我注意到在 Microsoft Network Monitor 中挂起时，我的计算机正在向任意 IP 地址发送 ICMP 回显请求202.39.253.11。我寻找这个IP的所有者，我发现它是由一家名为HINET的中国或台湾通信公司拥有的。他们似乎在这个地址有一个网站，虽然答案似乎来了202.39.253.12。

我想知道，我是否有被远程攻击者打开 ICMP 隧道的风险？

我查看了数据包，它们看起来都一样：

08 00 6E 89 00 01 00 14 49 43 4D 50 20 65 63 68 6F     ..n....ICMP echo

08 00 6E 88 00 01 00 15 49 43 4D 50 20 65 63 68 6F     ..n....ICMP echo

答案都是一样的，除了答案有效载荷末尾的 9 个字节的 00 数据。我通过看到这一点知道目前没有数据交换，但是否有可能在我的计算机上安装了“间谍”软件并且可以在某个时候开始发送数据？

编辑：他们似乎拥有 202.39.128.0/17

编辑 2：由于我仍然无法找出生成所有这些 ICMP 请求的进程，我将使用 Winpcap 设置代理服务器来模拟服务器的答案并找出哪个进程对来自服务器的随机“命令”做出反应。通过设置自定义路由，我应该能够将回显请求传输到我的服务器。关于如何从接收隐藏在 ICMP 隧道中的命令的进程中检测奇怪行为的任何想法？我想我可以尝试使用 Sysinternals Process Monitor 并查看失败的注册表访问或其他类型的错误。

编辑3：我终于明白了！出于某种原因，我产生了使用“蛮力”解决方案来查找导致问题的过程的想法。通过查看硬盘驱动器上的每个字节序列，我可能会在程序的可执行文件中找到原始数据。所以我运行了我找到的第一个程序“SearchMyFiles”（http://www.nirsoft.net/utils/search_my_files.html）并开始查询ICMP echo. ICMP echo猜猜我发现了什么，来自谷歌浏览器的大量历史......一个包含www.hinet.net. 这是我找到的数据的预览：

49 43 4D 50 20 65 63 68 6F at offset 0001E4BC which correspond to ICMP echo

and

77 77 77 2E 68 69 6E 65 74 2E 6E 65 74 at offset 0001E233 (www.hinet.net)

该 dll 被调用gep.dll并位于此处C:\Program Files (x86)\ASUS\AI Suite II\Network iControl\NetSvcHelp 所以似乎是华硕发送了所有这些 ICMP 请求。我确实有一个华硕主板，我确实从他们的网站安装了 AI Suite。

我仍然不知道此连接是否合法或安全，并且我在互联网上找不到有关华硕进程与台湾服务器之间这种奇怪通信的信息