад результату? і він не просив тільки PID з усіма з'єднаннями, він просив це з пакетами з цими з'єднаннями. Він сказав, що TCPview цього не робить, а TCPvcon - версія командного рядка .. тож чи можете ви у відповіді показати якийсь вихід, який показує, що він це робить? Я не намагався з перемикачем, який ви згадуєте, але на цьому знімку екрана не відображаються пакети img.informer.com/screenshots/103/103612_3.png

— barlop

@barlop Ви не помітили, що це самовідповідь?

— gparyani

@damryfbfnetsi Я сумніваюся, що я помітив, що це була сама відповідь, але коментар все ще діє. Питання - це питання. Хоча це дійсно збільшує ймовірність правильної відповіді, це не гарантує це або означає, що відповідь не може бути покращена. Це сайт бази даних QnA, тому відповідь є не просто для оригінального запитувача, а для того, щоб допомогти іншим.

— барлоп