在运行 Wireshark 尝试解决其他一些问题时,我注意到我正在使用的工作站上有几个 SYN 连接到端口 80 和 443。数据包被丢弃。这些来自其他工作站。此工作站上没有运行任何网络服务器,其 IP 地址已连续数周保持不变。
在其中一台源工作站上运行进程监视器,我发现 Firefox 是数据包的来源。
任何人都知道为什么 Firefox 会尝试连接到另一个本地工作站,而不是服务器?工作站正在运行 Firefox 39.0。
2015 年 8 月 12 日编辑:我将 apache(通过 xampp)卡在“受害者”计算机上,并找到了非常常见的日志条目"/connect/xd_arbiter/7tUlZKGPU61.js?version=41 HTTP/1.1" 404 1354 "(some webpage)" "(useragent)"。谷歌告诉我这与 Facebook 有关系,但除此之外什么都没有。有人知道更多吗?
这里有几种可能性:
Firefox 中的一个选项卡有一个网站,该网站不断连接和刷新内部 IP 地址。那可能是一个家庭 NAS 设备,碰巧与您的计算机具有相同的 IP
来自合法网站的 Javascript 脚本尝试使用跨域请求或 WebSocket 扫描内部网络。这个网站可以做到。请注意,最新的 WebRTC 功能可以获取计算机的本地 IP 地址,即使它不可路由且位于 NAT 之后。
可能是一个特殊的或恶意的扩展程序或插件正在处理流量。以安全模式启动 Firefox,看看行为是否相同。
该计算机上可能存在恶意软件或攻击者,将自身注入 Firefox 进程以逃避防火墙出口限制(如 Windows 防火墙)。同样,该 Firefox 实例可能是 Firefox 进程中仍存在的漏洞利用的受害者。
您可以打开 Firefox 的网络监视器并查看哪个网站正在向内部 IP 发出 HTTP 请求。
您还可以使用Process Explorer查看 Firefox 进程并寻找奇怪的东西,例如奇怪的加载 DLL 和 TCP/IP 连接。