Windows上莫名其妙的流量

雖然我現在才登錄這份文章,但我想這樣的情況應該是不會有時效過期的問題。
4/14號早上,Fortigate send alert通知我,在我用VPN連線回家時,我的電腦試圖向我內部的網段發送SNMP訊息(Port 161),當下第一步先懷疑我的電腦是不是被駭了。

 

直接開啟Wireshark來看,果真發現電腦一直在做SNMP的訪問,但固定就是這幾個IP,我做了幾件事來試圖阻止電腦丟封包出去。
1. 確認哪些應用程式在使用,並且開啟了電腦本身防火牆,沒用。
2. 去重灌狂人下載了”GlassWire”,把所有應用程式都關了,還是沒用。
連結在這:https://briian.com/22814/
3. 把網路線拔了(但其實沒什麼用,如果真的是駭客,頂多是無法連線而已),還是沒用

 

後來不知怎的,在檢查應用程式時突然看到Print(印表機),沒在用也會有流量跑出來?覺得要來朝這方面思考。

 

發現,在印表機的設定中果然有192.168.50.6、192.168.50.14及192.168.50.15三個IP,而且發現我的SNMP是開的(預設也是Port 161)

 

有結果了,最後發現原來是我自己印表機在發SNMP訊息,虛驚一場。

 

 

其實這次的問題還滿有趣的,我沒有特地去確認Fortigate是怎麼認為SNMP的流量已造成威脅,也許是因為太多的SNMP包在內網流竄了,
但也因為有這件事的發生,我才知道原來有印表機也會有SNMP的行為。

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.