System UDP на 65535 порт

Erekle · Отправлено: **03:15, 16-12-2010** | #2

(Торрент?

)

Atle · Отправлено: **12:17, 16-12-2010** | #3

Нет, торрентом не пользуюсь.

Некоторые дополнительные наблюдения:
На компе с Windows 7 в качестве порта источника для этого соединения постоянно используется 49152 порт. Когда происходит обновление Windows, оно пытается соединиться с IP, с которого происходит обновление, при обновлении антивируса - с IP обновления антивируса, при посещении сайтов - с IP этих сайтов. Всё время порт назначения 65535. Все эти подключения заблокированы (кроме обращений к DNS) и всё работает нормально, включая обновление Windows, обновление антивируса и просмотр сайтов.

На компе с Windows XP всё то же самое, только порт источника - 1025, эти подключения происходят несколько реже, и это подключение заблокировано для всех IP назначения, включая DNS. И опять-таки всё работает без видимых проблем.

Sham · Отправлено: **14:43, 16-12-2010** | #4

DNS запросы разрешают только для доверенного софта (браузеры, сетевой софт). Браузеры можно сделать полностью доверенными. Чтобы системные процессы не лезли, это надо все лишнее в системе отключать (службы, поддержку сетей MS и т.д.)

Atle · Отправлено: **16:28, 16-12-2010** | #5

Цитата Sham:

Чтобы системные процессы не лезли, это надо все лишнее в системе отключать (службы, поддержку сетей MS и т.д.) »

Сети MS отключены, на Windows 7 отключил IPv6 в реестре.

На обоих компах отключены, например, службы Сервер, Рабочая станция, Браузер компьютеров, Удалённый реестр, NetBIOS через TCP/IP, Служба терминалов (XP), Публикация ресурсов обнаружения функции (7), Диспетчер сеанса справки для уд.рабочего стола.

Но вопрос ведь не только в том, что бы такое отключить, чтобы System не лез в сеть. Если я не пускал System на 65535 порт DNS, сайты не загружались. И это на только что установленной системе, где нет ничего, кроме Windows 7, антивируса и фаерволла. И для меня это совершенно непонятно.

Sham · Отправлено: **16:49, 16-12-2010** | #6

Загрузка - вопрос конкретного софта. Можно было отследить, на каком этапе не пускало - DNS-запрос или запрос на хост сайта. Брандмауэры работают на уровне приложений, протоколов, портов, адресов - чтобы узнать конкретную причину нужно смотреть все запросы в реальном времени.

Atle · Отправлено: **17:13, 16-12-2010** | #7

Когда я просматривал логи фаерволла, относящиеся к времени моих безуспешных попыток загрузить пару-тройку сайтов, то заметил вот что. Там есть записи типа "Заблокировано исходящее UDP System, порт источника 49152, порт назначения 65535, IP назначения x.x.x.x", где IP назначения - это IP сайтов, которые я пытался загрузить (и которые не отображались), а также IP DNS.

Потом я разрешил подключение System UDP на 65535 порт только для DNS - и всё сразу заработало. В логах по-прежнему заблокированные попытки этого подключения к IP посещаемых сайтов, но тем не менее всё работает.

Sham · Отправлено: **17:22, 16-12-2010** | #8

это мб активность самого брандмауэра (если это встроенный)...

Atle · Отправлено: **17:40, 16-12-2010** | #9

Встроенный брандмауэр отключён.

У меня мелькнула мысль, что это связано с некоторыми настройками в IE (на Windows 7 я ничего не ставил, так что использовал именно IE) - включить Smart Screen, "проверять подлинность сайтов", "проверять, не отозван ли сертификат сервера". Но на другом компе я IE не использую, а симптомы сходные, только порт источника 1025, а также всё загружается, несмотря на полный запрет выхода этого процесса в сеть (и подключение к DNS в том числе запрещено).

Atle · Отправлено: **11:20, 20-12-2010** | #10

При внимательном изучении логов обнаружил, что вначале System пытается подключитья к 224.0.0.252 (UDP исходящий порт 49152, порт назначения 65535). Этот мультикастовый адрес использует сервис под названием LLMNR (только в описании сказано, что LLMNR использует 5355 порт). Отключил LLMNR в реестре - исходящих на 224.0.0.252 больше нет, но System продолжает долбиться на 65535 порт DNS.

Стал отключать разные службы, пытаясь определить, не даст ли это какого-то результата. Оказалось, что включение и выключение службы DNS клиент оказывает воздействие.

Первый вариант - служба DNS клиент включена. System (PID 4) пытается соединиться с DNS, порт назначения 65535, исходящий порт 49152. Если это подключение заблокировать, сайты не загружаются. Обращений к IP сайтов не происходит. В активных подключениях нет никаких соединений с DNS, в том числе svchost.exe на 53 порт.

Если разрешить подключение System UDP исходящее на 65535 порт DNS, то всё загружается. В активных подключениях есть svchost.exe, исходящее UDP подключение к 53 порту DNS.

Второй вариант - служба DNS клиент выключена. System (PID 4) пытается соединиться с DNS, порт назначения 65535, исходящий порт 49152. Если это подключение заблокировать, сайты загружаются. Весь софт, взаимодействующий с сетью, запрашивает подключение к DNS (UDP порт назначения 53). В активных подключениях нет svchost.exe вообще. Обновления Windows не происходит (возвращает ошибку), хотя для svchost.exe есть разрешение на соединение с диапазоном IP Windows update. В логах фаерволла нет записей о блокировании svchost.

netstat -a дает, в частности, такую строку UDP 0.0.0.0:49152 *:* netstat -abn говорит что (дословно не помню, но по смыслу) "не удается определить владельца этого подключения".

Буду признателен, если мне пояснят, что же это за подключение.