先說問題。使用Wireshark工具、Microsoft Edge瀏覽器,抓取TCP數據包,網絡封包分析窗口如下所示:
很意外地,發現有52.114.77.164與168.63.202.111這兩個IP地址的報文。
我們的源主機IP地址爲192.168.0.101,目的服務器IP地址爲128.119.245.12,我們要分析的三次握手過程、數據包傳輸過程應該在這兩個IP之間,很明顯52.114.77.164與168.63.202.111這兩個IP地址干擾了我們的分析。
我們知道,IP地址可以作爲域名使用(域名本身就對應着IP地址),所以我們首先嚐試能否登錄這兩個IP地址對應的網址。
並不能。我們換種思路,查證一下這兩個IP地址的歸屬。
破案了,這兩個IP地址均歸屬於微軟。這說明我的電腦正在向微軟傳遞數據,推測原因出自Windows 10系統默認開啓的客戶體驗改善計劃傳輸了TCP報文。另一個可能的原因是,Microsoft Edge瀏覽器也向微軟發送了用戶的使用數據。根據自己的瞭解,Windows 客戶體驗改善計劃將收集硬件配置以及用戶使用軟件和服務的相關信息並上傳。
首先關閉客戶體驗改善計劃。我們在運行中輸入gpedit.msc,打開本地組策略編輯器。
按照下圖,找到關閉 Windows 客戶體驗改善計劃。
觀察到當前處於未配置狀態。
將其改爲“已啓用”,之後點擊確定。現在,我們已經關閉了Windows客戶體驗改善計劃。捕獲報文,發現已經不存在52.114.77.164。
接下來,在Microsoft Edge瀏覽器的設置中,找到了可能收集數據的選項,如下圖。
觀察到,Microsoft Edge瀏覽器會自動向微軟發送數據,且該功能是無法關閉的。因此,切換到IE瀏覽器。IE大法好。
最後,再次啓動Wireshark捕獲報文。結果如下,問題解決。
做個總結:
52.114.77.164:Windows 10用戶體驗改善計劃
168.63.202.111:Microsoft Edge收集用戶數據併發送
這兩個IP地址具體是什麼可能因機器而異,以上提供了一個排查的思路。如果這篇文章對你有幫助,請給博主點個贊吧!