标签:好奇害死猫 任务管理器 blank target 程序
现象:
今天开机后看了眼任务管理器,发现没开任何程序的情况下,网卡居然有很大的一个流量波动。反常必有妖,本着好奇害死猫的精神,做了个事件追踪。
过程:
1.启动wireshark,对网卡进行抓包
2.发下异常流量,本机连接ocsp.globalsign.com
3.摆渡此域名,发现此站点为在线证书状态认证的一个服务器,和CA/PKI相关性很高
4.研究了下CA/PKI,发现OCSP是一个用于替换CRL(证书吊销列表)的服务,用于实时查询证书的状态信息。
结果:
windows本机启动后,联系ocsp服务器获取缓存在本机的证书信息,导致流量上涨。
windowsCRL缓存查看方式:
https://support.globalsign.com/customer/portal/articles/1353318-view-and-or-delete-crl-ocsp-cache
Window 开机连接ocsp.globalsign.com
标签:好奇害死猫 任务管理器 blank target 程序
原文地址:http://active.blog.51cto.com/1100981/1679948
