Как отлаживать ложные TCP-запросы, поступающие из нашего собственного приложения? - PullRequest
1 голос
/ 25 января 2012

У нас есть приложение .NET, которое на определенном сервере продолжает выполнять различные TCP-запросы, которые блокируются нашим брандмауэром.

У приложения нет причин пытаться получить доступ к Интернету, ему нужно только связаться с нашим сервером базы данных.

Кажется, он пытается связаться с определенным адресом на deploy.akamaitechnologies.com, где, по-видимому, размещено огромное количество различных файлов для разных людей / компаний.

Как мне отладить, из какой части нашего кода исходит этот запрос? TCPView указывает, что запрос поступает непосредственно из нашего .exe.

В коде используются библиотеки nHibernate, первое, что я предположил, было то, что библиотека пыталась обновиться автоматически, но, вероятно, запрос не был бы отправлен напрямую из нашего .exe?

Может ли наш .exe быть заражен вирусом на этом конкретном сервере? Наш антивирус обновлен, и сканирование .exe ничего не показывает.

РЕДАКТИРОВАТЬ: ОК, я наконец-то получил Wireshark на сервере, но не уверен, что делать с выводом. Я заметил, что он отправляет «запрос по имени nbstat» на IP-адрес, принадлежащий Центру сетевой координации RIPE, а также сообщение от «src port caicci» на порт http снова на IP-адресе, принадлежащем RIPE Сетевой координационный центр. Трудно отследить все соответствующие запросы, потому что я заранее не знаю, какие IP-адреса он будет использовать (каждый раз он будет другим), и Wireshark, похоже, дает сбой из-за объема данных, если я оставлю его для захвата более чем минута или около того. Видимо, вы не можете фильтровать по процессу?

1 Ответ

1 голос
/ 25 января 2012

Вы уверены, что исполняемый файл с именем YourApp.exe на самом деле тот, о котором вы думаете? Можете ли вы сделать md5sum доверенного exe и сравнить с одним на сервере?

Как мне отладить, из какой части нашего кода исходит этот запрос? TCPView указывает, что запрос поступает непосредственно из нашего .exe.

Предполагая, что у вас не установлена ​​Visual Studio на сервере (или вы не можете выполнять удаленную отладку), вы можете получить дамп процесса и проанализировать его на своем компьютере. Это процесс .NET4?

...