为什么有这么多与Isilon建立了联系的svchost？

Question

我们的客户机有一个Isilon (仅用于smb)，很少有节点附加到它上。当我运行TCPView时，我不明白为什么svchost服务建立了连接，为什么有这么多连接：

以及10.64.4.212项知识产权：

我运行svchost分析器来查看背后的确切服务是什么，结果是：

然后，当我用相同的OS、Win2012R2和Isilon连接到另一个客户端的服务器时，我看不到这些连接。有人能分辨出有什么不对劲吗？为什么会有这么多已经建立起来的联系呢？

Answer 1

您可以知道这是RPC通信量，因为它与TCP端口135上的RPC端点映射程序的连接以及到高编号端口(例如48471 )的后续连接有关。

您可以使用波特里并在远程设备上查询RPC端点映射程序，并查看在端口48471上注册了什么RPC端点。我的猜测是，这将是一些与萨姆-R相关的内容，例如，进行用户名/组成员查询。

这在网络跟踪中也应该是显而易见的。(Netmon，Wireshark，netsh.exe)