0819978

最近被主管抱怨我的電腦有異常頻繁的封包傳送
據說來自MSN的#1863 Port
先用簡單的Netstat來觀測
使用的是SoftPerfect的NetWorx（網路傳輸監測）所附的NetStat
http://www.softperfect.com/products/networx/


只看得出MSN Messenger開了一大堆連線，其中還包含了很多#443 Port的連線，但是卻看不出是誰在傳送封包

這時候又再出動剛發現的一套免費的防毒＋防火牆軟體－Comodo Internet Security
介紹：http://playpcesor.blogspot.com/2007/02/comodo-firewall-pro.html
官網：http://personalfirewall.comodo.com/
其中防火牆附了一個觀察連線的程式


這個程式就可以很清楚看到傳輸量，會發現每次開啟MSN，都會有一個IP(with #1863 Port)傳輸特別頻繁，有時上傳有時下載
雖然傳輸量不大，但是看得出來頻率很高

為了看個仔細，又找來兩個功能比較強大的軟體
1.AnalogX PacketMon(Freeware)
http://www.analogx.com/
這是個很單純的log記錄模式，可以設定過濾條件


2.EtherDectect Packet Sniffer(Shareware, 30days trail)
http://www.etherdetect.com/
這個程式就能看非常詳細的資料，還能檢視每個封包的資訊與內容


在利用這些工具觀察一陣子之後，雖然掃毒軟體也有掃出一些新的木馬程式
即便改用Miranda IM(http://www.miranda-im.org/)來登入MSN後，連線數略比Messenger少一些，但是封包的活動量似乎沒有減低
可見對於MSN來說，這些連線數目跟封包活動量都算是正常的囉？

目前正在使用其他電腦測試中.......