哪个进程正在建立网络连接？

本文将向您展示如何快速识别在系统上生成特定网络通信的进程（应用程序或服务）。

示例场景：您的网络团队告诉您服务器 A 根据防火墙日志不断向服务器 B 发出 SMB 请求。他们希望您停止服务器 A 上的流量。

要确定是哪个进程造成的，您可以使用内置的 netsh 命令和免费的 Microsoft Netmon 工具。只需按照以下简单步骤操作：

1. 在服务器上启动网络跟踪

使用 netsh.exe 命令在服务器上启动网络跟踪（又名“网络捕获”）非常简单。

使用以下命令启动跟踪：

netsh trace start persistent=yes capture=yes tracefile=c:\temp\NetTrace.etl

这将立即开始将所有网络通信记录到 .etl 文件中。持久开关将确保它在系统重新启动后运行。因此，您甚至可以解决启动期间发生的问题。

2.再次停止网络跟踪

一旦您认为您想要捕获的通信已经发生，您可以再次停止跟踪。使用以下命令：

netsh trace stop

3. 在您的系统上安装 Netmon

为了分析跟踪文件，我们需要 Microsoft 提供的免费 Netmon 工具。在这里下载。

您不需要将其安装在进行网络跟踪的同一系统上。将其安装在笔记本电脑上并将 .etl 文件复制到您的系统。

4. 使用 Netmon 分析跟踪文件

启动 Netmon 并打开 .etl 文件：

跟踪文件很可能涉及大量信息。要快速识别您需要的跟踪信息，您必须使用捕获过滤器。

Netmon 捕获过滤器

Netmon 支持自定义过滤，一旦您掌握了它，就可以非常轻松地过滤数据。让我举几个例子：

要查找与特定 IP4 主机的所有通信，请使用以下过滤器：

ipv4.DestinationAddress == 10.10.0.6

要查找与特定子网的所有通信，请使用以下过滤器：

ipv4.DestinationAddress >= 10.10.0.0 &&
ipv4.DestinationAddress <= 10.10.0.255

要过滤掉所有广播、多播和 RDP 通信，请使用以下过滤器：

Ethernet.DestinationAddress != Broadcast &&
!(ipv4.DestinationAddress >= 224.0.0.0 && ipv4.DestinationAddress <= 239.255.255.255) &&
tcp.Port != 3389

实施正确的过滤器后，您将很快找到您正在寻找的通信。

在这个特定的客户案例中，我们正在寻找一个生成针对 10.10.0.0/24 网络的 ping 请求的进程：

如上面的屏幕截图所示，通信是由 ID 为 12976 的进程生成的。

5. 确定流程

由于我们知道进程 ID，因此我们可以登录服务器并识别这是什么进程：

PS C:\> Get-Process | ? {$_.Id -eq '12976'}

Handles  NPM(K)    PM(K)      WS(K)     CPU(s)     Id  SI ProcessName
-------  ------    -----      -----     ------     --  -- -----------
    789      55   265648      68656 104,120.80   12976  0 CarboniteService

概括

现在你就得到了它。识别系统上任何类型通信背后的进程实际上非常简单：使用内置的 netsh 命令和 Microsoft 的免费 Netmon 工具。

这种方法在调查神秘通信、分析 GPO 处理问题、网络连接问题等时非常有用。