回复2#疑似狼
能不能说具体点，谢谢，交换机做了好多安全绑定，都不在一个vlan，我的今天也告警了我要分析出来，还不能违规操作……上级又不教办法。 iOS fly ~

mirror命令了解一下

回复4#疑似狼
看了，看不懂，交换机是上级配好的，不能乱改…… iOS fly ~

ping一下这个IP地址，看看是什么网站再回过来查软件

回复7#erik
我是win7，规则配置不会有问题，规则启用 阻止链接 所有程序 外网ip列表 iOS fly ~

回复6#飞来飞去hipda
我是内部局域网，ip是外网的，你的意思是在互联网上ping一下？我估计是哪个软件的自动升级的地址。 iOS fly ~

电脑wireshark抓包 iOS fly ~

正解

wireshark抓包，有些正版软件需要访问外网进行激活验证的 Kimi

抓包不会的话，装个360 ，哪个网络分析工具的。

直接把IP贴出来大家帮忙看看不就行了。

回复14#yyysuo
IP 210.52.224.229
10.249.73.17 iOS fly ~

回复12#jckimi
这个软件抓包，能不能记录日志，我也没法一直盯着，还有就是能不能看到是哪个软件。 iOS fly ~

回复18#肉丸子


可以存到本地文件，只要你硬盘容量足够大，3个月都可以存

回复19#jckimi
太好了，能不能定位到哪个软件 iOS fly ~

回复16#肉丸子


IP 210.52.224.229 ====》 IP地址: 210.52.224.229上海市上海 联通
10.249.73.17 ====》 这个是本地局域网？？

回复21#jckimi
查了，我也没联通的软件啊，应该是那个软件托管的联通服务器？10的地址看起来是内网，但是内网没这个地址，全国的都没有这个地址…… iOS fly ~

TCPView可以查看软件,端口https://docs.microsoft.com/en-us/sysinternals/downloads/tcpview

回复23#vonsy
我现在用的就是这个，他是实时的，我这个非法访问不确定时间……我没法一直守着，实在不行只能这样了。 iOS fly ~

火绒自带的工具也可以查看。 看看哪个进程发起的。世界属于三体

回复22#肉丸子


wireshark抓包，filter这个IP，然后看包里面的内容分析。

回复25#摩崖岭老怪
要求必须用360的，在装个火绒怕引起新的麻烦iOS fly ~

楼主是不是那种与外网物理隔绝的局域网，但是分配的都是外网的ip地址？然后现在局域网内有机器不停链接某个地址？ iOS fly ~

回复26#jckimi
好的，我试试，谢谢啦 iOS fly ~

回复28#inim
不是，所有地址都是内网地址，和外网完全隔离。 iOS fly ~

回复29#yyysuo
太感谢了，10的能不能分析出来？ iOS fly ~

不怕麻烦的话，找一台告警的电脑，装个HIPS软件，选择全记录就可以了，很快能根据日志分析是哪个软件出了问题。

10的肯定分析不了呀，内网地址，按理说你们内网自己的地址，应该好找才对啊。

回复33#shadowmage
软件名就叫HIPS嘛？真没搞过这些，上面只给要求，不给解决办法，大家的系统也都层次不齐的…… iOS fly ~

回复34#yyysuo
内网没10打头的地址，我试着抓包分析吧，谢谢啦。 iOS fly ~

软件类型叫HIPS。比较出名免费的有commond。
这类软件可以记录并阻止所有电脑上的一切操作，包括安装软件，新建文件，连外网，改注册表等等。

回复37#shadowmage
太谢谢啦，哈哈 iOS fly ~

回复39#shadowmage
明白了，这都是小事，对于100多台终端来说iOS fly ~

先装一台试试，看到日志你就基本明白了。

回复41#shadowmage
明白了，谢谢，下午就动 iOS fly ~