某日早上刚上班,接到公司某部门同事求助,通过回溯分析发现有主机地址为192.168.xx.x0的公司上网机会通过17972端口持续对外网部分主机及端口进行不间断扫描,具体如下:
查找主机确认主机位置后,了解到该主机并没有做类似端口扫描或者播放数据包的行为,部署科来网络分析系统最新的安装包,对本地进程进行分析;通过对本地进程分析发现有ThunderPlatform.exe 的进程使用了17972的端口对互联网中的服务器及端口建立了UDP会话,如下图:
所发送的数据包大多时候是1个、大小为48Byte数据包,且目的端主机没有响应;找到该进程,关闭进程观察网络一段时间后,所发现问题消失,故可以确认是ThunderPlatform.exe进程导致的扫描行为。