我刚刚运行了 MS Sysinternals TCPView,发现大约有 150 个 TCP 连接处于时间等待状态,但没有迹象表明哪个进程初始化了它。我该如何调查?
这是在我的工作机器上。我家里的 Windows 11 显示其中大约有 20 个。
AskOverflow.Dev
我刚刚运行了 MS Sysinternals TCPView,发现大约有 150 个 TCP 连接处于时间等待状态,但没有迹象表明哪个进程初始化了它。我该如何调查?
这是在我的工作机器上。我家里的 Windows 11 显示其中大约有 20 个。
没有进程 ID,因为 TIME_WAIT 代表已经关闭的连接——它实际上只是保留端口号(以确保最终的数据包已传送到双方)。
由于所有这些连接都是到同一目的地(127.0.0.1:52698),因此您应该观察 TCPView 中到该目的地的新连接,它将向您显示客户端进程。
您不必盯着 TCPView,还可以使用 SysInternals Process Monitor 获取所有新的/关闭的连接的实时日志。
您还可以尝试查找另一个端点 - 127.0.0.1:52698,它是您系统上的本地侦听器,并且应该
Listening在“本地”字段中有一个具有相同地址的对应套接字。一旦您知道哪个进程正在侦听该端口上的连接,您就可以尝试推断它可能拥有哪种客户端。